É certo que a Lei Geral de Proteção de Dados tem ganhado cada vez mais destaque desde sua entrada em vigor em 2020. Enquanto a Autoridade Nacional de Proteção de Dados organiza-se administrativamente e divulga as portarias que irão preencher as lacunas da lei, o movimento atual, portanto, tem sido caracterizado pela corrida das empresas em direção à conformidade.
A despeito do que muito se supõe, essa conformidade não surge de um dia por outro, consistindo em uma verdadeira força-tarefa, que se estende por meses e que deve ser coordenada por profissionais plenamente capacitados, dada a alta complexidade da matéria.
Um Programa de Adequação à Lei Geral de Proteção de Dados, se bem executado, deverá enfrentar uma série de etapas que servirão para adequar cada pilar da empresa à letra da lei, as quais serão devidamente descritas abaixo:
1. Mapeamento de Dados
O mapeamento de dados, data mapping ou inventário de dados, consiste na discriminação e detalhamento de todos os dados que a empresa maneja em seu dia-a-dia. Através deste mapeamento aprofundado e bastante preciso, é possível diagnosticar as condições do tratamento de dados da empresa, e, a partir disso, traçar os planos de ação e transformações necessárias para alcançar a conformidade.
2. Elaboração do R.O.P.A (Registro das Atividades de Tratamento) e Relatório de Impacto
A necessidade de elaboração do R.O.P.A e do Relatório de Impacto advém da própria legislação: os art. 37 e 38 da LGPD estabelecem que as empresas devem desenvolver tais documentos para apresentarem à ANPD, se solicitado pela autoridade administrativa.
O R.O.P.A (Registro de Atividades de Tratamento) deverá identificar os tipos de dados pessoais tratados pela empresa, bem como atribuí-los a uma base legal adequada, e descreverá exatamente como as operações são realizadas com os dados, de modo que demonstre a vida do dado desde sua coleta até a exclusão. Em outras palavras, o R.O.P.A tem a missão de descrever o ciclo de vida dos dados na empresa.
Por sua vez, o Relatório de Impacto, com uma complexidade ainda maior, também deverá identificar os dados pessoais tratados pela empresa. Mas, adicionalmente, deverá apresentar o programa de mitigação de riscos com relação a esses tratamentos.
3. Revisão Contratual e Procedimental
A revisão contratual será a oportunidade na qual serão revisadas todas as categorias contratuais abordadas pela empresa (fornecedores, colaboradores, terceiros, entre outros). Será neste momento que a empresa, formalmente, irá se adequar perante suas relações jurídicas, não deixando pontas neste sentido com relação à LGPD.
A revisão procedimental, por sua vez, será a oportunidade na qual serão corrigidos, adaptados ou criados procedimentos da empresa que de alguma maneira demandem otimizações no que diz respeito ao tratamento de dados pessoais.
4. Nomeação do Encarregado de Dados (Data Protection Officer)
A legislação determina, em seu art. 41, que toda empresa deverá nomear um encarregado de dados, o qual deverá ser identificado por seu nome e CPF publicamente nos canais de comunicação do controlador.
Dentre outras coisas, o encarregado de dados terá a função de responder reclamações e questionamentos acerca do tratamento de dados, receber comunicações e solicitações da Autoridade Nacional de Proteção de Dados e orientar funcionários com relação às boas práticas de tratamento na empresa.
5. Treinamento de Colaboradores, Parceiros e Terceiros
O treinamento constante de colaboradores, parceiros e terceiros se faz imprescindível uma vez que pessoas são, de forma reiterada, a verdadeiras responsáveis e capazes de cultivarem a cultura de proteção de dados pessoais.
Dessa maneira, se fazem necessários treinamentos, cartilhas, palestras, avaliações, dinâmicas e todos os tipos de atividades que irão trazer esse compromisso da proteção de dados para as pessoas que movem a empresa.
Sabe-se que o Brasil, de modo geral, não carrega a cultura da proteção de dados pessoais. A lei trouxe consigo, portanto, a missão de trazer essa transformação para dentro de todas as instituições do país. A proteção de dados pessoais e, mais do que isso, sua cultura, é um desafio rotineiro, que deverá evoluir progressivamente com a colaboração das pessoas e com a instrução de profissionais capacitados.