LGPD: Documentos essenciais

LGPD

Inicialmente, é importante entender que para adequar uma entidade à LGPD, deve-se traçar um caminho a ser percorrido, visando conciliar a intenção e visão da empresa com os dispositivos legais diversos, não só a LGPD.

Nesse sentido, a própria entidade deve estabelecer, em conjunto com profissionais do direito e da tecnologia, a forma com que ocorrerá a governança e o tratamento dos dados, organizando os propósitos empresariais e a legislação existente sobre o tema.

Com isso, é possível que os documentos necessários para adequação à LGPD varie, a depender da organização e dos propósitos desejados pela entidade. Contudo, existem alguns documentos que são comuns às mais variadas formas, conforme elencamos a seguir.

Relatório de Impacto à Proteção dos Dados Pessoais (RIPD)

O RIPD está previsto no artigo 5º, inciso XVII, da LGPD e é um documento descritivo, responsável por demonstrar os processos adotados para tratamento de dados pessoais que podem afetar as liberdades civis e os direitos dos titulares.

Além disso, o RIPD serve também para que se descreva as medidas, salvaguardas e os mecanismos de mitigação de riscos adotados pela entidade, a fim de assegurar os dados pessoais recolhidos. Nesse sentido, o controlador deve demonstrar os tipos de dados tratados, a metodologia usada para coleta, as medidas de segurança das informações, etc.

É importante que o RIPD seja feito em conformidade com a LGPD, porque a própria Lei prevê que a autoridade nacional pode determinar ao controlador que elabore o documento, inclusive de dados sensíveis.

Relatório de atividades aos dados pessoais

Esse relatório se relaciona com o RIPD e com o mapeamento dos dados pessoais, garantindo que o controlador/a entidade mantenha registros (que podem ser manuais ou informatizados) das atividades realizadas em relação a tais dados.

A utilização desse documento é relevante, pois é também uma forma de organizar internamente o tratamento dos dados pessoais, garantindo ainda mais segurança de adequação à LGPD.

Nomeação de DPO (Data Protection Officer)

É importante que o controlador indique e documente corretamente a nomeação do DPO, bem como qual será seu papel, suas limitações, suas funções e suas responsabilidades. Cumpre ressaltar que a LGPD trata especificamente dos DPOs no artigo 41.

Tal documento é importante porque, conforme a LGPD, o DPO é responsável por diversas funções, como, por exemplo, orientar os funcionários e os contratados da empresa sobre as práticas a serem tomadas para a proteção de dados pessoais.

Devemos considerar ainda, que é igualmente relevante que o documento contenha questões relativas à resolução de conflitos de interesses com os titulares ou com autoridade nacional (por exemplo, por meio de canal de comunicação).

Política de Proteção de Dados

É importante que a entidade estabeleça como vai ocorrer o tratamento e a proteção dos dados que colher, a fim de evitar imprevistos. Para confecção desse documento, o ideal é que se reúna os setores jurídico, de TI e de segurança para, em conjunto, traçarem as melhores alternativas para a empresa.

Também é interessante que essa política seja pública e acessível aos titulares, pois demonstra transparência da entidade no tratamento dos dados que serão colhidos e analisados.

Política de Retenção e de Exclusão de Dados

A LGPD determina também que os dados recolhidos devem ser armazenados pelo tempo que se fizer necessário para cumprir a finalidade desejada pela entidade – tais finalidades devem ser amparadas por bases legais.

Assim, uma política que determina como será a retenção (durante o tratamento) e a exclusão (quando não mais houver utilidade) dos dados é importante para se adequar às previsões legais.

Política de Privacidade

Através desse documento, a entidade demonstra de forma clara quais são as formas utilizadas para garantir a proteção da privacidade dos dados recolhidos dos usuários. O documento deve estar de acordo com o art. 9º da LGPD, o qual traz diversas características a serem cumpridas pela política.

Cumpre ressaltar que o documento deve ser público, criado ou atualizado conforme a LGPD e deve identificar, entre outras coisas, o controlador dos dados, bem como os direitos do titular.

Devemos reiterar que não há uma “receita de bolo” a ser seguida para adequação da entidade à LGPD. Assim, os documentos listados acima são os mais comuns entre as finalidades a que se propõem os controladores, empresários, etc.

Contudo, nada impede que outros documentos sejam confeccionados para se atingir uma maior adequação específica da entidade e dos dispositivos legais vigentes.

Para isso, o ideal é que a empresa esteja bem amparada por profissionais que possam, em conjunto, concatenar as ideias empresariais com relação ao recolhimento e tratamento de dados e a LGPD.

A NowCy conta com um time multidisciplinar certificado em LGPD, Direito Digital, Cibersegurança, além de especialistas em tecnologias e métodos/controles baseados na GDPR, NIST e ISO 27001.

Saiba mais clicando aqui!

 

Perfil do Autor

Saulo Almeida
Saulo Almeida
Diretor de Riscos e Compliance da NowCy. Advogado sênior, pós-graduado em Direito Empresarial. Especialista em Direito Digital, LGPD, Cibersegurança e Risco Corporativo. Atualmente ocupando posição estratégica na gestão de riscos digitais.

Compartilhe