Passados aproximadamente dois anos da sua aprovação, enfim a Lei Geral de Proteção de Dados entrou em vigor, pegando de surpresa boa parte da comunidade jurídica e empresariado. Isto porque, como bem sinalizava a decisão da Câmara dos Deputados, tudo indicava que o início da sua vigência seria prorrogado para 31 de dezembro de 2020. No entanto, por conta de questões regimentais, o Senado Federal houve por bem derrubar o artigo da MP nº. 959/2020 que abordava a prorrogação, encaminhando-a para sanção presidencial, que se deu em 18 de setembro de 2020.
Muito embora a aplicação das sanções previstas na Lei tenham sido postergadas para 1 de agosto de 2021, as organizações – empresas, entidades e órgãos públicos – já precisam estar prontas para o atendimento das demandas de titulares de dados e para a atuação imediata diante de eventuais incidentes de segurança, sob pena de estarem sujeitas a ações judiciais e autuações de outros órgãos de fiscalização, como, por exemplo, o Procon.
Se até então algumas organizações vinham tratando o tema como questão de segunda ordem, agora o assunto é prioritário, pois é bem sabido que a jornada de adequação é longa, não existindo receita pronta vez que a adequação deve ser um trabalho customizada para cada organização de forma a atender suas necessidades e viabilizar seus negócios.
Diante deste cenário, que em um primeiro momento pode parecer até mesmo caótico, a pergunta que fica é: “Por onde começar o processo de adequação à Lei Geral de Proteção de Dados?”.
Antes de mais nada, como já informado anteriormente, o intuito destes breves comentários não é criar qualquer espécie de manual, mas apenas sugerir um cronograma mínimo de execução, cumprindo a cada organização estruturar a implementação à sua maneira.
Neste sentido, é altamente recomendável que se inicie este processo já com a nomeação de um Encarregado – Data Protection Officer/DPO –, que, nos termos da Lei, será o responsável por aceitar reclamações e comunicações dos titulares de dados, prestar esclarecimentos e adotar providências, receber comunicações da futura autoridade nacional, orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, bem como executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Buscando auxiliar o Encarregado no exercício de suas funções, aconselha-se a criação de um comitê interno voltado ao tema, composto não apenas por representantes do departamento jurídico e da tecnologia da informação, mas sim por todas as áreas que porventura lidem com dados, como, por exemplo, marketing, comercial, vendas, SACs, recursos humanos, dentre outras.
Encarregado e membros deste comitê devem ficar responsáveis pelo próximo passo desta jornada, que é o mapeamento do fluxo de dados da organização – data mapping –, cujo objetivo é criar uma trilha auditável dos dados capturados, desde o primeiro contato até seu descarte definitivo, identificando em que momento e por onde eles dão entrada, sua natureza, finalidade da captura, local de armazenamento, em que momento serão descartados e de que maneira este descarte se dará, detectando, assim, seu ciclo de vida dentro da organização.
Embora não exista obrigatoriedade expressa da Lei para elaboração deste mapeamento, isso acaba ocorrendo indiretamente, pois é praticamente impossível de se iniciar qualquer projeto de adequação sem saber que dados a organização possui e que uso vem fazendo deles.
Nomeado o Encarregado e criado o comitê e mapeado o fluxo dos dados, então é possível o início da análise dos “gaps” da empresa com relação à privacidade dos dados que trata, por meio da elaboração de políticas de privacidade externas e internas, assegurando a efetiva implementação de tais políticas, analisando contratos e revisando-os quando necessário, revendo processos internos e os adequando a esta nova realidade.
Tal qual o cargo de Encarregado, é altamente recomendável que se atribua caráter permanente ao comitê criado, uma vez que, como pode-se imaginar, superada a jornada de implementação da Lei, o processo de adequação se torna constante, exigindo monitoramento contínuo.
Finalmente, cumpre ressaltar a importância do constante aprimoramento dos sistemas de segurança digital da organização, visto que a adequação à Lei visa assegurar, dentre outras coisas, que os dados dos titulares estejam protegidos, minimizando os deletérios efeitos de eventuais incidentes a estes relacionados, sem substituir os habituais cuidados já há muito recomendados.
Como se pode constatar, é possível estruturar as inúmeras etapas a serem superadas antes que as organizações possam estar efetivamente adequadas à Lei, mas apenas a análise minuciosa das práticas internas de cada uma delas é que vai permitir identificar quais serão as medidas a serem adotadas caso a caso.
Contudo, sendo as políticas de segurança da informação, proteção e transparência no tratamento de dados um direcionamento mundial, não há dúvidas de que sua implementação pode ser encarada como diferencial nas organizações que o fizerem de maneira efetiva, não apenas pela minimização dos riscos relacionados aos prejuízos decorrentes de eventuais incidentes, mas principalmente como vantagem frente aos concorrentes que não se atualizarem adequadamente neste sentido.
Fonte: O Estado de São Paulo