Aproximando-se da data de entrada em vigor das penalidades da Lei Geral de Proteção de Dados Pessoais ("LGPD"), a quantidade de empresas que realizam atividades de tratamento de dados pessoais ("Agentes de Tratamento") que deram início a projetos de adequação à LGPD tem aumentado. No entanto, por conta de variados motivos — entre eles a pressa e a falta de capacitação — alguns projetos têm sido realizados de forma incompleta.
Importante ressaltar neste ponto que nenhum projeto de adequação é igual a outro, podendo variar caso a caso. Todavia, a intenção aqui é dar um panorama geral dos aspectos mais relevantes de tais projetos.
Assim, podemos destacar, os seguintes aspectos/fases, não necessariamente nesta ordem:
1) Mapeamento da(s) Atividade(s) de Tratamento de Dados Pessoais
Um projeto de adequação à LGPD pode ser dividido em dois momentos, o (i) pré-Data Mapping, momento em que as atividades do Agente de Tratamento são analisadas e mapeadas, e (ii) o pós-Data Mapping, momento em que as medidas a serem adotadas pelo Agente de Tratamento serão definidas (com base na análise de seu Data Mapping).
O Data Mapping é o documento que apresenta de forma clara o mapeamento de cada atividade de tratamento de dados pessoais realizada pelo Agente de Tratamento. Neste sentido, alguns afirmam que o Data Mapping é a "espinha dorsal" de qualquer projeto de adequação à LGPD, tendo em vista que este é responsável por orientá-lo durante todas as suas etapas.
2) Conscientização e Treinamento de Funcionários
O fator humano é outro aspecto que merece muita atenção — eventualmente até mais atenção do que a implementação e/ou a atualização de sistemas de segurança que pode se fazer necessária. Segundo pesquisa realizada pela CybSafe, a maioria dos casos de vazamento de dados costuma ocorrer por falha humana, o que torna essencial abordar esta frente em um projeto de adequação.
Nesse sentido, é de primordial importância que as empresas treinem e conscientizem seus funcionários sobre o tema da proteção de dados e, além disso, registrem essas iniciativas, para que possam futuramente demonstrá-las para terceiros, em especial a autoridade nacional.
No entanto, essa prática ainda não é comum no Brasil, conforme resultado da 5ª Pesquisa Nacional sobre Conscientização em Segurança da Informação, indicando que, em 2020, menos de 30% das empresas possuíam um programa de conscientização e capacitação dedicado à proteção de dados pessoais.
3) Adequação Contratual
A adequação contratual é sem dúvida uma das principais causas de dores de cabeça quando o assunto é LPGD. Isso acontece porque, após a sua entrada em vigor, tornou-se importante adequar minutas padrão adotadas anteriormente para refletir as modificações introduzidas pela nova lei. Ademais, é importante revisitar contratações realizadas mesmo antes da LGPD e, eventualmente, proceder a adequações necessárias, conforme o caso.
Sobre esta questão, para que a adequação contratual seja realizada de forma eficiente, é essencial que sejam observados dois aspectos: (i) quantitativo, referente ao número de contratos a serem aditados, tendo em vista que aditar todo e qualquer contrato não é normalmente necessário, e (ii) qualitativo, referente a qualidade dos aditivos que serão utilizados, tendo em vista que a mera menção à LGPD não produz efeitos do ponto de vista prático, sendo importante endereçar questões específicas em determinados casos.
4) Indicação de Encarregado
O encarregado é a pessoa (física ou jurídica) indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares de dados e a autoridade nacional. Alguns se referem ao encarregado como o "guardião da LGPD", tendo em vista que ele é o responsável por garantir que as atividades de tratamento de dados realizadas pela empresa onde trabalha estejam de acordo com a LGPD.
No entanto, uma questão sobre este tema ainda paira no ar: a indicação de um encarregado é obrigatória para qualquer negócio que realize atividades de tratamento de dados pessoais? Num primeiro momento, a resposta para esta questão parece ser positiva, tendo em vista que a LGPD prevê expressamente que o Controlador "deverá" indicar um encarregado. No entanto, essa obrigatoriedade pode parecer excessiva ao analisarmos, por exemplo, o caso de um comércio de esquina que coleta poucos dados pessoais e mal consegue arcar com seus custos operacionais. Em síntese, esta é uma questão que ainda promete gerar desdobramentos, podendo, contudo, ser "pacificada" pela autoridade nacional, que tem competência para estabelecer normas complementares sobre o tema.
5) Estabelecimento de um Programa de Governança em Privacidade
O projeto de adequação à LGPD acaba, o programa de governança não. Sendo assim, é essencial que, após o término do projeto de adequação, o Agente de Tratamento fomente iniciativas que versem sobre a proteção de dados pessoais, para que, dessa forma, o tema se consolide dentro da empresa.
A criação de procedimentos e políticas internas é um importante aspecto de um projeto de adequação. Todavia, é importante que o cumprimento de tais procedimentos e políticas seja posteriormente monitorado pela empresa e isso faz parte do programa de governança de dados a ser implementado e mantido pela empresa após o encerramento do projeto.
Se adequar à LGPD deve ser uma prioridade para as empresas de todo o Brasil. Seja porque a LGPD já está em vigor, seja porque as penalidades começarão a ser aplicadas em agosto deste ano. No entanto, é necessário realizar um projeto de adequação adequado, caso contrário, o retrabalho pode se tornar uma amarga realidade.
Renata Ciampi / Ítalo Lima
Equipe de Tecnologia, Propriedade Intelectual e Direito Digital - Motta Fernandes