Por Leonardo Neri
Como já destacamos, o trabalho do Encarregado pela Proteção de Dados (DPO) é garantir que o agente de tratamento esteja adequado à Lei Geral de Proteção de Dados (LGPD). Assim, é preciso saber por onde começar e o que fazer para atingir esse objetivo.
Para estar de acordo com as normas e disposições da LGPD, é necessário que o agente de tratamento implemente uma cultura de proteção de dados pessoais. Para tanto, a LGPD prevê que os operadores e controladores de dados poderão formular regras de boas práticas e governança, também conhecida como programa de boas práticas e governança, que versem sobre os procedimentos adotados no tratamento de dados pessoais.
Mas, para que se tenha o efetivo cumprimento dessas práticas, é necessário estabelecer um projeto de implementação, que poderá observar 6 (seis) passos, que devem ser adequados a cada tipo e porte de empresa.
FASE 1 – Diagnóstico
Inicialmente, será necessário analisar e mapear todas as áreas e atividades que envolvam o tratamento de dados pessoais. Neste ponto, será preciso diagnosticar o que já tem sido feito na proteção dos dados pessoais e o que ainda deverá ser feito.
É de extrema importância, nesta fase, captar o maior número de informações, com máxima precisão, de forma a entender a operacionalização do agente de tratamento, garantindo maior assertividade na implantação.
Este é o momento de entender o perfil das atividades e dos colaboradores, a finalidade do tratamento de dados pessoais, o tipo de dado pessoal tratado, os fluxos de trabalho, as falhas de segurança e, principalmente, identificar as dificuldades e os problemas enfrentados no tratamento de dados pessoais. Somente conhecendo a fundo o agente de tratamento é que será possível traçar as melhores estratégias de adequação, de forma personalizada e com maior efetividade.
FASE 2 – Criação do Programa de Governança em Proteção de Dados
A criação do programa de governança é um dos principais passos da implantação. É ele que dará um norte de como seguir com a adequação e manutenção das práticas de proteção de dados, e facilitará a compreensão dos colaboradores.
Embora a LGPD não exija a criação do programa de governança e boas práticas, ela o recomenda aos operadores e controladores. O programa poderá prever métodos de organização, regime de funcionamento, procedimentos de garantia à proteção de dados, como canais de reclamações e petições pelos titulares, normas de segurança, padrões técnicos, ações educativas, medidas de fiscalização interna e, até mesmo, sanções internas, tudo para viabilizar a proteção dos dados pessoais tratados.
Com a criação do programa, o agente de tratamento poderá se planejar e focar na implementação em cada um de seus setores, sabendo exatamente o que precisará ser modificado ou adaptado para cumprimento das exigências legais.
FASE 3 – Elaboração e revisão de documentos
Após a criação do programa de governança e boas práticas, traçadas as estratégias e as medidas a serem tomadas, será necessário elaborar ou revisar documentos relativos ao tratamento de dados pessoais, como as políticas de privacidade e os termos e condições, de forma a adequá-los às novas práticas e, principalmente à legislação, evitando, assim, problemas futuros com os titulares de dados e com a autoridade nacional.
Os novos documentos devem estar de acordo com todos os princípios da LGPD e, ainda, em respeito aos direitos dos titulares, sem deixar de resguardar os direitos do agente de tratamento, é claro.
FASE 4 – Garantia do exercício dos direitos dos titulares
Nesta fase, o agente de tratamento deverá focar em implementar todas as medidas práticas de segurança de dados pessoais e garantia dos direitos dos titulares, de acordo com o resultado do diagnóstico e do programa de governança.
Ou seja, esse é o momento de colocar o plano em ação, com a implantação de todos os mecanismos de adequação à lei.
FASE 5 – Treinamento in company
Após a implantação de todos os instrumentos necessários à adequação, chega o momento de treinamento de todos os colaboradores, a fim de estabelecer uma cultura de proteção de dados pessoais no agente de tratamento.
Certamente, os operadores do dia a dia são as ferramentas mais importantes para garantir uma completa adequação às disposições legais. De nada adiantaria a implantação de sistemas de segurança de dados se aqueles que o opera não estiverem aptos às boas práticas.
Portanto, o treinamento deve garantir que todos os colaboradores estejam alinhados à conceituação da LGPD, entendendo a real importância da proteção de dados, através do esclarecimento de seus princípios e de sua finalidade.
O treinamento deve abranger todas as áreas, de forma que o agente de tratamento esteja integralmente adequado à LGPD.
FASE 6 – Revisão Final LGPD
Garantida a implantação completa do projeto e o treinamento dos colaboradores de todas as áreas, é importante que o agente de tratamento faça uma revisão das medidas implementadas, dentro da prática do dia a dia, verificando eventuais falhas e corrigindo-as, até que se verifique a completa adequação.
Para viabilizar que os agentes de tratamento tenham um período para testes e revisão das medidas implantadas, a LGPD prevê que as sanções administrativas somente entrarão em vigor em agosto de 2021. No entanto, as condenações judiciais de cunho moral e as investigações e auditorias realizadas pelos Ministérios Públicos e demais Órgãos Reguladores já estão ocorrendo a pleno vapor desde 18 de setembro de 2020.