A realização de projetos de adequação à Lei Geral de Proteção de Dados Pessoais ("LGPD") tem se tornado, e com razão, uma prática de alta relevância na pauta de empresas que realizam tratamento de dados pessoais ("Agentes de Tratamento"). No entanto, para que um projeto de adequação produza os resultados desejados, é essencial que este seja realizado de forma estratégica, isto é, levando em consideração as melhores práticas da área e as particularidades de cada empresa.
Nesse sentido, destacam-se algumas das principais práticas a serem evitadas durante a realização de projetos de adequação à LGPD:
1) Contratação de serviços genéricos
Apesar de possuírem algumas características básicas em comum, cada projeto de adequação possui características únicas, tendo em vista que deve ser desenvolvido com base na atividade desempenhada pelo Agente de Tratamento no caso concreto. Diante disso, cai por terra a possibilidade de contratação de serviços genéricos, como a compra de fichas e modelos "Padrão LGPD", pois, afinal, como poderia um modelo padrão se propor a resolver problemas específicos?
Evite "soluções mágicas" e opte pela contratação de profissionais que realmente entendam do assunto e que estejam dispostos a desempenhar suas atividades com a devida seriedade.
2) Deixar de montar um grupo de trabalho multidisciplinar
Se engana quem pensa que a LGPD exige adequação de apenas um setor da empresa. Para que se possa realizar um projeto de adequação eficiente e coordenado, faz-se necessário analisar todo o ciclo de vida dos dados tratados pelo Agente de Tratamento, processo este que pode envolver diversos setores da empresa.
Para facilitar o desenvolvimento do projeto, crie um grupo de trabalho com funcionários que operem em áreas cruciais da empresa. O intuito é que cada um deles atue como um ponto de conexão entre o projeto e sua respectiva área, auxiliando, desta forma, na coordenação e visão holística do processo.
3) Deixar de envolver a alta administração
No que se refere à forma de realização de atividades de tratamento de dados pessoais, a entrada em vigor da LGPD tem gerado verdadeira mudança cultural em muitas empresas. Diante disso, é natural que se presencie certa resistência por parte de colaboradores frente a eventuais novas práticas a serem adotadas em suas atividades. No entanto, essa resistência pode ser evitada — ou ao menos minimizada — através do envolvimento da alta administração da empresa neste processo, ação esta que passa aos colaboradores a real importância do projeto.
Peça para que a alta administração dê aval ao projeto e exponha a relevância deste aos funcionários sempre que possível. Faça com que o exemplo venha de cima e desta forma angarie mais adeptos do projeto com um todo.
4) Elaborar documentos sem realizar análises prévias
A elaboração de documentos é sempre o melhor caminho para tornar uma atividade de tratamento de dados mais segura, certo? Na realidade, não. A elaboração de documentos que fortaleçam o Programa de Compliance de Dados do Agente de Tratamento — ex. Política de Privacidade —, quando feita de forma desorientada, pode ser uma prática desvantajosa, tendo em vista que abre margem a gastos possivelmente desnecessários e inefetivos.
Durante a realização do projeto de adequação, certifique-se de que a elaboração de cada documento seja precedida da análise de sua real necessidade, bem como de sua viabilidade. A elaboração de documentos é essencial para garantir a adequação do Agente de Tratamento, no entanto, esta deve ser gerida de forma estratégica.
5) Achar que ter uma Política de Privacidade padrão resolve problemas específicos
A Política de Privacidade é o documento que retrata a atividade realizada pelo Agente de Tratamento no plano prático, conferindo transparência à mesma. Neste caso, esbarramos em uma impossibilidade semelhante à apresentada no item 1), afinal, não é possível elaborar uma Política de Privacidade que forneça um retrato fiel da atividade realizada pelo Agente de Tratamento através de um modelo que não leva em conta nenhuma das particularidades da empresa.
Para que uma Política de Privacidade seja considerada adequada, isto é, clara e fiel quanto a forma como os dados pessoais são tratados, ela deverá ser elaborada com base na atividade realizada pelo Agente de Tratamento no plano prático.
Conclusão
Realizar um projeto de adequação é uma das principais formas de se adequar às novas obrigações impostas pela LGPD, no entanto, é importante que o projeto seja desenvolvido de forma adequada, sob pena de gerar custos desnecessários e inefetivos.
Equipe de Tecnologia, Propriedade Intelectual e Direito Digital - Motta Fernandes