Escolar Documentos
Profissional Documentos
Cultura Documentos
NA IMPLEMENTAÇÃO DO
PROJETO DE ADEQUAÇÃO
À LGPD
Coordenação
Martha Leal
Membros
Debora Sirotheau
Guilherme Gonçalves
Paula Ferraz
Rosangela Benetti
Entretanto, o Instituto Nacional de Proteção de Dados – INPD, ciente do desafio que o processo de
“compliance” à lei representa para as organizações envolvidas e, cumprindo com o seu propósito de
ajudar na construção de um ambiente fortalecido de proteção de dados, elaborou o presente material
denominado “Passo a Passo no Projeto de Implementação”.
Esperamos ajudá-lo na compreensão das fases que compõem um processo de adequação, da importância da
cronologia das etapas, conduzindo-o nessa jornada viva e dinâmica que se traduz na implementação de boas
práticas em prol da privacidade e proteção de dados.
Para auxiliar no planejamento dos controles que serão implementados. Alguns dados
requerem controles adicionais.
• Adequar os contratos firmados com os operadores. Os contratos devem ser adequados para
estabelecer as responsabilidades e papéis em relação à Proteção de Dados dos Titulares;
• Identificar os processos que realizam tratamento de dados pessoais. Necessário haver registro
dos processos de tratamento por parte do Controlador. E, na hipótese de enquadramento na
categoria de Agente de Tratamento de Pequeno Porte (consulte aqui o Guia), o mesmo poderá se dar de
forma simplificada. E, lembrando que mesmo no caso de não ser obrigatório, sempre será uma boa prática ao processo
de aderência a LGPD;
• Mapear estes processos. Essa etapa é fundamental, pois a partir daqui é possível avaliar os
riscos inerentes a cada processo, a finalidade, a base legal e compartilhamento dos dados;
• Identificar os responsáveis pelos processos de negócio que realizam tratamento;
• Identificar onde os dados tratados se encontram (servidor, banco de dados, arquivos físicos e etc);
Para avaliar os riscos inerentes aos processos de tratamento, para direcionar as prioridades
dos processos para adequação à LGPD e para ajudar no atendimento dos direitos dos
titulares. Por exemplo, para conceder o direito de acesso a um titular é indispensável saber
onde estão localizadas as informações dentro da organização.
• Nomear encarregado. Verificar se a empresa, caso seja privada e atuando como Controladora,
não está desobrigada pelo enquadramento como Agente de Pequeno Porte. Lembrando que
mesmo nos casos de dispensa legal, a nomeação do encarregado configura-se como uma boa
prática e deve ser incentivada;
Não. A Política de Proteção de Dados está voltada ao público interno, enquanto a Política de
Privacidade ao público externo ao ambiente da organização.
Controlador:
Operador:
Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento
de dados em nome do controlador.
Uma mesma organização pode atuar como controladora em determinada operação de tratamento de
dados e operadora em outra, a depender da função desempenhada por ela nessas operações.
O controlador é o responsável pela tomada das principais decisões referentes ao tratamento de dados
pessoais. É ele quem define o propósito, a duração e a escolha dos principais meios sobre como
o tratamento de dados ocorrerá, decidindo, inclusive, sobre a contratação e as instruções a serem
repassadas ao (s) operador (es). Por isso, a lei lhe atribuiu os maiores ônus e responsabilidades,
estando ele obrigado a reparar quaisquer danos causados aos titulares de dados em razão da atividade
de tratamento de dados pessoais, quando esta for realizada em violação à legislação.
O operador, por sua vez, atua de acordo com a
finalidade e os interesses determinados pelo
controlador, devendo realizar o tratamento de dados
em conformidade com as instruções recebidas dele,
cabendo-lhe apenas algumas definições não essenciais
à finalidade do tratamento. O operador possui
obrigações legais a serem cumpridas, porém em menor
número que o controlador. Quanto à sua
responsabilidade pelos danos causados em decorrência
do tratamento de dados, esta será solidária apenas se
ele descumprir as orientações recebidas do controlador
ou descumprir as obrigações que lhe são impostas pela
legislação.
Por outro lado, é possível que mais de uma pessoa tome as principais decisões referentes ao tratamento dos
dados pessoais. Nesse caso, teremos dois ou mais controladores, atuando de forma singular ou conjunta.
Por isso, uma das primeiras etapas de um programa de governança em privacidade reside justamente no
mapeamento de dados, que pode ser feito de várias formas, inclusive com o apoio de softwares específicos
disponíveis no mercado. Uma das maneiras mais usuais e eficientes de realizá-lo é por meio de entrevistas
com os responsáveis pelos departamentos dentro da organização, momento em que, no mínimo, as seguintes
informações devem ser levantadas:
• Quais dados pessoais são tratados em cada processo da organização, como são
tratados, e quem é o responsável?
• Quais as categorias de titulares de dados envolvidas?
• Qual a finalidade do tratamento de dados?
• Há compartilhamento de dados com terceiros? Quem são?
• Onde os dados estão armazenados e quem tem acesso?
• Há prazo previsto para o armazenamento dos dados e como eles são eliminados?
• Há transferências internacionais de dados?
• Há medidas de segurança previstas para aquele tratamento? Elas são suficientes?
• Qual a base legal que autoriza o tratamento de dados?
Para fins de auxiliar o Controlador a cumprir com as obrigações legais decorrentes dos direitos requeridos
pelos titulares, é importante estabelecermos mecanismos para que sejam executáveis.
Exemplo:
Por essa razão, recomenda-se extrema atenção na eleição da base legal de forma que represente a mais
adequada ao tratamento e observe-se a correlação com os respectivos direitos dos titulares.
Portanto, é de suma importância que o Controlador que utilizar processos automatizados para tomada
de decisões baseada em dados seja capaz de fornecer as explicações obrigatórias por comando legal,
bem como de prover a sua revisão.
6. Treinamento e Conscientização
O recurso humano representa um dos maiores ativos de uma organização e nada mais coerente do que
investir no treinamento da equipe. Afinal de contas, o erro humano ainda representa a maior causa
responsável pelos incidentes de segurança.
Deve-se primar pelo conhecimento e pela interpretação da norma da proteção de dados pessoais, combinada
com as demais leis e princípios do Direito e pelas diretrizes da ANPD.
O processo de qualificação da equipe no tema, poderá ocorrer por meio de palestras, workshops, eventos,
cursos, podcast, informativos por e-mail, e-books, cartilhas, comunicação em geral, utilizando-se de
ferramentas para disseminar a informação.
Não esqueçamos que a medição dos resultados é de grande valia, pois permitirá que a organização
compreenda se os recursos e esforços investidos estão sendo direcionados para a área certa e quais são as
carências que ainda precisam ser resolvidas.
Por fim, é bastante interessante aplicar uma pesquisa de satisfação em relação ao treinamento, permitindo
que as equipes evidenciem os pontos mais fortes e fracos do programa.
16 INPD – Instituto Nacional de Proteção de Dados
Nesse sentido, as posturas relacionadas representam boas práticas e compõem uma governança corporativa.
“Art. 50. Os controladores e operadores (....) poderão formular regras de boas práticas e de gover-
nança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos
(...)”
A viabilização destas boas práticas e governança ocorre quando os envolvidos começam a realizar ações
educativas, abrangendo mecanismos internos de supervisão e de mitigação de riscos e outros aspectos
relacionados ao tratamento de dados pessoais.
A formação de uma rede de pessoas cautelosas, conscientes das obrigações e direitos legais é pré-requisito
para uma efetiva governança de dados pessoais.
Por certo que ao seguir as orientações elencadas, a organização acumulará benefícios para o negócio, assim
como investir em capacitação haverá:
Conclusão
Por fim, importante registrar que os agentes de tratamento, sejam controladores ou operadores, estão
obrigados por força de lei a cumprir com os dispositivos legais da Lei Geral de proteção de Dados.
Tal aderência, além de impositivo legal, tem potencial de representar diferencial competitivo de mercado. Pois,
com o passar do tempo, não haverá mais espaço para organizações que não incluírem em sua pauta a
privacidade e proteção de dados.
Respeitando as peculiaridades de cada empresa e seu modelo de negócios, volume e categoria de dados
tratados sugerimos que cada ator neste cenário empreenda esforços para implementar as medidas
necessárias para atingir um status de adequação à LGPD.
Esperamos que este Passo a Passo à implementação à LGPD seja um norte nesse processo.
Obrigado por nos acompanhar até aqui!
INPD
www.instagram.com/inpdados
www.inpd.com.br