Sábado, 14 de dezembro de 2019

ISSN 1983-392X

Um ano para a entrada em vigor da lei geral de proteção de dados: é necessário desespero? quais medidas devem ser tomadas?

Guilherme Cobiak

É imperativo que a Autoridade Nacional esteja devidamente estruturada para que, a partir do início de uma regulamentação específica do tema por meio de resoluções, portarias ou normativas, todas as questões nebulosas sejam devidamente esclarecidas.

sexta-feira, 23 de agosto de 2019

Em meados de agosto de 2020, ou seja, daqui a 01 ano, entrará em vigor a lei 13.709/18, também conhecida como a Lei Geral de Proteção de Dados Pessoais, cujo texto, inclusive, foi baseado quase que na totalidade na General Data Protection Regulation (GDPR), vigente na União Europeia desde meados de 2018.

A partir da análise da LGPD, nota-se que todos serão impactados por ela, tanto o grande, médio, pequeno ou microempresário, quanto o profissional liberal ou pessoas físicas que realizem algum tratamento de dados de pessoas físicas e que aufiram proveito econômico. 

Desse modo, é mais do que necessário que todos os impactados se adequem, tendo em vista a gravidade das sanções administrativas (e possivelmente judiciais também) existentes na LGPD. Porém, quem ainda não estiver em conformidade a esta nova lei, não precisa se desesperar, pois, ainda há tempo.

O intrigante é que mesmo os impactados tendo plena ciência da necessidade de adequação, existem diversas sendo feitas, como, por exemplo: O que é preciso ser feito para adequação? Leva muito tempo? Há possibilidade de que, quando a lei entrar em vigor, o impactado ainda não esteja em conformidade?

A resposta para todas estas perguntas é a mesma: Depende.

Não existe uma receita mágica para que haja atendimento à LGDP, contudo, o que fazer para se adequar e o tempo que pode levar, necessariamente, depende do tamanho da empresa e da quantidade de dados pessoais que realiza o tratamento.

Em virtude incontável variedade de empresas existentes em território brasileiro, é impossível estabelecer uma sequência exata, contudo, ainda assim, é possível estabelecer um pequeno cronograma de passos básicos a serem tomadas, cujo tempo de execução, conforme já mencionado, irá variar de empresa para empresa.

O cronograma básico pode ser dividido em 9 passos principais:

  1. Montagem de um comitê específico para proteção de dados, contendo um responsável por cada área da empresa (o comitê pode não ser necessário ou seu tamanho pode variar em empresas menores), que deve eleger o Encarregado (DPO) e estabelecer todos os processos que envolverão a adequação;
  2. Mapeamento de todos os dados tratados por cada área da empresa, a fim de que ser realizada a filtragem dos dados que não são albergados pela LGDP e dos dados pessoais que são tutelados pela LGPD.
  3. Após a filtragem, deve ser relatado todo o trânsito percorrido pelo dado pessoal, desde sua coleta até seu arquivamento ou eliminação (ciclo de vida), inclusive analisando quais pessoas tem acesso aos dados e o motivo da liberação de tal acesso (comitê e DPO devem interagir e circular por todas as áreas);
  4. Após mapeados todos os dados, deve ser verificada em qual hipótese de possibilidade de tratamento cada dado está inserido (artigos 7º, 11 ou 14, da LGPD). Indica-se dar preferência ao enquadramento do tratamento às modalidades que não dependerem de consentimento e, apenas em caso de necessidade, buscar o consentimento expresso e inequívoco do titular para fazer a gestão desses consentimentos;
  5. Verificar os riscos envolvidos no tratamento realizado (inclusive, monitorando e restringindo o acesso de pessoas desnecessárias aos dados) e elaborar, periodicamente, um relatório de impacto (com a descrição dos tipos de dados tratados, a metodologia de tratamento e fluxo dos dados, a localidade dos dados (físicos e eletrônicos), as medidas tomadas para garantia da segurança das informações, análise a respeito das medidas, salvaguardas e mecanismos de mitigação de riscos e suas respectivas eficiências, histórico de eventuais vazamentos ocorridos, nome do responsável pela gestão e avaliação (DPO), dentre outras informações que a Autoridade Nacional entender necessária após sua estruturação);
  6. Criar uma política interna de compliance, governança e boas práticas, que estabeleçam procedimentos, normas de segurança, ações educativas e mitigação de riscos no tratamento e proteção de dados pessoais, bem como adaptar todos os documentos internos e externos (e, na medida do possível, exigir cumprimento aos procedimentos de proteção de dados de seus fornecedores);
  7. Criar um planejamento de comunicação (aos órgãos fiscalizatórios, aos titulares e, caso necessário, à imprensa) em caso de incidentes (vazamentos) de segurança que possam acarretar riscos ou danos;
  8. Criar um método de gerenciamento e atendimento aos pedidos dos titulares e dos órgãos reguladores, especialmente da ANPD;
  9. Realizar treinamentos, workshops e seminários, de maneira contínua, a fim de melhor institucionalizar esta nova cultura de proteção de dados, de modo que todos os funcionários que tratem dados pessoais estejam aptos ao cumprimento da LGPD, especialmente aqueles que lidarem diretamente com os titulares dos dados.

A partir da adoção imediata dos passos acima comentados, espera-se que, dependendo do tamanho da empresa, seja possível a adequação à LGPD até o início de sua vigência, em agosto de 2020.

Reforça-se que este cronograma foi pensado e elaborado com base na opinião do Autor deste artigo, sempre pautado no estudo de casos pessoais e análise de inúmeras verificações feitas por órgãos e profissionais com anos de experiência na área, a fim de trazer, de um modo mais prático a adequação à esta lei que, apesar de nem ter entrado em vigor ainda, já está trazendo muita dor de cabeça para algumas pessoas.

É importante consignar que este cronograma não é uma ciência exata, de modo que alguns dos passos supracitados podem ser excluídos e outros podem ser inseridos, sempre dependendo de adequação ao caso concreto em análise.

Finalmente, é imperativo que a Autoridade Nacional esteja devidamente estruturada para que, a partir do início de uma regulamentação específica do tema por meio de Resoluções, Portarias ou Normativas, todas as questões nebulosas sejam devidamente esclarecidas.

_______________

*Guilherme Vítor Peres Cobiak é advogado no escritório Laubenstein Advocacia e Consultoria.

t

leia mais