Acabamos de assistir o fim da primeira temporada da LGPD, que podemos batizar de "LGPDrama - A data de início", encerrada com o tão aguardado e desesperador início de vigência da lei.
Agora partimos para a segunda temporada: "A Adequação", com as empresas desesperadas para se adaptarem a LGPD, mas ainda repleta de incertezas jurídicas.
Eu já palestrei algumas vezes sugerindo "5 passos para adequação a LGPD". Revisando esse material, acredito que podemos generalizar a jornada em, pelo menos, 7 macro-atividades fundamentais para adequação a LGPD, que incluem os seguintes passos:
- Estabelecer o DPO e um grupo de trabalho multidisciplinar (ex: Conselho ou Comitê de Privacidade)
- Definir o canal de comunicação com o DPO e publicar no site as informações de contato
- Ações de Cultura e Conscientização
- Treinamentos e campanhas de conscientização sobre importância da privacidade, a LGPD e boas práticas
- Mapeamento / Inventário de dados
- Identificar os cenários de uso e armazenamento de dados pessoais
- Identificar a necessidade dos dados pessoais e respectiva base legal
- Identificar fontes de coleta, necessidade e existência de consentimento
- Mapeamento com o ciclo de vida de tratamento dos dados (coleta, uso, guarda, exclusão)
- Rastreabilidade de Compartilhamento e transferência de dados (identificar fornecedores e parceiros)
- Adequação Jurídica
- Revisão dos Termos de Privacidade e termos de uso
- Revisão de políticas internas
- Revisão de contratos com fornecedores, terceiros, clientes e colaboradores
- Elaborar e publicar uma Política de Privacidade
- Publicar em seus canais de comunicação um Aviso de Privacidade e Proteção de Dados
- Notificar os colaboradores sobre atualizações das políticas internas e sobre o uso de dados pessoais. Solicitar o aceite
- Estabelecer canais de comunicação com os titulares de dados
- Portal de comunicação para os direitos dos titulares
- Disponibilizar informações no site e no Aplicativo
- Revisar procedimentos na Central de Atendimento
- Definir processo para atendimento de solicitações dos titulares de dados
- Adequação de softwares e sistemas corporativos
- Incluir os princípios de Privacy by Design e Privacy by Default na concepção de produtos e na esteira de desenvolvimento
- Ajustes nos controles de Segurança da Informação e de Compliance
- Ajustes em processos, produtos e aplicações
- Novas funcionalidades de Privacidade (ex: "Portal de privacidade" no app)
- Gestão do consentimento
- Revisão dos processos de backup e exclusão dos dados
- Identificar cenários em que os dados pessoais possam ser anonimizados
- Revisar procedimento de resposta e notificação de incidentes
- Cuidado extra no monitoramento de incidentes relacionados a dados pessoais
- Estabelecer estratégia de notificação envolvendo os titulares de dados e autoridades (ANPD)
- Estabelecer e treinar a estratégia de comunicação pública de incidentes
- Até que haja uma determinação em contrário, a LGPD se aplica praticamente a qualquer empresa, do salão de beleza a um grande banco. Isso porque ela se aplica a qualquer empresa que colete, receba ou processe dados pessoais, no meio físico ou digital;
- Mesmo com as sanções só valendo a partir de Agosto de 2021, as empresas já devem se adequar a lei. Em caso de incidentes, o ministério público e clientes podem decidir processar a empresa com base na LGPD;
- Embora existam muitos pontos de dúvida e incerteza que dependem de decisão e regulação da ANPD, as empresas ainda assim tem que adequar a lei, e muitas vezes recorrem a consultorias ou a experiências de empresas em outros países para ter uma solução provisória de adequação.
Para saber mais:
- Empresas especializadas em vender dados pessoais serão "travadas" por nova lei
- A Serasa construiu uma página sobre a LGPD, bem estruturada e com muito conteúdo: https://www.serasaexperian.com.br/protecaodedados
- A Compugraf, junto com a OneTrust, publicou um guia marketeiro (e mesmo assim, interessante), sobre a Conformidade com a LGPD em 07 módulos. Ela descreve 7 passos, baseados nos módulos da solução da OneTrust.
- Aproveite e veja esse vídeo da Compugraf: CyberTalks - LGPD, e agora? - com Carla Manso. Nos 3 primeiros minutos eles falam sobre o início da aplicação da lei, que na época ainda dependia da sanção da MP 959. após isso, eles abordam um pouco a importância da adequação.
- Veja esse artigo fresquinho, publicado pela ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados), com um pequeno checklist de medidas emergenciais de rápida e fácil aplicabilidade para ajudar no caminho da conformidade com a LGPD: LGPD Medidas Emergenciais para Adequação
- Veja também: GDPR Part #3— Privacy and Security by design and checklists