Blog Post

A adequação à LGPD começa com “ROPA” e DPO!

Adequação à LGPD ROPA e DPO

Não é novidade para ninguém que a Lei Geral de Proteção de Dados Pessoais já é realidade no Brasil. E, apesar de certa resistência por alguns, a LGPD chegou e chegou para ficar! Portanto, é melhor ir se acostumando a ela!

Nesse sentido, temos observado que muito tem se falado a respeito do tema em webinars, lives e afins, porém ainda há muita informação desencontrada em relação a essa recente e importante Lei, o que acaba por causar muitas dúvidas e incerteza no empresariado, pois não sabem em quem confiar, se é no Jurídico – que, em muitos casos, ainda resiste em concordar com a adequação da empresa à LGPD, minimizando a urgência de adequação à Lei; se é nos especialistas em proteção de dados, que indicam que a empresa deve iniciar a jornada de implementação o mais rápido possível.

Com tanta informação sendo disparada na mídia e os diferentes entendimentos dados por profissionais das mais variadas áreas, realmente fica difícil saber em quem acreditar e o que realmente precisa ser feito, não é mesmo?

Nesse sentido, para auxiliar você que já entendeu que sua empresa precisa se adequar, mas que ainda não sabe como e quando iniciar essa jornada, elaboramos esse artigo onde iremos elencar os primeiros passos a serem dados no caminho da conformidade legal. 

De todo modo, importante abordar nesse momento, alguns pontos fundamentais para o correto entendimento do tema.

Preocupação de TI

Muitos pensam que a LGPD é uma questão relacionada única e exclusivamente ao setor de Tecnologia da Informação, mas isso não merece prosperar. Essa é sim uma preocupação de TI, mas não apenas desse departamento. Isto porque, essa é uma preocupação da empresa como um todo e isso envolve diversos setores dela, como o Recursos Humanos e o Comercial, por exemplo.   

Além disso, é importante salientar que a LGPD não abarca somente os dados digitais, mas também os dados contidos em qualquer meio de transmissão e armazenamento. Nesse sentido, estão sujeitos também às determinações da LGPD, os dados físicos e os “falados”. 

Apoio da Alta Administração

Assim como ocorre na implementação de Programas de Integridade (também conhecidos como Programas de Compliance), o apoio e o envolvimento da Alta Administração são fundamentais para o sucesso da adequação à Lei. Isto porque, de nada adianta contratar uma consultoria visando a implementação, se a alta administração não apoiar e demonstrar preocupação com o tema.

Além disso, conforme amplamente abordado anteriormente no artigo “Alta Administração: Como Demonstrar Comprometimento com Compliance”, o corpo diretivo da empresa deverá não apenas apoiar financeiramente o projeto, mas, também, disponibilizar pessoal da equipe para auxiliar na adequação da companhia. Os líderes deverão ainda demonstrar interesse e comprometimento em relação ao assunto, agindo e fazendo o certo, pois, caso contrário, muitos de seus funcionários podem decidir por também não dar a atenção necessária ao projeto. Portanto, lembre-se sempre: o exemplo tem que vir de cima! 

Cultura de Proteção de Dados

Ao contrário do que já vinha ocorrendo há décadas na Europa no que tange à Proteção de Dados, no Brasil, a discussão quanto ao assunto, apesar de extremamente importante e relevante, ainda é muito recente. Muito se fala que “os dados são o novo petróleo do mundo”, mas o Brasil foi um dos últimos países da América a ter uma legislação geral de proteção de dados.

Desse modo, não há receio em afirmar que o Brasil ainda não tem cultura em proteção de dados. Isto porque, a maioria da população brasileira nunca se preocupou em saber o que é feito com os dados pessoais que forneceu em troca de uma assinatura “grátis” ou de algum outro tipo de brinde ou benefício obtido sem custo ou a custo reduzido, por exemplo. Mas isso está mudando com a chegada da Lei Geral de Proteção de Dados Pessoais, pois muitas pessoas estão começando a demonstrar interesse e preocupação quanto ao tema.

O aculturamento e a conscientização em proteção de dados são fundamentais. Nesse sentido, para maiores informações sobre o tema, não deixe de conferir o artigo “LGPD: Mudanças obrigatórias na cultura, pessoas e processos para uma implantação de sucesso”, disponível clicando-se aqui.

Mas nesse momento você pode estar se perguntando: Mas e o que isso tudo tem a ver com a adequação da minha empresa à LGPD?

Tudo!

Isto porque, a jornada de adequação à LGPD é, muito provavelmente, um “pouco” mais complexa do que já te falaram. Para a correta adequação da empresa há necessariamente a criação e/ou remodelagem de processos e controles e principalmente mudança da cultura organizacional e de postura e atitude dos colaboradores. Não é sem motivo que a lei prescreve que a adequação deve ser realizada com base nas necessidades identificadas da empresa, levando-se em conta, portanto, principalmente:

  • os tipos de dados tratados pela empresa;
  • os riscos envolvidos;
  • a cultura organizacional e;
  • as pessoas.

Feita toda essa introdução, vamos agora aos primeiros passos rumo à adequação da sua empresa.

Primeiros Passos para a Adequação

adequação à LGPD Passos

Os primeiros passos para a adequação da empresa à LGPD são, sem dúvidas, a realização do diagnóstico de riscos de proteção de dados e a elaboração dos ROPAs da companhia. O ROPAs, do inglês “Record Of Processing Activities”, são os Registros das Atividades de Tratamento.

Neste sentido, para que as empresas comecem a jornada de adequação à LGPD, estas deverão apresentar incialmente à Autoridade Nacional de Proteção de Dados (ANPD), prova de que mantêm registros das operações de tratamentos dos dados pessoais que realizam, desde a coleta até a exclusão, onde deverão estar indicados quais dados são coletados, a base legal para o tratamento, a finalidade, o tempo em que os dados são retidos pela empresa e os recursos e mecanismos de segurança empregados.

Já o diagnóstico de riscos de proteção de dados irá funcionar como uma verdadeira radiografia da empresa, onde serão apontados todos os gaps encontrados na companhia. Assim, ao final dessa etapa serão apontadas todas as recomendações de melhoria e definidos todos os planos de ação necessários à mitigação dos riscos relacionados à proteção dos dados pessoais identificados na empresa.

Além disso, a empresa deverá nomear um DPO (Data Protection Officer), ou encarregado, pela lei brasileira, para, entre outras atividades, atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.

Bom, feito isso, você estará iniciando a jornada correta de adequação da sua empresa à LGPD. A caminhada é longa, mas você estará no rumo certo!

Por fim, insta salientar que o tempo de conclusão desses primeiros passos poderá variar de acordo com o nível de maturidade da empresa no que tange à proteção de dados, bem como pela existência de processos mapeados, pela cultura organizacional e o tamanho da companhia.      

***

Ainda tem dúvidas sobre a adequação à LGPD? Deixe suas dúvidas nos comentários para nossos especialistas.

mm

Sobre Thiago Henrique Nielsen

É coordenador e consultor em Compliance da Studio Estratégia - Governança, Riscos e Compliance, formado em Direito pela Universidade de Vila Velha/ES e especialista em Compliance, Lei Anticorrupção e Controle da Administração Pública pela Faculdade de Direito de Vitória - FDV. Email: thiago.nielsen@studioestrategia.com.br

4 thoughts on “A adequação à LGPD começa com “ROPA” e DPO!

  1. Sérgio Lopes disse:

    Parabéns, Thiago, excelente artigo.

Deixe seu comentário