Que boa parte das empresas e das organizações sociais brasileiras ainda não se adaptou às regras da Lei Geral de Proteção de Dados Pessoais (LGPD), já se sabia. Entretanto, levantamento do Tribunal de Contas da União (TCU) revelou uma realidade bem assustadora. Dos 386 entes federais pesquisados, três em cada quatro (76,7%) ainda não estão preparados para cumprir a legislação.
Diante desses números, o TCU publicou recentemente o Acórdão
nº 1.384/2022 recomendando ao Conselho Nacional de Justiça e ao Conselho
Nacional do Ministério Público que consultassem à Autoridade Nacional de
Proteção de Dados (ANDP) e editassem normativos e guias para auxiliar o
processo de adequação das organizações à LGPD.
Estes documentos deverão incluir ainda orientações quanto às
ações, documentos, políticas e procedimentos previstos na lei e considerados
indispensáveis para todo Programa de Privacidade e Proteção de Dados Pessoais e,
portanto, necessitam ser implementados pelas instituições.
Entre as principais orientações destacam-se planejar medidas
necessárias para adequação à LGPD; elaborar a Política de Proteção de Dados
Pessoais; realizar o levantamento e a manutenção de registro das operações de
tratamento de dados pessoais; identificar normativos correlatos ao tratamento de
dados pessoais aplicáveis à organização; identificar as categorias de titulares
de dados pessoais com os quais se relacionam; a adequação dos contratos
firmados com os operadores de forma a estabelecer, claramente, os papéis e as responsabilidades
relacionados à proteção de dados pessoais; identificar e documentar as
finalidades das atividades de tratamento de dados pessoais, bem como as bases
legais que fundamentam as atividades de tratamento de dados pessoais; identificar
normativos correlatos ao tratamento de dados pessoais específicos aplicáveis à
organização; identificara categorias de titulares de dados pessoais com os quais
se relacionam; identificar os operadores que realizam tratamento de dados pessoais
em seus nomes; identificar os processos de negócio da organização que realizam
tratamento d e dados pessoais.
Além disso, realizar a manutenção periódica de registro das
operações de tratamento de dados pessoais; avaliar e classificar os riscos
relacionados aos processos de tratamento de dados pessoais; medir a ocorrência
de tratamento de dados pessoais com o envolvimento de controlador conjunto e a definição
de papéis e responsabilidades de cada um dos controladores; adequar os
contratos firmados com os operadores de forma a estabelecer, claramente, os
papéis e as responsabilidades relacionados à proteção de dados pessoais.
Também elaborar um plano de capacitação que considere a
realização de treinamento e conscientização dos colaboradores em proteção de
dados pessoais; uma política de classificação da informação que considere a
classificação de dados pessoais; o Relatório de Impacto à Proteção de Dados
Pessoais e implementar controles para mitigar os riscos identificados; um Plano
de Resposta a Incidentes e a implementação de controles para o tratamento de
ocorrências relacionadas à violação de dados pessoais.
“De 386 entes federais pesquisados pelo TCU, três em cada quatro ainda não estão preparados para cumprir a legislação”
Ainda adotar medidas de segurança para proteção de dados
pessoais; e medidas de proteção de dados pessoais desde a fase de concepção até
a de execução de processos e sistemas (Privacy by Design), incluindo a coleta
de dados limitada ao que é estritamente necessário ao alcance do propósito
definido (Privacy by Default).
Implementar procedimentos internos mais céleres e controles
simplificados para o uso compartilhado de dados pessoais, bem como controles
para o compartilhamento de dados pessoais com terceiros; processos de controle
de acesso de usuários em sistemas que realizam tratamento de dados pessoais; e
mecanismos para atendimento dos direitos dos titulares elencados no art. 18 da
Lei nº 13.709/2018.
Por todas as ações, documentos, políticas e procedimentos, é
possível compreender integralmente a complexidade e o trabalho envolvidos durante
a consultoria em privacidade e proteção de dados. Este processo deve contar com
uma equipe técnica, capacitada e multidisciplinar, capaz de compreender as
especificidades do negócio da organização e de recomendar as melhores práticas para
a proteção dos dados pessoais, sem prejudicar o funcionamento ou a expansão das
operações. Assume, com isso, um papel potencializador do negócio.
Embora as regras sejam as mesmas para todas as organizações,
a realidade de cada uma é diferente e, portanto, cada projeto de implementação
de proteção de dados deve ser considerado único.
O trabalho da consultoria é imprescindível para a
implementação eficaz de um Programa de Privacidade e Proteção de Dados, pois
auxilia na criação de procedimentos e ferramentas que possibilitarão o desenvolvimento
de uma cultura de privacidade e uma gestão da governança dos dados efetiva em toda
a instituição.
Por fim, o apoio e a assessoria prestada pela consultoria especializada
proporcionarão a construção de um planejamento que norteie o controlador a adotar
medidas de segurança, técnicas, administrativas e jurídicas, aptas a proteger os
dados pessoais dos titulares e criar mecanismos para evitar que violações de segurança
afetem os dados coletados.
Ao trilhar este caminho, a organização certamente
demonstrará aos órgãos fiscalizadores, como o Ministério Público e a Autoridade
Nacional de Proteção de Dados, todo o seu trabalho de adaptação e conformidade
coma LGPD.
Por: Renata Lima e Carlos Salgado
Renata Lima e Carlos Salgado são advogados e sócios do
Lima& Reis Sociedade de Advogados, escritório especializado em Terceiro
Setor.
Fonte: valor.globo.com
