LGPD, simplificando a jornada de adequação com responsabilidade

Sancionada em 14 de agosto de 2018, a Lei Geral de Proteção de Dados previu o período de 2 anos para que a sociedade e as empresas se adequassem aos comandos legais da lei. O longo período de adequação denota a importância e os impactos que a nova legislação traria para sociedade e para o mercado: mudanças comportamentais, culturais, de processos e procedimentos corporativos, para efetiva conformidade à lei, tendo como objetivo último a efetiva proteção dos dados pessoais dos cidadãos (clientes, funcionários, prestadores de serviços, cooperados, por exemplo). 

A lei tem como sustentáculo o tripé: governança de dados, segurança da informação e jurídico, com efetivo diálogo das áreas, de forma que a jornada de adequação não deve ignorar nenhum desses pilares, sob pena de estar fadada ao fracasso.

Queimar na largada, no processo de adequação, sobrepondo ou ignorando quaisquer de suas fases, poder trazer sérios prejuízos para as organizações, tais como: impactos operacionais, financeiros, legais e reputacionais.

Grande parte das empresas incorrem em erro ao imaginar que a LGPD incide apenas nas empresas classificadas como digitais, ou seja, aquelas que tem a informação ou dado pessoal como insumo dos seus negócios: startups, empresas de marketingdigitale-commerce, gigantes de tecnologias etc. 

A LGPD é uma lei transversal que se aplica a todo e qualquer segmento e porte de empresa, em maior ou menor proporção. Por vezes, os gestores por não terem mapeados os seus processos de negócios  e os dados pessoais existentes na sua organização, se sentem céticos no que refere-se a aplicação e os impactos da LGPD na sua organização, aqui vale reproduzir a celebre frase: “Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se entende, e não há sucesso no que não se gerencia”  – William Edwards Deming (1900-1993). 

Observe que a descoberta dos dados pessoais tratados pela organização – coleta, armazenamento e compartilhamento, aqui apenas para exemplificar alguns dos verbos trazidos pela lei – seja internamente (dados dos seus colaboradores), ou ainda os dados compartilhados com terceiros, parceiros de negócios, tomadores e fornecedores de serviços, são objeto e devem estar em conformidade com a lei. De sorte, que as organizações precisam inventariar estes dados e validar cada operação (processos de negócios e as finalidades da atividade de tratamento), com um fundamento jurídico, porém, tudo devidamente documentado, a fim de estar apta a prestar contas com o titular dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). 

O mapeamento dos dados pessoais gera insumo para análise jurídica e elaboração dos principais documentos de conformidade. Importante destacar que a validação jurídica das atividades de tratamento é apenas uma parte da jornada de adequação, pois deve,  ainda,  as empresas compreenderem como de fato ocorre a coleta, armazenamento e compartilhamento dos dados pessoais com terceiros, com o objetivo  de blindar juridicamente essas transações; não apenas com a troca de minutas, aditivos contratuais e ajustes de cláusulas contratuais, pois no final das contas, apenas ter uma minuta assinada pelas partes não eximirá a reponsabilidade das empresas. Entender os papeis dos agentes de tratamento (controlador e operador) e alocar corretamente as responsabilidades e riscos da atividade de tratamento de dados pessoais é o caminho mais seguro. 

O treinamento e a conscientização de gestores, colaboradores e outros agentes envolvidos no ecossistema de tratamento de dados pessoais é essencial para o sucesso de um programa de adequação a LGPD, uma vez que o fator humano é o elo mais sensível da corrente. 

A jornada de adequação deve ser conduzida de forma responsável, com a real compreensão dos requisitos da lei, ignorar etapas ou encurtar caminhos pode ser perigoso; porém, isso não significa dizer que deva ser um processo necessariamente complexo, pois cada organização possui uma realidade e requisitos jurídicos de privacidade e proteção de dados.  Mapear os processos de negócios, conhecer os dados pessoais e os requisitos legais que se aplicam a sua organização é fundamental!

Por: Dr. Jean Carlos Fernandes