Implementação LGPD: como construir um bom plano de adequação

Ana Catarina Alencar
Ana Catarina Alencar
Advogada | Especialista em Direito Digital e Compliance | Coordenadora da Revista Eletrônica da OAB/Joinville | Professora | Mestre em Filosofia e Teoria do Direito | Especialista em Inteligência Artificial e Direito

O que advogados e consultores devem ter em mente para garantir a adequada implementação da LGPD? Quais etapas devem ser consideradas nesse processo? Como aferir os resultados?

Neste texto, abordamos os principais aspectos para a construção de um plano de adequação de sucesso. Acompanhe!

Leia também:

Impactos da LGPD para advogados: preparando-se para o mercado da privacidade e proteção de dados

Entenda os fundamentos por trás da implementação da LGPD

A Lei nº 13.709/2018 “LGPD” surge inspirada pelo florescimento da sociedade digital na era da inovação. Como expressão deste novo momento histórico e cultural, busca salvaguardar os direitos de indivíduos que agora são desafiados pela pervasividade da tecnologia. 

Por isso, as legislações sobre privacidade e proteção de dados visam a proteger a liberdade, a autonomia e a intimidade das pessoas neste novo contexto digital.

As inúmeras violações já noticiadas através do vazamento de dados pessoais de consumidores e, ainda, na possibilidade de manipulação da opinião pública, confirmam a necessidade de uma especial tutela jurídica relativa aos dados pessoais. 

Por conseguinte, a LGPD está longe de ser um tema trivial dentro do universo do Direito: se trata do reconhecimento, mais profundo, de direitos fundamentais que iluminarão o futuro dos negócios e sociedades humanas. 

A partir deste ponto de vista, podemos compreender que a edição da LGPD no contexto brasileiro não se trata de uma nova invenção ou modismo governamental para atravancar negócios e “monitorar” as atividades das empresas.

Também não se trata, meramente, de um novo “ramo” do Direito ou de um novo campo de atuação no mercado.

Em que pese todas essas circunstâncias possam surgir como efeitos da LGPD, a lei tem como finalidade proteger e tutelar o interesse de pessoas que se veem à mercê do poder de grandes empresas e corporações na utilização dos seus dados pessoais. 

Ter esse claro objetivo em mente é fundamental para construir um Plano de Adequação eficiente à LGPD.

Seja na adequação de um departamento de recursos humanos ou de um grande negócio de tecnologia, o propósito da implementação de um programa de privacidade e proteção de dados deve ser focado em pessoas, isto é, em melhor proteger os dados pessoais de indivíduos que, em maior ou menor grau, sempre estarão em risco. 

E para proteger, efetivamente, não é necessário colocar os interesses da empresa ou do negócio em segundo plano: é necessário trabalhar com um raciocínio ponderado entre os princípios previstos na LGPD.

Ter este objetivo em mente é o primeiro passo para compreender o que deve ser protegido e em qual extensão. 

Entenda o Modelo de Negócios em Adequação 

Conforme dispõe o artigo 1º da LGPD, a adequação se aplicará para todas as pessoas jurídicas de direito público, privado e pessoas naturais que realizem o tratamento de dados pessoais, excetuadas as hipóteses do artigo 4º. 

Nota-se que a LGPD não limitou seu escopo de atuação ao enquadramento da empresa – se pequena, média ou grande -, não excluiu categorias específicas de negócio e não adotou limitações para pessoas jurídicas ou físicas que não realizem um “tratamento substancial” de dados pessoais.

Em resumo, seja uma pequena empresa, um prestador de serviço “MEI” ou uma grande “S.A.”, onde houver o tratamento de dados pessoais a adequação do negócio será necessária. 

Ainda que a LGPD não tenha feito grandes exceções, entender o modelo de negócio em adequação é um imprescindível para o sucesso do Plano de Adequação. Neste sentido, algumas perguntas simples são fundamentais para iniciar essa análise, como por exemplo: 

1. O modelo de negócios em questão é B2C – i.e., os usuários são indivíduos – ou B2B – usuários são outras empresas.? 

2. Como e onde se inicia a coleta de dados pessoais na empresa? 

3. O influxo de dados é contínuo ou pontual? 

4. Quais processos ou departamentos efetuam o tratamento desses dados? 

5. Qual a finalidade de tratamento desses dados?

6. Onde ficam armazenados os dados pessoais na empresa e por quanto tempo?

7. Há compartilhamento desses dados com outras empresas, parceiros, etc?

Essas perguntas trarão informações importantes para a elaboração do mapeamento ou inventário de dados (data mapping), o qual revela quais dados pessoais são coletados pela empresa, sob quais processos e condições, bem como rastreia seu ciclo de vida dentro das atividades empresariais. 

Este documento é condição sine qua non para qualquer plano de adequação.

Caso o data mapping não reflita exatamente a realidade dos dados pessoais dentro da empresa, a adequação implementada estará incorreta ou insuficiente, uma vez que não conterá todos os dados verdadeiramente tratados no dia a dia do negócio.

Mapeie seus Dados Pessoais e Verifique a Segurança da Informação

Para construir um mapa ou inventário de dados pessoais, é de suma importância que o profissional do Direito seja capaz de estabelecer um diálogo claro e objetivo com os diversos atores envolvidos no negócio.

Trata-se de um trabalho realizado em equipe e que deve investigar todos os departamentos ou processos que coletem esses dados. 

Existem diversas metodologias para a construção do data mapping ou inventário de dados. Alguns guias e modelos interessantes podem ser encontrados no site da Secretaria do Governo Digital, bem como de sólidas organizações internacionais como a ICO do Reino Unido.

Grande parte das metodologias de inventário ou mapeamento de dados partem do conceito de “entrevistas” com os atores chave da organização ou líderes dos processos onde há coleta de dados pessoais.

Esses atores são perguntados, nos moldes da metodologia escolhida, sobre o tipo de dados pessoais coletados, modos de processamento dos dados, finalidade, transferência a terceiros, entre outros aspectos relevantes para compreender a fundo o seu ciclo de vida dentro da empresa.

Feito este mapeamento inicial, é possível entender o ambiente de dados pessoais da empresa e, assim, adequá-la ao que preceitua a LGPD. 

Nesta fase relativa ao mapeamento de dados, é imprescindível relacionar os departamentos ou processos mapeados às vulnerabilidades de segurança da informação.

Por isso, entrevistas com os responsáveis da área de Tecnologia da Informação são sempre decisivas. 

Os equipamentos, redes e sistemas da empresa devem ter um certo grau de segurança e contar com os bloqueios necessários, prevenindo incidentes como vazamentos e sequestros de dados.

É altamente recomendável que a empresa contrate serviços de “simulação de ataques” ou “testes de intrusão” (pentest) visando avaliar o nível de segurança do ambiente informacional, a fim de que os dados pessoais mapeados estejam, verdadeiramente, protegidos. 

Do ponto de vista da LGPD, não basta apenas adequar processos e documentos, se os sistemas e equipamentos da empresa não oferecem a proteção necessária à guarda dos dados pessoais coletados. A mera adequação documental ou de parte dos processos de tratamento não afasta a responsabilização da empresa em caso de incidentes.

Assim, é fundamental que advogados e profissionais de tecnologia da informação trabalhem em conjunto para garantir total conformidade à LGPD: desde o ponto de vista formal e procedimental até a segurança dos sistemas, redes e equipamentos.  

Construa um Plano sinalizando Vulnerabilidades, Recomendações e Prazos

Depois de mapear os dados pessoais coletados e compreender o nível de segurança da informação, é possível que algumas “vulnerabilidades” ou “inadequações” sejam identificadas pelo profissional de privacidade e proteção de dados. Passemos a alguns exemplos corriqueiros:

1. Muitas pessoas dentro da empresa têm acesso a dados pessoais dos quais não têm necessidade para a execução de suas tarefas;

2. São coletados dados pessoais em excesso, dos quais a empresa não necessita; 

3. Não há procedimento padrão para a coleta de dados pessoais nos processos e departamentos da empresa;

4. Os dados pessoais ficam armazenados por tempo indeterminado em sistemas de fácil acesso ou em pastas e arquivos abertos; 

5. É feito o compartilhamento de dados pessoais com outros agentes de tratamento sem qualquer controle ou regulação das obrigações; 

6. É feita a coleta de dados pessoais sensíveis em hipóteses não previstas pela LGPD e sem finalidade clara; 

7. Os sistemas da empresa não contam com firewalls e bloqueios de segurança da informação; 

8. Não existe canal de comunicação para o exercício dos direitos dos titulares de dados;

9. Não há encarregado de dados ou Data Protection Officer (DPO) nomeado na organização;

10. Há relato de que os colaboradores não possuem uma cultura de privacidade e proteção de dados, permitindo o uso de seus dispositivos por terceiros, compartilhando senhas e clicando em links suspeitos.

Essas são consideradas vulnerabilidades comuns na hipótese de adequação de negócios à LGPD. A partir da identificação do cenário geral e tendo os dados pessoais mapeados, o profissional de privacidade poderá recomendar ajustes e mudanças no manejo de dados realizado pela empresa. 

Defina as Bases Legais, Documente as Operações e Demonstre a Conformidade

Além de adequar situações pontuais, processos e procedimentos, este profissional deverá delinear as bases legais segundo as quais a empresa trata determinado tipo de dado pessoal.

Todo tratamento de dados pessoais deve contar com uma base legal adequada para que o tratamento seja lícito, segundo a LGPD. 

A definição da base legal a ser utilizada geralmente reflete a finalidade da coleta do dado em questão.

Assim, se uma empresa coleta dados pessoais de cliente para viabilizar uma compra e venda, terá como base legal o artigo 7º, V, o qual prevê que o tratamento pode ser realizado “quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados”. Logo, trata-se de um raciocínio teleológico e relativamente simples. 

Dentre as bases legais da LGPD está o consentimento, previsto no artigo 7º, I e 11, I. É importante destacar que o consentimento do titular não é necessário em todos os processos de coleta de dados pessoais e que se trata de uma base legal de concepção mais complexa e que apresenta riscos.

Isso porque, o consentimento implica em uma gestão contínua, atualizando informações e atuando com transparência e assertividade junto ao titular. 

Inúmeras são as alegações que podem surgir contra a base legal do consentimento na coleta de dados. O consentimento pode demonstrar vícios, seja por coação, omissão de informações, erro, etc.

Além disso, há dados que as organizações necessitam coletar para o cumprimento de obrigações legais ou para agir em seu legítimo interesse, os quais não podem estar à mercê da vontade do titular, ou seja, do fato de que o titular poderá ou não fornecer o seu consentimento. 

Um claro exemplo dessa situação foi a aferição de temperatura dos colaboradores nas empresas devido à pandemia da COVID-19.

Considerando a necessidade de proteger o ambiente de trabalho, que é uma obrigação do empregador, não seria adequado que empresas ficassem reféns do consentimento (ou não) de seus empregados para que tomassem medidas de saúde e segurança. 

Neste caso, além de procurar por outras bases legais mais adequadas, como é o artigo 11, II, “f” para a hipótese em comento, é importante analisar se o legítimo interesse do agente de tratamento poderia ser uma base razoável na coleta de dados em várias outras operações de tratamento.

Além do mapeamento de dados, definição das bases legais e recomendações para adequação dos processos e procedimentos, é importante alinhar documentos e políticas que constituirão os pilares do Programa de Compliance em Privacidade & Proteção de Dados da empresa. É através desses documentos, políticas e do seu enforcement contínuo que a organização demonstrará sua conformidade com a LGPD. 

Alguns documentos são obrigatórios, conforme preceitua a lei e outros dependerão do modelo de negócios, bem como da adoção de boas práticas.  De forma geral, podemos citar os seguintes: 

1. Política de Privacidade e Proteção de dados de Titulares (para usuários de site da empresa, clientes e público externo);

2. Política de Privacidade e Proteção de dados de Colaboradores (vinculada ao contrato de trabalho); 

3. Política de Segurança da Informação;

4. Política de Gestão de Incidentes/Desastres; 

5. Avaliação de Legítimo Interesse (caso seja utilizada a base legal do legítimo interesse na coleta de dados);

6. Relatório de Impacto à Proteção de Dados Pessoais (RIPD); 

7. Registro das Operações de Tratamento de Dados Pessoais (ROPA);

8. Data Processing Agreement (caso exista compartilhamento de dados entre agentes de tratamento); 

9. Alterações em contratos consumeristas com inclusão de políticas aplicáveis;

10. Aviso de Privacidade em site.

A implementação de todas essas medidas, segundo as peculiaridades de cada modelo de negócio, certamente, contribuirá para a construção de um bom Programa de Compliance em Privacidade & Proteção de Dados.

Note-se que o Plano de Adequação contendo todas essas etapas para que a empresa esteja em conformidade é um primeiro e importante passo rumo ao estabelecimento do Programa.

Contudo, todo esse trabalho possui uma especial necessidade de treinamento e mudança de cultura focada em pessoas. Ainda que todos os documentos, processos e procedimentos possam estar devidamente adequados às premissas da LGPD dentro de uma organização, caberá aos seus indivíduos manter a conformidade diariamente. 

Assim, o aspecto comportamental e cultural é um componente decisivo para a maior ou menor conformidade da organização. Treinar, conscientizar e investir na práxis de que todos protejamos dados pessoais será um dos quesitos fundamentais  para as organizações na era da LGPD.  

Em conclusão, um bom Plano de Adequação à LGPD deve contar com uma análise sistêmica do negócio, tendo em vista seus processos e procedimentos, sistemas, pessoas e riscos. Por isso, deve-se empreender uma análise profunda do modelo de negócios e entender seus principais aspectos. 

Algumas características do negócio podem elevar o grau de complexidade e robustez do Plano de Adequação.

É o caso, por exemplo, das empresas que utilizam aplicações de Inteligência Artificial no tratamento de dados pessoais e que realizam decisões totalmente automatizadas sobre esse tratamento.

Considerando os riscos envolvidos e os debates éticos sobre essa coleta, trataremos da relação entre a Inteligência Artificial e a Proteção de dados pessoais em nosso próximo texto dessa série.

Assina a Newsletter da Turivius e garanta já conteúdos sobre Inovação, Direito e Tecnologia sua caixa de entrada!


Sumário

Posts Relacionados

Direito Empresarial: 4 Estratégias Práticas para Destacar sua Carreira
Explore as estratégias essenciais do Direito Empresarial e descubra como impulsionar sua carreira, seja atuando em escritórios especializados ou integrando
Veja como realizar um controle de prazos processuais de forma simples e segura

O controle de prazos processuais não é apenas uma tarefa rotineira, é uma prática que exige precisão, vigilância e uma

Teste o software gratuitamente

Pesquisa jurisprudencial com filtros de Inteligência Artificial e Jurimetria.