Artigo
Colaboradores conscientes e inventário de dados
O advogado Paulo Barros, que estuda sobre compliance e integridade corporativa, reforça que os dois tópicos acima não podem ficar fora da lista de início de ano da empresa que quer, de fato, se adequar à LGPD, que entra em vigor em agosto
17/1/2020
O ano de 2019 acabou e 2020 iniciou como um desassossego para as empresas e profissionais que de certa forma estão na caminhada para se adequarem à LGPD. Muitos questionamentos sobre "o que fazer para estar em compliance com a Lei Geral de Proteção de Dados Pessoais" ainda surgem nas rodas de conversas leigas e naquelas puramente técnicas. Certo é que não há manual para percorrer esse labirinto em que a luz está, muitas das vezes, acima da seara da fácil compreensão. Contudo, nada se resolve por meio de lamúrias, o que exige um pronto agir no sentido de iniciar a corrida em busca da almejada conformidade.
Não há mais tempo a perder, e os palpites de que a entrada em vigência da LGPD seria postergada já aparece em seu último suspiro, visto à PEC n° 17/2019 que tramita agora na Câmara dos Deputados, após aprovação no Senado Federal.
Nessa toada, o que vemos são organizações querendo começar o processo de conformidade do zero, ignorando tristemente a cultura e os processos já existentes, mas que precisam ganhar robustez e forma para se exteriorizarem. Voltemos a atenção para os pontos-chave e o planejamento vai delineando o que será mais sadio para a organização.
Meus colaboradores sabem o que é LGPD e quais são as suas premissas?
Atenção! Esta pergunta não pode deixar de ser feita.
Não é necessário ter doutores no assunto proteção de dados pessoais dentro de uma organização, no entanto, como posso pensar em alcançar a conformidade com uma lei de tamanha evidência, se meus colaboradores não compreendem o que são dados pessoais e se realizam o tratamento deles no seu labor diário? Por isso, o ponto de maior vulnerabilidade deve ser trabalhado como prioridade. Isso mesmo, os colaboradores precisam saber o que são dados pessoais, o que é tratamento de dados pessoais, as bases legais e por aí vai. São eles que levarão às áreas de negócio o inventário de dados do seu setor, cabendo a quem ou ao grupo que é responsável pelo projeto de conformidade à LGPD condensar e estruturar o que toda a empresa revelou.
Devo realizar o inventário de dados pessoais em primeiro lugar?
"O ponto de maior vulnerabilidade deve ser trabalhado como prioridade. Isso mesmo, os colaboradores precisam saber o que são dados pessoais, o que é tratamento de dados pessoais, as bases legais e por aí vai. São eles que levarão às áreas de negócio o inventário de dados do seu setor"
Como dito acima, não há manual para se alcançar a conformidade com a LGPD. Em sendo assim, cada organização vai dar o primeiro passo baseando-se no volume de dados pessoais que trata, na sua estrutura física e humana e considerando outras métricas que se fizerem necessárias à decisão.
No entanto, acredito que o inventário de dados deve ocorrer quando se puder enxergar e quantificar, com maior clareza, a extensão do banco de dados que a organização possui. Para isso é importante que todos os núcleos/setores saibam indicar os dados pessoais que tratam, quais são indispensáveis ao trabalho que realizam, de que forma são armazenados, com quem são compartilhados, entre outras informações de extrema relevância para um posterior inventário.
Logo, o inventário deve, ao meu juízo, aparecer como o terceiro destaque, pois primeiro se conscientiza a alta gestão, após capacita os colaboradores e depois realiza-se o inventário de dados.
Seguindo essa ordem é fácil se adequar à LGPD, verdade ou mito?
Pode sim ser verdade, no entanto as fases/etapas de um projeto de tamanha magnitude devem ser criteriosamente estruturadas e combinar visões múltiplas, a exemplo, visão de processos, visão jurídica e de tecnologia. As três visões acima elencadas se complementam e atuam também como ponto de debate e ruptura de conceitos tendentes a apenas um ponto de vista. Ademais o que se procura é a conformidade em seu sentido amplo, razão pela qual é de extrema importância a multidisciplinaridade do projeto, visto que a criticidade exige isso.
Além disso, deve-se colocar a mão na massa, atribuindo as bases legais pertinentes ao tratamento dos dados pessoais, combinando finalidade do tratamento com a necessidade do tratamento e respeitando sempre os direitos do titular. Pensando assim, com esse olhar voltado para o titular, é possível estruturar uma boa política de privacidade, revisar as normas internas da organização, bem como, os contratos que regulam o relacionamento com terceiros.
Não se esqueçam dos artigos 42º e 52º da LGPD, pois além dos direitos do titular, a segurança e as boas práticas correspondem ao que as empresas precisam efetivamente difundir e converter em sólidos pilares estruturais da organização. Ainda que a organização não esteja totalmente em conformidade, a existência de políticas de segurança da informação, privacidade e governança corporativa já são ponto crucial para minimizar os possíveis impactos negativos de uma sanção que, a meu ver, não será objeto de primeira linha da ANPD neste 2020, um ano que poderá ser visto como de educação para a conformidade.
Não perca tempo, entre nessa corrida e saia vitorioso!
Também quer colaborar?
A expectativa deste portal, colaborativo e dinâmico, é integrar opiniões divergentes e convergentes sobre a LGPD, desafios e conquistas da lei. É um ambiente aberto ao debate plural e com a vocação de serviço público: precisa da sociedade civil, governo, setor privado, academia e imprensa para crescer e alcançar o objetivo, comum a todos, de ajudar a zelar pela privacidade e proteção dos dados dos cidadãos do país. Se você também tem algum conteúdo recente - ou mesmo exclusivo - autoral ou autorizado relacionado à LGPD, e que seja de interesse público, clique aqui e veja como contribuir.
