+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

O que é certo e o que é errado quando o assunto é adequação à LGPD?

Conformidade, Proteção e Privacidade de Dados

Compliance

O que é certo e o que é errado quando o assunto é adequação à LGPD? Se o título deste artigo chamou a sua atenção, provavelmente você está se envolvendo ou já está envolvido com o desafio da adequação à Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018. E, cabe aqui algumas perguntas, a meu ver, bem pertinentes, para que você possa refletir e decidir melhor sobre tudo o que envolve o tema.

Qual é o objetivo de você se envolver com uma adequação à LGPD?

Se a resposta for que você foi indicado para tratar dessa demanda dentro da sua organização, este artigo provavelmente vai te ajudar. Caso a resposta seja que você vê oportunidade para seu futuro profissional, creio que este artigo contribuirá para que enxergue os caminhos que pode seguir. Contudo, caso você não acredite que a LGPD vai decolar e que está tendo um alvoroço muito grande sobre o tema, mas que logo ele será esquecido. Lamento, mas preciso deixar você saber que está opção é pouco provável. E, apresento como exemplo tudo o que ocorreu com o Código de Defesa do Consumidor (CDC), de 1990. No início, muitos acharam que eram muitos direitos para os consumidores, 30 anos depois, ele faz parte do dia a dia das relações de consumo da grande maioria dos brasileiros.

No que se refere à adequação quais as opções?

  1. Não fazer nada. Embora, particularmente, eu acho que esta é a pior opção. Inúmeras organizações, dos mais variados tamanhos, não estão fazendo nada, em relação à LGPD. E, num geral, atribuem essa inércia ao momento de pandemia que estamos vivendo;
  2. Delegar o assunto para o setor jurídico. Embora o cerne do tema proteção e privacidade de dados pessoais seja uma lei, o assunto demanda um envolvimento multidisciplinar. Já que soluções relacionadas à tecnologia da informação e/ou normas técnicas, podem ser comprometidas se tiverem exclusivamente uma visão jurídica. Como exemplo, destaco o caso do Superior Tribunal de Justiça (STJ);
  3. Delegar o assunto para o setor de TI. A tecnologia da informação, sozinha, não tem condições de interpretar e dar soluções às exigências da LGPD. Uma abordagem multidisciplinar, com destaque para a visão jurídica, como já foi escrito, é o mais indicado. Sendo assim, softwares mirabolantes, pacotes no Mercado Livre para adequação à LGPD em 24 horas, não funcionará.
  4. Delegar o assunto para o setor de Compliance, Qualidade ou equivalente: Muito tem se debatido a respeito das normas técnicas, e ao contrário do que muitos interpretam, elas não são publicadas para competir com a lei. Ou melhor, com nenhuma lei. Já que uma lei é uma prescrição escrita que emana de uma autoridade soberana de uma dada sociedade e impõe a todos os indivíduos a obrigação de submeter-se a ela sob pena de sanções. É importante reiterar que uma abordagem somente com normas técnicas, também não será capaz de cumprir todas as abordagens necessárias. Sendo assim, necessário em prol das boas práticas, o envolvimento de outros setores, como o jurídico e o da tecnologia da informação.

Sobre os recursos humanos, financeiros e tecnológicos

Uma vez apresentadas as principais opções, o que provavelmente limitará as suas ações são os recursos que sua organização empregará na sua adequação. Sendo assim, às vezes, a intenção será a de buscar estar em conformidade com normas técnicas, mas os recursos não serem suficientes.

Convém que a alta direção se envolva com o tema, demonstrando sua liderança e comprometimento em relação ao sistema de gestão da privacidade da informação pelos seguintes meios:

  1. assegurando que a política de segurança da informação e privacidade e os objetivos de segurança da informação e privacidade estejam estabelecidos e sejam compatíveis com a direção estratégica da organização;
  2. garantindo a integração dos requisitos dentro do sistema de gestão da privacidade da informação dos processos da organização;
  3. assegurando que os recursos necessários para o sistema de gestão da privacidade da informação estejam disponíveis;
  4. comunicando a importância de uma gestão eficaz da segurança da informação e privacidade e da conformidade com os requisitos do sistema de gestão da privacidade da informação;
  5. assegurando que o sistema de gestão da privacidade da informação alcance seus resultados pretendidos;
  6. orientando e apoiando pessoas que contribuam para eficácia do sistema de gestão da privacidade da informação;
  7. promovendo a melhoria contínua; e
  8. apoiando outros papéis relevantes da gestão para demonstrar como sua liderança se aplica às áreas sob sua responsabilidade.

No que se refere aos recursos, eles podem impedir que sua organização atinja uma conformidade plena com as normas. Mas, cabe aqui destacar que o caminho à conformidade de uma norma, é quase tão importante quanto estar em conformidade com ela. Já que é através deste caminho, que é possível mudar uma cultura organizacional e o mindset de seus colaboradores.

Sendo assim, mesmo que não tenha como estar plenamente em conformidade com uma norma, como por exemplo, a ABNT NBR ISO/IEC 27701:2019, todo o esforço que sua organização realizar para estar em conformidade com o maior número de seções e subseções dela, trará um ganho inestimável. Mesmo que estar em conformidade com todos os seus pontos, seja utópico, ao menos, num primeiro momento.

Sobre os marcos de conformidade com a LGPD

De maneira abrangente, podemos estabelecer oito marcos relevantes para o desafio de estar compliant com a LGPD, citados a seguir:

  1. Programa de privacidade;
  2. Capacitação de key users;
  3. Inventário de Tratamento de Dados;
  4. Termos de Uso e Política de Privacidade;
  5. Riscos de Segurança e Privacidade;
  6. Adequação de Contratos;
  7. Relatório de Impacto de Proteção de Dados;
  8. Procedimentos para resposta à Incidentes.

Sobre o objetivo da adequação

Se o objetivo da sua organização for atender estritamente ao texto e as exigências da LGPD, você conseguirá de uma forma ou de outra chegar lá. Contudo, caso o objetivo da sua organização seja além de atender à LGPD, cuidar plenamente dos dados pessoais dos titulares que confiaram estes à sua organização, seus esforços serão muito maiores. Mas, certamente serão recompensados ao longo do tempo.

Cabem aqui algumas perguntas para sua reflexão:

  1. De que adianta uma adequação mal feita, apenas para inglês ver, se no caso de um vazamento, todo este esforço será em vão?
  2. O que é mais fácil sustentar perante à ANPD, demonstrar que a adequação tomou como base as boas práticas das normas técnicas e as que foram apresentadas pelo próprio Governo, ou que sua adequação tomou como base soluções empíricas e muitas vezes sem fundamento comprovado?

Sobre a ACPD

Caso esteja buscando capacitação ou trilhar o caminho das boas práticas nacionais e internacionais, entre em contato conosco. Teremos prazer em auxiliá-lo.

 

Deixe um comentário

O seu endereço de e-mail não será publicado.