[Segurança] A segunda temporada da LGPD: "A Adequação"

Acabamos de assistir o fim da primeira temporada da LGPD, que podemos batizar de "LGPDrama - A data de início", encerrada com o tão aguardado e desesperador início de vigência da lei.

Agora partimos para a segunda temporada: "A Adequação", com as empresas desesperadas para se adaptarem a LGPD, mas ainda repleta de incertezas jurídicas.

Eu já palestrei algumas vezes sugerindo "5 passos para adequação a LGPD". Revisando esse material, acredito que podemos generalizar a jornada em, pelo menos, 7 macro-atividades fundamentais para adequação a LGPD, que incluem os seguintes passos:

1. Estabelecer o DPO e um grupo de trabalho multidisciplinar (ex: Conselho ou Comitê de Privacidade)
1. Definir o canal de comunicação com o DPO e publicar no site as informações de contato
2. Ações de Cultura e Conscientização
1. Treinamentos e campanhas de conscientização sobre importância da privacidade, a LGPD e boas práticas
3. Mapeamento / Inventário de dados
1. Identificar os cenários de uso e armazenamento de dados pessoais
2. Identificar a necessidade dos dados pessoais e respectiva base legal
3. Identificar fontes de coleta, necessidade e existência de consentimento
4. Mapeamento com o ciclo de vida de tratamento dos dados (coleta, uso, guarda, exclusão)
5. Rastreabilidade de Compartilhamento e transferência de dados (identificar fornecedores e parceiros)
   
4. Adequação Jurídica
1. Revisão dos Termos de Privacidade e termos de uso
2. Revisão de políticas internas
3. Revisão de contratos com fornecedores, terceiros, clientes e colaboradores
4. Elaborar e publicar uma Política de Privacidade
5. Publicar em seus canais de comunicação um Aviso de Privacidade e Proteção de Dados
6. Notificar os colaboradores sobre atualizações das políticas internas e sobre o uso de dados pessoais. Solicitar o aceite
5. Estabelecer canais de comunicação com os titulares de dados
1. Portal de comunicação para os direitos dos titulares
2. Disponibilizar informações no site e no Aplicativo
3. Revisar procedimentos na Central de Atendimento
4. Definir processo para atendimento de solicitações dos titulares de dados
6. Adequação de softwares e sistemas corporativos
1. Incluir os princípios de Privacy by Design e Privacy by Default na concepção de produtos e na esteira de desenvolvimento
2. Ajustes nos controles de Segurança da Informação e de Compliance
3. Ajustes em processos, produtos e aplicações
4. Novas funcionalidades de Privacidade (ex: "Portal de privacidade" no app)
5. Gestão do consentimento
6. Revisão dos processos de backup e exclusão dos dados
7. Identificar cenários em que os dados pessoais possam ser anonimizados
7. Revisar procedimento de resposta e notificação de incidentes
1. Cuidado extra no monitoramento de incidentes relacionados a dados pessoais
2. Estabelecer estratégia de notificação envolvendo os titulares de dados e autoridades (ANPD)
3. Estabelecer e treinar a estratégia de comunicação pública de incidentes

A lista acima resume, muito superficialmente, um trabalho grandioso de ajustes as exigências e garantias propostos pela LGPD. Esse é um esforço longo e desafiador para qualquer empresa. Portanto, quanto antes as empresas derem início às atividades para se adequarem a lei, melhor!

Não se esqueça:

• Até que haja uma determinação em contrário, a LGPD se aplica praticamente a qualquer empresa, do salão de beleza a um grande banco. Isso porque ela se aplica a qualquer empresa que colete, receba ou processe dados pessoais, no meio físico ou digital;
• Mesmo com as sanções só valendo a partir de Agosto de 2021, as empresas já devem se adequar a lei. Em caso de incidentes, o ministério público e clientes podem decidir processar a empresa com base na LGPD;
• Embora existam muitos pontos de dúvida e incerteza que dependem de decisão e regulação da ANPD, as empresas ainda assim tem que adequar a lei, e muitas vezes recorrem a consultorias ou a experiências de empresas em outros países para ter uma solução provisória de adequação.

Para saber mais:

• Empresas especializadas em vender dados pessoais serão "travadas" por nova lei
• A Serasa construiu uma página sobre a LGPD, bem estruturada e com muito conteúdo: https://www.serasaexperian.com.br/protecaodedados
• A Compugraf, junto com a OneTrust, publicou um guia marketeiro (e mesmo assim, interessante), sobre a Conformidade com a LGPD em 07 módulos. Ela descreve 7 passos, baseados nos módulos da solução da OneTrust. 
• Aproveite e veja esse vídeo da Compugraf: CyberTalks - LGPD, e agora? - com Carla Manso. Nos 3 primeiros minutos eles falam sobre o início da aplicação da lei, que na época ainda dependia da sanção da MP 959. após isso, eles abordam um pouco a importância da adequação.

• Veja esse artigo fresquinho, publicado pela ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados), com um pequeno checklist de medidas emergenciais de rápida e fácil aplicabilidade para ajudar no caminho da conformidade com a LGPD: LGPD Medidas Emergenciais para Adequação
• Veja também: GDPR Part #3— Privacy and Security by design and checklists

PS: Post atualizado em 01 e 02/10.

PS/2: Publiquei uma versão desse artigo no LinkedIn: LGPD season 2: "A Adequação"