É certo que a Lei Geral de Proteção de Dados tem ganhado cada vez mais destaque desde sua entrada em vigor em 2020. Enquanto a Autoridade Nacional de Proteção de Dados organiza-se administrativamente e divulga as portarias que irão preencher as lacunas da lei, o movimento atual, portanto, tem sido caracterizado pela corrida das empresas em direção à conformidade.
A despeito do que muito se supõe, essa conformidade não surge de um dia por outro, consistindo em uma verdadeira força-tarefa, que se estende por meses e que deve ser coordenada por profissionais plenamente capacitados, dada a alta complexidade da matéria.
Um Programa de Adequação à Lei Geral de Proteção de Dados, se bem executado, deverá enfrentar uma série de etapas que servirão para adequar cada pilar da empresa à letra da lei, as quais serão devidamente descritas abaixo:
O mapeamento de dados, data mapping ou inventário de dados, consiste na discriminação e detalhamento de todos os dados que a empresa maneja em seu dia-a-dia. Através deste mapeamento aprofundado e bastante preciso, é possível diagnosticar as condições do tratamento de dados da empresa, e, a partir disso, traçar os planos de ação e transformações necessárias para alcançar a conformidade.
A necessidade de elaboração do R.O.P.A e do Relatório de Impacto advém da própria legislação: os art. 37 e 38 da LGPD estabelecem que as empresas devem desenvolver tais documentos para apresentarem à ANPD, se solicitado pela autoridade administrativa.
O R.O.P.A (Registro de Atividades de Tratamento) deverá identificar os tipos de dados pessoais tratados pela empresa, bem como atribuí-los a uma base legal adequada, e descreverá exatamente como as operações são realizadas com os dados, de modo que demonstre a vida do dado desde sua coleta até a exclusão. Em outras palavras, o R.O.P.A tem a missão de descrever o ciclo de vida dos dados na empresa.
Por sua vez, o Relatório de Impacto, com uma complexidade ainda maior, também deverá identificar os dados pessoais tratados pela empresa. Mas, adicionalmente, deverá apresentar o programa de mitigação de riscos com relação a esses tratamentos.
A revisão contratual será a oportunidade na qual serão revisadas todas as categorias contratuais abordadas pela empresa (fornecedores, colaboradores, terceiros, entre outros). Será neste momento que a empresa, formalmente, irá se adequar perante suas relações jurídicas, não deixando pontas neste sentido com relação à LGPD.
A revisão procedimental, por sua vez, será a oportunidade na qual serão corrigidos, adaptados ou criados procedimentos da empresa que de alguma maneira demandem otimizações no que diz respeito ao tratamento de dados pessoais.
A legislação determina, em seu art. 41, que toda empresa deverá nomear um encarregado de dados, o qual deverá ser identificado por seu nome e CPF publicamente nos canais de comunicação do controlador.
Dentre outras coisas, o encarregado de dados terá a função de responder reclamações e questionamentos acerca do tratamento de dados, receber comunicações e solicitações da Autoridade Nacional de Proteção de Dados e orientar funcionários com relação às boas práticas de tratamento na empresa.
O treinamento constante de colaboradores, parceiros e terceiros se faz imprescindível uma vez que pessoas são, de forma reiterada, a verdadeiras responsáveis e capazes de cultivarem a cultura de proteção de dados pessoais.
Dessa maneira, se fazem necessários treinamentos, cartilhas, palestras, avaliações, dinâmicas e todos os tipos de atividades que irão trazer esse compromisso da proteção de dados para as pessoas que movem a empresa.
Sabe-se que o Brasil, de modo geral, não carrega a cultura da proteção de dados pessoais. A lei trouxe consigo, portanto, a missão de trazer essa transformação para dentro de todas as instituições do país. A proteção de dados pessoais e, mais do que isso, sua cultura, é um desafio rotineiro, que deverá evoluir progressivamente com a colaboração das pessoas e com a instrução de profissionais capacitados.
