Adequação da LGPD nas companhias

Adequação da LGPD nas companhias

As organizações primeiramente para iniciar o seu processo de adequação, precisam conhecer e familiarizar se com a LGPD. 
Para tanto, é necessário e imprescindível o entendimento do que são dados pessoais e o que é tratamento de dados. (no âmbito físico e digital)
A análise de Gaps e plano de adequação são as maneiras iniciais de “startar” e nortear o processo de ajuste da LGPD, estabelecendo o nível de maturidade da empresa. 
Para atender aos princípios dispostos conforme Lei 13.709/2018, com intuito de assegurar a proteção de dados das pessoas naturais, reconhecer as sanções em decorrência de seu inadimplemento e aplicar uma rotina de boas práticas da LGPD tivemos unificado recentemente um conjunto de normas e obrigações destinadas a todos os tipos de organizações atuantes com proteção de dados pessoais, independentemente do tamanho, origem e localidade. Bastando que esses dados tenham sido coletados em território nacional, ou tenham sido coletados os dados enquanto titular estava no Brasil.

Conforme preceitua artigo 6º da LGPD, infra descrito, seus fundamentos e princípios funcionam como direcionadores do processo de adequação da lei de proteção de dados. 
De forma breve, exemplificarei ações devem ser tomadas em uma empresa para que esteja em consonância com a LGPD e parlamente permaneça em compliance e regularmente alinhada às regras da corporação, as quais devem ser observadas e cumpridas atentamente para o efetivo funcionamento da cultura organizacional.

I - Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
ART. 6 INC. I Os dados pessoais tratados devem ser compatíveis com a finalidade legítima informada pela empresa. Ou seja, a justificativa deve fazer sentido com o caráter da informação que é solicitada.
II - Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
ART. 6 INC. II – A compatibilidade do tratamento deve ser de acordo com o contexto. A comprovação se dará por meio dos documentos que devem compor o Relatório de Impacto à Proteção de Dados Pessoais, tais como: mapeamento do ciclo de vida do dado pessoal, mapeamento de risco, identificação dos agentes de tratamento em cada etapa ou processo de tratamento de dados, criação de políticas, códigos de conduta, comprovante de treinamento etc.
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
ART. 6 INC. III limitação do tratamento ao mínimo necessário para realizar as atividades, apesar de uma conduta se subsumir ao modelo legal, não será considerada típica se for socialmente adequada ou reconhecida, isto é, se estiver de acordo com a ordem social da vida historicamente condicionada.  implementar medidas de segurança para preservação desses dados, garantir consentimento do titular ao tratamento e uso de seus dados, bem como prover fácil acesso aos dados e de revogação 
IV - Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
ART. 6 INC. IV - De acordo com a lei, o livre acesso é a “garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais”.
V - Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
ART. 6 INC. V - assegura, portanto, que os titulares terão acesso a informações confiáveis, atualizadas, para que possam exercer da melhor forma possível a autodeterminação informativa
VI - Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
ART. 6 INC. VI - é a garantia, aos titulares, de informações claras, precisas com acesso de forma viável e simples às informações sobre a realização do tratamento e os respectivos agentes de tratamento, com especial cautela aos segredos comercial e industrial.
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
ART. 6 INC. VII – é necessário que sejam utilizadas precauções técnicas e administrativas com o intuito de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Ex: estabelecer login e Senhas para a utilização das máquinas, impressoras, adotar criptografia em certas situações etc.
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
ART. 6 INC. VIII – Se utilizar de medidas para prevenção, estabelecer uma cultura de compliance na empresa. Por exemplo:  manter a mesa limpa, utilização somente de e-mail corporativo para tratar assuntos da empresa, instruir sobre a não utilização de aparelho de celular de cunho pessoal em ambiente de trabalho, adotar um regimento interno com o escopo de estabelecer politicas de segurança, associadas a elaboração de um Código de Ética para a companhia, sendo indispensável atuar com o desígnio de mitigar a ocorrência de danos em virtude do tratamento de dados pessoais
IX - Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
ART.6 INC. IX – Respeitar as diferenças, se limitando ao tratamento das informações necessárias sem proferir julgamentos com cunho discriminatórios ilícitos ou abusivos.
X - Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. 
ART. 6 INC X - Demonstração, pelo agente, de formas que denotam sua cautela e boa-fé, capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, forma compartilhamento, utilização do consentimento, treinamento da equipe etc. de modo que seja possível constatar a eficiência dessas medidas.

De modo que, para concluir, é relevante citar a intima e simbiótica relação entre LGPD e compliance. 
Tendo em vista a preocupação das companhias quanto à probabilidade de arcar com sanções rigorosas advindas à LGPD no âmbito de um processo administrativo de responsabilização, o compliance se torna um instrumento de controle de processos e sustentabilidade empresarial.

Franciso Mendes e Vinícius Carvalho descrevem: 

"Um programa de compliance visa estabelecer mecanismos e procedimentos que tornem o cumprimento da legislação parte da cultura corporativa. Ele não pretende, no entanto, eliminar completamente a chance de ocorrência de um ilícito, mas sim minimizar as possibilidades de que ele ocorra, e criar ferramentas para que a empresa rapidamente identifique sua ocorrência e lide da forma mais adequada possível com o problema."
A relação entre o compliance e a LGPD é permeada pela noção de controle e transparência, visto que a LGPD permite que o titular de dados tenha total controle de todo ciclo de vida dos seus dados dentro de uma empresa, permitindo entender o objetivo e finalidade daquele determinado tratamento. Portanto, na sociedade e no mercado atuais, o controle e transparência são peças-chaves.

https://www.conjur.com.br/2022-mai-17/ariana-quintanilha-lgpd-pilar-compliance

Contatos

  •  +55 11 3476-6647
  •  atendimento@abreueadvogados.com.br
  •   São Paulo - SP

Novidades