No último texto falamos sobre a leitura da lei e, nesse primeiro momento, o foco nas definições/conceitos, nos princípios e no foco no direito do titular. O caminho mais tradicional de um projeto de adequação à LGPD seria iniciado pelo Data Mapping ou o Mapeamento de Dados do Controlador (todos com a lição de casa feita, sabendo o conceito de Controlador[1]?). Mas como estamos falando de um prazo muito curto para quem deixou a adequação para esse momento, propõem-se outra visão.
Uma vez que as sanções da ANPD só entrarão em vigor a partir de 1º de Agosto de 2021, a sugestão é adequar-se às principais solicitações do titular, principalmente quanto aos possíveis questionamentos que deixamos em nosso último texto[2]. Para isso, sugerem-se duas ações principais, nesse momento:
1) A nomeação do encarregado de dados ou DPO (Data Protection Officer, previsto na RGPD europeia). Ainda que em caráter temporário, faça a nomeação do encarregado de dados. A lei não diferenciou quem precisará de Encarregado ou não, ou seja, até um eventual esclarecimento ou regulação por parte da ANPD (Autoridade Nacional de Proteção de Dados), a lei obriga a nomeação do encarregado.
O nome do encarregado, bem como as informações de contato devem ser públicas, de fácil visualização e entendimento. Se a empresa possui um site, deixe as informações do encarregado de maneira que seja facilmente identificada e acessível pelos Titulares e interessados.
O encarregado será o responsável pelas comunicações com os titulares e com a ANPD. Ele também possui papel fundamental na criação da cultura da Proteção de Dados no negócio (tanto internamente, como junto aos fornecedores! Lembre-se que você pode estar passando alguns dados pessoais para terceiros, como é o caso de terceirizações de folha de pagamento ou serviço contábil).
Ainda que o canal de entrada, para comunicação, seja outro (SAC ou Ouvidoria, por exemplo), o canal junto ao Encarregado deve ser previsto e deve ser funcional!
2) Faça o mapeamento dos seus processos de trabalho (ou fluxo dos processos/atividades). Nesse momento, não se preocupe com seguir essa ou aquela metodologia, o mais importante é que você saiba quais são as atividades e registre-as.
Com o mapeamento feito, dê destaque nas atividades em que há o tratamento, armazenamento ou qualquer passagem de dados pessoais. Marque essas atividades, pois será importante que você defina quais as bases legais de tratamento (faremos um texto específico sobre isso).
Você pode fazer isso “na mão”, ou utilizando um programa de texto, planilha ou uma ferramenta de BPM (Business Process Management), existem muitas e gratuitas. Não se esqueça de destacar as atividades com dados pessoais, você pode fazer, inclusive, uma escala de cores (dados pessoais em amarelo, dados sensíveis em vermelhos etc.). Apenas a título de exemplo[3]:
Figura 1 - Exemplo de Fluxo de Atividade: Cadastro de Cliente
O exemplo acima é bastante simples e demonstra uma visão gráfica de como o trabalho poderia ser feito. Repare que os três primeiros retângulos foram destacados em amarelo, uma vez que há tratamento[4] de dados pessoais. O último retângulo, por tratar de mera entrega de folheto físico padrão, sem qualquer anotação pessoal (nem mesmo o nome de um vendedor!), não contém dado pessoal. O foco deve ser dado nos primeiros triângulos.
Como se vê, não é um trabalho dos mais simples! Caso a empresa já tenha os processos desenhados, fica muito mais fácil dar o destaque de onde existam os tratamentos dos dados pessoais. Mas é, sem sombra de dúvidas, necessário. Mais do que isso, é uma evidência clara de que a empresa está se preparando para a conformidade.
Novamente, essas são apenas algumas ideias e sugestões, não há um caminho certo ou padrão, o mais importante é iniciar o trabalho hoje e evidenciar o que está sendo feito, para que em uma eventual cobrança judicial ou da própria ANPD, a decisão leve em conta a preparação do Controlador e do Operador de Dados.
Os nossos cursos de LGPD podem auxiliar aos profissionais que desejam entender melhor essas e as demais ações necessárias para conformidade à lei!
Os primeiros passos para adequação
LGPD na administração pública
Curso avançado de LGPD
[1] Art. 5º, VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. (É no Controlador que esta o maior foco da lei, pois é ele quem define como será feito o tratamento, sua justificativa e base legais, ainda que seja feito por outrem – o Operador. Caso haja dúvidas, deixe nos comentários, que trataremos em outro texto.)
[2] Exemplos de questionamento: Você possui algum dos meus dados pessoais? O que você sabe sobre mim em seus sistemas, e-mails, arquivos eletrônicos ou documentos físicos? Para que você trata meus dados? Com quem você divide meus dados? Por quanto tempo você fica com meus dados?
[3] Nesse caso, foi utilizada a ferramenta Bizagi Modeler, disponível em: https://www.bizagi.com/pt/plataforma/modeler. A ferramenta é bastante gráfica e intuitiva.
[4] Lembrando: Art. 5º, X - toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; (É tudo que você faz com o dado, desde receber ou coletar a informação, até simplesmente, armazenar ou guardar em um backup/cópia de segurança).