A adequação das empresas à LGPD é bem mais complexa do que possa parecer. É necessário ter um conhecimento prévio de toda sua atividade empresarial, uma vez que as políticas de tratamento de dados envolvem TODA as áreas da empresa.

Portanto, antes de se falar em Assessement Risk, Relatórios de Impacto (similar ao DPIA do General Data Protection Regulation), contratação de Controlado e Operador de tratamento de Dados, Encarregado de Dados (similar ao DPO do GDPR), empresas terceiras para realizar o tratamento dos dados etc., é necessário entendimento sobre esse compliance. A LGPD consolida a necessidade do uso ético, seguro e responsável dos dados pessoais, e a adequação consiste em verdadeiro plano multidisciplinar para que toda empresa alcance esses objetivos, ou seja não deve ser projeto de uma área, mas da própria empresa. Não basta, portanto, sanear apenas um ou mais setores, as regras e princípios de privacidade e proteção de dados precisam ser inseridos e previstos nos princípios, valores e missões de toda a corporação.

Para tanto, algumas providências são fundamentais, quais sejam:

i) o board da empresa deve dar visibilidade corporativa sobre a importância do projeto de adequação;

ii) nomear comitê multidisciplinar que será responsável por elaborar o plano de adequação à LGPD com visão holística; e

iii) designar Project Management Ofice – PMO para conduzir e gerenciar o projeto de adequação, por meio de medidas de padronização e efetividade, junto com o comitê; posteriormente, a providência será a própria implementação desse plano.

Ou seja, a ideia é que os agentes de tratamento que respondem pela Lei (qualquer pessoa jurídica ou natural que trate dados pessoais7 e que não esteja enquadrada nas causas de exceção de aplicabilidade do art. 4º8) tenham uma área estruturada e em mãos um plano de ação, verdadeiro passo a passo que mapeie e classifique as atividades, instrua os profissionais envolvidos e indique a contratação de novos colaboradores se necessário, reformule estruturas, planeje e implante normas internas de conformidades, etc.

O plano de adequação, em razão dessas aptidões práticas, passa a ser ferramenta fundamental a viabilizar que o agente de tratamento esteja em conformidade com a LGPD.

O primeiro passo é mapear as atividades e todo o data flow. É nessa análise de risco ou risk assessment que de fato se entende o cenário das mais variadas atividades da empresa e modelos de negócio pautados em dados pessoais.

E por que essa análise é fundamental? Porque é a partir dela que se extrai o retrato de conformidade do fluxo de dados em todas as áreas da empresa, visando avaliar a legalidade e apontar ajustes (gap analysis).

Em outros termos, o compliance não se dá de qualquer forma, mas passa necessariamente por referida avaliação, uma vez que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem (art. 37). Isso sem prejuízo das regras que devem prever a realização de Relatórios de Impacto à Proteção de Dados Pessoais,9 que poderá ser exigido pela Autoridade Nacional de Proteção de Dados – ANPD (Arts. 10, §3º, 32, e 38), e visa, por meio da descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, traçar medidas, salvaguardas e mecanismos de mitigação de riscos. Isso tudo é fundamental para se avaliar, por exemplo, quais bases legais de tratamento são necessárias, se é possível a comunicação ou o uso compartilhado entre as empresas, o quanto vale a pena investir em medidas de anonimização e a existência de padrões ou normas técnicas específicas.

Identifica-se também qual o ciclo de vida dos dados pessoais na empresa. Isso é fundamental para se compreender quais departamentos e colaboradores devem ser instruídos e onde devem ser aplicadas as soluções tecnológicas, de segurança e procedimentos para garantir a contenção de tais informações, por exemplo.

Também se apura, na prática, qual a categorização legal da empresa que trata os dados pessoais, se será considerada controladora ou operadora10.

Por que essa compreensão é importante? Porque é a partir dela que se sabem quais medidas de adequação devem ser adotadas e a quais riscos de responsabilização a empresa está submetida. Enfim, a análise de risco permite que seja tirada verdadeira fotografia da atividade de tratamento de dados pessoais da empresa, representando o ponto de partida das medidas de adequação.

A segunda providência do Plano de Adequação, de certa forma relacionada à própria análise de risco, é demonstrar a necessidade do comprometimento dos profissionais com poder de direção em relação à adequação da empresa.

A conformidade depende, necessariamente, da destinação de recursos humanos e financeiros, sendo importante que os administradores tenham essa consciência. É investimento a ser feito hoje, que diminuirá os riscos de incidentes de dados pessoais, mitigando prejuízos sancionatórios e de reputação. Melhor atuar preventivamente hoje ou sujeitar a empresa a multas de até 50 milhões de reais por infração (art. 52, II)? Prevenir é sempre melhor que remediar.

Outra medida de adequação importante é a contratação pelos controladores de profissional vocacionado a assegurar a conformidade da empresa com a LGPD e a realizar a interlocução com a ANPD. Deve a administração da empresa nomear o chamado Encarregado (art. 5º, VIII) ou Data Protection Oficer, atendendo ao que dispõe o art. 41. A quem estiver nessa função competirá aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, receber comunicações da autoridade nacional e adotar providências, orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. Como visto, são tarefas variadas e complexas, razão pela qual além do DPO, é importante que a empresa estruture uma área com profissionais que lhe deem respaldo.

Como quarta providência de destaque do Plano está a adoção de medidas de segurança, a fim de proteger o tratamento de dados pessoais e a contenção das informações. As medidas de segurança são destinadas a mitigar acessos não autorizados aos dados pessoais tratados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilegal (art. 46). São medidas fundamentais e, em realidade, são essas medidas que também vão manter o agente de tratamento em conformidade.

O Plano de Adequação também será responsável por implementar as chamadas medidas de boa governança (art. 50), ou seja, medidas que resultem na organização interna com padrões, normas e procedimentos por meio da implementação de programa de governança em privacidade que no mínimo demonstre o comprometimento do agente em buscar o cumprimento da lei. É nesse ponto, por exemplo, que serão criadas ou ajustadas as políticas internas de segurança da informação, assim como os jobs descriptions dos colaboradores, os códigos de ética, o manual de incidente de segurança, dentre outros.

Por fim, também será fundamental a criação da cultura de proteção de dados, o que pode ser iniciado por meio de cursos, palestras e simulações para instrução permanente dos colaboradores, a fim de demonstrar a importância do tema e esclarecer os riscos a que a empresa e os próprios profissionais estão sujeitos. Como qualquer providência de organização, o comprometimento das pessoas direta ou indiretamente envolvidas e o direcionamento top-down são absolutamente fundamentais.

Portanto, o Plano de Adequação se apresenta como ferramenta fundamental e mais adequada, do ponto de vista prático, para colocar a empresa em compliance com a LGPD, pois reúne, de forma direcionada, todas as medidas necessárias e viabiliza a conformidade da empresa ponta a ponta – da análise da atividade e dos riscos envolvidos até a implementação das providências concretas de ajuste.