Com o advento da Lei Geral de Proteção de Dados, que regula o tratamento de dados pessoais, com inspiração no regulamento europeu (General Data Protection Regulation), passou a ser verificada na prática empresarial a necessidade de uma efetiva adequação à legislação, sendo imprescindível para tanto, o enfrentamento de pontos determinantes para uma adequação bem-sucedida.
Para o desenvolvimento de um projeto efetivo de adequação à LGPD, os principais pontos a serem enfrentados, são a identificação dos processos nos quais são tratados os dados pessoais, com a consequente elaboração de inventário de dados. Além disso, se faz pertinente a identificação dos dados armazenados, o local de seu armazenamento, quais são os usuários, bem como a respectiva finalidade para o tratamento.
Uma vez realizado o mapeamento dos dados, importante o descarte dos dados cujo armazenamento não é efetivamente necessário, ou ainda, não tenham base legal para o tratamento. Neste ponto, importante ter em mente que, quanto mais dados armazenados, maior o risco de um incidente de segurança da informação envolvendo dados pessoais, e maior o custo para proteger o ativo. Dessa forma, o mais inteligente é reduzir o armazenamento de dados pessoais ao mínimo necessário para a operação empresarial.
Outra etapa essencial para a adequação à LGPD é a definição das bases legais, entre elas o consentimento, que deverá ser coletado de todos os titulares de dados pessoais. Tarefa árdua, que exigirá tempo e empenho da equipe para que ocorra sem falhas.
Por seu turno, a revisão dos contratos com funcionários, clientes e fornecedores é essencial para que sejam definidas as balizas para a relação trabalhista e comercial, com o escopo de definir responsabilidades, e agentes de tratamento de dados, ou seja, os controladores, os operadores e os titulares de dados em si.
Por conseguinte, imperiosa a avaliação da segurança dos dados selecionados como necessários e pertinentes para o tratamento, com a posterior implementação de medidas técnicas e organizacionais para garantir a proteção e monitoramento, com segurança física, lógica, controles de acesso, rastreabilidade, entre outros.
Por fim, necessária a definição de Políticas de Segurança da Informação, Avisos de Segurança, processos de gerenciamento e governança, além de definir um ponto focal, encarregado de dados pessoais ou Data Protection Officer DPO, que terá as funções de responder demandas de usuários, clientes e órgãos de controle, além de ser um aconselhador para o processo contínuo de melhoria e para auxiliar na verificação da conformidade com a LGPD em novos processos que venham a ser definidos após a finalização do processo de adequação.
Fábio de França e Soares