Adequação à LGPD

Ato de conscientizar, de fazer com que alguém saiba algo ou de passar a conhecer alguma coisa; é um processo de assimilação de um conhecimento.

No âmbito da LGPD a conscientização é uma das fases mais importantes do processo de adequação. É através dela que o empresário passará a entender a importância de observar os ditames da lei de proteção de dados, incorporando ao seu dia a dia a cultura da proteção de dados.

Compreende:

• Levantamento de Informações: Para que o projeto de adequação tenha êxito é preciso que o profissional de proteção de dados tenha amplo conhecimento do modelo de negócios do cliente. É na fase de levantamento de informações que isso irá acontecer; é nela que serão obtidos todos os subsídios para a efetivação da adequação.
• Reunião com o Cliente: Não basta ter informações sobre o negócio do cliente. O profissional de proteção de dados também precisa ter contato direto com ele por meio de reuniões, ocasião em que as informações complementares serão obtidas.
• Workshop: De posse do todas as informações necessárias o profissional de dados elaborará palestras, cursos e workshops para conscientizar o cliente e todos os seus colaboradores.
• Entregável: Terminadas todas as fases da primeira etapa, será elaborado um documento que demonstre a todos os interessados, em especial à ANPD – Autoridade Nacional de Proteção de Dados, que o cliente está em processo de adequação, constando nele todos os procedimentos que foram adotados, cursos, palestras e também eventual programa de adequação que ainda será implementado.

É a fase onde serão analisados todos os procedimentos adotados pela organização no que diz respeito aos dados pessoais, desde a coleta, armazenamento, seu uso, transferência e eventual descarte.

Nesta fase será confrontado o procedimento adotado pela empresa com o disposto na LGPD, para verificar se as bases legais de tratamento previstas na lei estão sendo observadas, assim como os princípios nela previstos.

Esta etapa compreende:

• Inventários dos dados pessoais: É o conjunto de informações relativas aos dados pessoais. Abrange todo o ciclo de vida dos dados, desde a chegada na empresa até seu eventual descarte. Faz parte do inventário:
  1. Mapeamento de Processos: consiste em efetivamente identificar quais dados pessoais são coletados pela empresa e para qual finalidade. É nesta fase que serão identificados os tipos de dados pessoais, se comuns ou sensíveis; é nela também que serão analisadas as bases legais e a finalidade da coleta.
  2. Data Mapping: finalizado o mapeamento será confeccionado o mapa de dados, documento que conterá um resumo de todo o ciclo de vida dos dados pessoais dentro da organização. É através do data mapping que o profissional de proteção de dados e o empresário poderão ter uma visão geral de todo o tratamento realizado pela empresa.
• Identificação de Vulnerabilidades: outra fase da segunda etapa de adequação é a análise das vulnerabilidades. Nela serão identificadas todas as possíveis falhas no procedimento de coleta, armazenamento e uso dos dados pessoais que possam vir a causar prejuízos à organização.
• Plano de Ação: Após mapeados os dados, catalogados no data mapping e identificadas as vulnerabilidades, será o momento de planejar o que será feito para colocar a organização em conformidade com a LGPD. É nesta fase que o profissional de proteção de dados irá demonstrar sua expertise no conhecimento da lei, pois um plano de ação bem elaborado trará enormes benefícios para a organização.
• Adequação: É a efetiva colocação da empresa em conformidade com a LGPD, fazendo-se as alterações nos procedimentos de coleta, armazenamento, uso, transferência e descarte dos dados pessoais, alinhando-os às bases legais e princípios previstos na legislação. Aqui também serão feitas as alterações nos contratos e demais documentos da empresa que fizerem referências ou uso de dados pessoais.
• Entregável: Terminadas todas as fases da segunda etapa, será elaborado um documento que demonstre a todos os interessados, em especial à ANPD – Autoridade Nacional de Proteção de Dados, que o cliente está adequado à lei, constando nele todos os procedimentos que foram adotados, cursos, palestras, programa de adequação realizado, documentos alterados e nível de segurança da adequação, documentação essa que servirá de evidência em eventual fiscalização.

O monitoramento em si não faz parte do projeto de adequação. Isso porque, ele é uma fase à parte dele e realizada após seu término.

Sua importância está no fato de que o projeto de adequação é um instrumento vivo que necessitará de constante observação e, quem sabe, adequação, pois o plano de negócios das empresas pode sofrer modificações no decorrer do tempo, adaptando-se a novos negócios que eventualmente possam surgir e que necessitem da coleta de novos dados pessoais ou sua utilização de uma forma não autorizada pelo titular.

Essa fase compreende:

• Fiscalização dos Procedimentos: Análise do projeto de adequação realizado e sua comparação com a efetiva coleta, armazenamento e uso dos dados pessoais, para verificar se os procedimentos realizados ainda estão de acordo com o planejamento elaborado e efetivado na empresa.
• Ajuste: Consiste na realização de eventuais correções nos procedimentos efetivamente executados pela empresa, caso os mesmos estejam em desacordo com o projeto de adequação.
• Entregável: Terminadas as fases da terceira etapa, será elaborado um documento que demonstre a todos os interessados, em especial à ANPD – Autoridade Nacional de Proteção de Dados, que o cliente continua adequado à lei, constando nele todos os procedimentos de correção que eventualmente foram adotados, documentação essa que servirá de evidência em eventual fiscalização.