Muitos daqueles com quem nosso escritório se relaciona repetem uma única frase: A LGPD entrou em vigor. E agora, o que faço?
Infelizmente, não é uma pergunta retórica.
Assim, diante deste importante questionamento, respondemos que a verdadeira questão que deveria ser apresentada neste momento é: Será que minhas ações já são suficientes para se adequar à LGPD? Será que meus procedimentos já protegem os dados pessoais que trato diariamente?
E dizemos isto com muita tranquilidade, uma vez que a resposta para essa pergunta dará início a primeira providência que uma pessoa jurídica deve fazer para se adaptar às exigências da LGPD.
Antes disso, porém, é preciso destacar que muitas providências já teriam que ter sido implementadas. Observe que o assunto relacionado à proteção de dados já vem sendo discutido no Brasil desde 2010. Foram vários projetos, muitas audiências públicas até se chegar no texto consolidado que se transformou em lei no ano de 2018. O próprio texto legal já previa um prazo de 02 anos para que a LGPD entrasse em vigor.
Não há, portanto, qualquer desculpa que possa justificar a não adoção de procedimentos de proteção de dados.
Mas, decorreu-se esse prazo e a grande maioria daqueles que tratam dados pessoais se mantiveram despreocupados, “em berço esplêndido”. Agora não se pode mais perder tempo, haja vista que qualquer cidadão, titular de qualquer dado pessoal, já pode questionar aquele que trata seus dados e exigir-lhe informações a respeito de como seus dados são protegidos.
Retomando a resposta à pergunta que intitula o presente texto, é preciso compreender que o processo de implantação de rotinas de proteção de dados é um tanto longo e multidisciplinar (é preciso envolver o jurídico, o pessoal de tecnologia de informação, os colaboradores, o pessoal de qualidade etc.).
Assim, sugerimos a adoção de seis medidas imediatas:
A primeira medida que deve ser tomada, em nossa opinião, é a realização de um diagnóstico inicial. É preciso saber quais são os dados geridos no tratamento, por onde entram, por onde caminham e saem. É preciso identificar onde são depositados, a duração do tratamento etc. Sem esse diagnóstico inicial, nada é possível fazer em relação a proteção de dados. Se você não sabe o que deve proteger, não conseguirá realizar qualquer proteção.
A partir deste diagnóstico, é preciso indicar o encarregado de dados (Data Protection Officer – DPO). O encarregado é o responsável pela implantação das rotinas de proteção de dados e é o elo entre o responsável pelos dados e o titular de dados. Ele é quem irá responder os questionamentos e lidar com a Autoridade Nacional de Proteção de Dados (ANPD), além de organizar os processos de proteção de dados, atuará como se fosse o “porta-voz” da empresa.
A terceira medida imediata que deve ser adotada é a constituição do Comitê de Dados, o qual supervisionará a implantação das medidas de proteção de dados e poderá ser o responsável pela revisão dos termos da política de privacidade da empresa. Sem essa ajuda, a empresa não conseguirá atender os requisitos da LGPD. Além disso, o DPO, com certeza, vai precisar de “mãos amigas”.
Uma quarta medida imediata a ser tomada é o envolvimento de todos os colaboradores, sejam do grupo estratégico, do tático e do operacional. Sem engajamento, não há norma protetiva que seja eficaz e eficiente. Todos aqueles que compõem a pessoa jurídica devem compreender a finalidade da LGPD e atuar em conformidade com os procedimentos estabelecidos para a proteção de dados. Esse engajamento também gera consciência da situação e já pode evitar potenciais problemas.
Uma quinta medida é a revisão da documentação, seja ela jurídica ou procedimental. Para isto é indispensável o apoio jurídico. Todos os procedimentos devem ser revisados, indicando-se o responsável por cada momento do tratamento do dado e a sua responsabilidade.
Por fim, uma última medida é necessária (mas, não esgotará o processo de implantação da proteção de dados). É preciso estabelecer o plano de contingência em caso de vazamento não autorizado de dados pessoais que são tratados pela empresa.
Veja que as quatro primeiras medidas devem ser feitas de forma simultânea, ou seja, implementadas ao mesmo tempo. Com o envolvimento de todos os colaboradores, os procedimentos poderão ser revisados e as medidas de proteção de dados implementadas, considerando-se todos os pontos frágeis da cadeia de tratamento dos dados (o que vai gerar a construção dos planos de contingência).
Parece simples, mas é muito trabalho pela frente! E lembre-se, todas estas fases precisam de compliance jurídico.