É indiscutível que as empresas precisam entrar em conformidade com as regras para a proteção de dados pessoais da Lei Geral de Proteção de Dados. Para isso, é preciso haver uma priorização do que será trabalhado para otimização do uso de recursos e de tempo, por conta do prazo relativamente exíguo.
A Lei entra em vigência em cerca de cinco meses, ou seja, Agosto do corrente ano, e para que seja alterada toda uma gama de processos internos, e para que os mais diversos tipos de documentos sejam adequados à LGPD, é preciso foco, a sensibilização de funcionários e a ênfase do cumprimento das suas regras em todos os setores da empresa.
Assim, além de visar a adequação nos âmbitos técnico e humano, é preciso haver todo um processo de implementação das regras também no setor jurídico. Para que a adequação dos três pilares ocorra de maneira completa, todas as áreas de atuação da empresa devem ser contempladas (administrativo, comercial, financeiro, RH, etc).
Dentre os documentos, para aqueles com o contato direto com o titular dos dados através de sites, plataformas ou aplicativos, há a Política de Privacidade e Termos de Uso. Esses são essenciais para a transparência com o titular sobre o uso dos seus dados e é o documento pelo qual a empresa irá informá-lo acerca das finalidades dos dados coletados para que o titular possa dar o seu consentimento – que na LGPD é qualificado.
Igualmente importante se a empresa possui um site, e independentemente de este ser o atual canal de comunicação com os titulares ou não, é a Política de Cookies, pela qual ocorreria o gerenciamento do consentimento daqueles usuários que visitam os sites e portais da empresa, de acordo com os tipos de cookies escolhidos.
Se houver um contrato de prestação de serviços a ser celebrado diretamente com o cliente pessoa física, se necessário for comunicar ou compartilhar dados pessoais com outros controladores, então é preciso que a coleta e o tratamento estejam especificados em cláusula em destaque do contrato. Se são dados de menores, a coleta do consentimento do responsável legal deve ser efetuada.
No âmbito interno da empresa, considerando os seus colaboradores, é preciso fazer as adaptações necessárias dos Contratos de Trabalho à realidade da LGPD, e, se não houver um Código de Conduta e um Termo de Confidencialidade para aqueles que estão em contato direto com o tratamento de dados pessoais, a implementação de tais documentos.
Caso seja requerido pela Autoridade Nacional, será necessário o fornecimento do Relatório de Impacto de Proteção de Dados no qual deverá estar especificado as operações de tratamento de dados e o que é feito para garantir a segurança das informações. Consequentemente, é preciso que o controlador tenha ciência de todos os canais pelos quais pode haver brechas de segurança a tempo de mitigar quaisquer riscos – também por meio dos instrumentos jurídicos.
Por fim, é preciso que toda a organização caminhe para as boas práticas de proteção de dados, e que a adequação também ocorra nos documentos físicos que uma empresa detém. A segurança dos dados e o modo com que a empresa decide lidar com a privacidade dos titulares passa a ser cada vez mais vista como um projeto empresarial.
MARINA PEREIRA DINIZ
Graduanda em Direito pela Universidade Estadual Paulista (UNESP), integrante da equipe de empresarial do TPC.