Inicialmente, é importante entender que para adequar uma entidade à LGPD, deve-se traçar um caminho a ser percorrido, visando conciliar a intenção e visão da empresa com os dispositivos legais diversos, não só a LGPD.
Nesse sentido, a própria entidade deve estabelecer, em conjunto com profissionais do direito e da tecnologia, a forma com que ocorrerá a governança e o tratamento dos dados, organizando os propósitos empresariais e a legislação existente sobre o tema.
Com isso, é possível que os documentos necessários para adequação à LGPD varie, a depender da organização e dos propósitos desejados pela entidade. Contudo, existem alguns documentos que são comuns às mais variadas formas, conforme elencamos a seguir.
Relatório de Impacto à Proteção dos Dados Pessoais (RIPD)
O RIPD está previsto no artigo 5º, inciso XVII, da LGPD e é um documento descritivo, responsável por demonstrar os processos adotados para tratamento de dados pessoais que podem afetar as liberdades civis e os direitos dos titulares.
Além disso, o RIPD serve também para que se descreva as medidas, salvaguardas e os mecanismos de mitigação de riscos adotados pela entidade, a fim de assegurar os dados pessoais recolhidos. Nesse sentido, o controlador deve demonstrar os tipos de dados tratados, a metodologia usada para coleta, as medidas de segurança das informações, etc.
É importante que o RIPD seja feito em conformidade com a LGPD, porque a própria Lei prevê que a autoridade nacional pode determinar ao controlador que elabore o documento, inclusive de dados sensíveis.
Relatório de atividades aos dados pessoais
Esse relatório se relaciona com o RIPD e com o mapeamento dos dados pessoais, garantindo que o controlador/a entidade mantenha registros (que podem ser manuais ou informatizados) das atividades realizadas em relação a tais dados.
A utilização desse documento é relevante, pois é também uma forma de organizar internamente o tratamento dos dados pessoais, garantindo ainda mais segurança de adequação à LGPD.
Nomeação de DPO (Data Protection Officer)
É importante que o controlador indique e documente corretamente a nomeação do DPO, bem como qual será seu papel, suas limitações, suas funções e suas responsabilidades. Cumpre ressaltar que a LGPD trata especificamente dos DPOs no artigo 41.
Tal documento é importante porque, conforme a LGPD, o DPO é responsável por diversas funções, como, por exemplo, orientar os funcionários e os contratados da empresa sobre as práticas a serem tomadas para a proteção de dados pessoais.
Devemos considerar ainda, que é igualmente relevante que o documento contenha questões relativas à resolução de conflitos de interesses com os titulares ou com autoridade nacional (por exemplo, por meio de canal de comunicação).
Política de Proteção de Dados
É importante que a entidade estabeleça como vai ocorrer o tratamento e a proteção dos dados que colher, a fim de evitar imprevistos. Para confecção desse documento, o ideal é que se reúna os setores jurídico, de TI e de segurança para, em conjunto, traçarem as melhores alternativas para a empresa.
Também é interessante que essa política seja pública e acessível aos titulares, pois demonstra transparência da entidade no tratamento dos dados que serão colhidos e analisados.
Política de Retenção e de Exclusão de Dados
A LGPD determina também que os dados recolhidos devem ser armazenados pelo tempo que se fizer necessário para cumprir a finalidade desejada pela entidade – tais finalidades devem ser amparadas por bases legais.
Assim, uma política que determina como será a retenção (durante o tratamento) e a exclusão (quando não mais houver utilidade) dos dados é importante para se adequar às previsões legais.
Política de Privacidade
Através desse documento, a entidade demonstra de forma clara quais são as formas utilizadas para garantir a proteção da privacidade dos dados recolhidos dos usuários. O documento deve estar de acordo com o art. 9º da LGPD, o qual traz diversas características a serem cumpridas pela política.
Cumpre ressaltar que o documento deve ser público, criado ou atualizado conforme a LGPD e deve identificar, entre outras coisas, o controlador dos dados, bem como os direitos do titular.
Devemos reiterar que não há uma “receita de bolo” a ser seguida para adequação da entidade à LGPD. Assim, os documentos listados acima são os mais comuns entre as finalidades a que se propõem os controladores, empresários, etc.
Contudo, nada impede que outros documentos sejam confeccionados para se atingir uma maior adequação específica da entidade e dos dispositivos legais vigentes.
Para isso, o ideal é que a empresa esteja bem amparada por profissionais que possam, em conjunto, concatenar as ideias empresariais com relação ao recolhimento e tratamento de dados e a LGPD.
A NowCy conta com um time multidisciplinar certificado em LGPD, Direito Digital, Cibersegurança, além de especialistas em tecnologias e métodos/controles baseados na GDPR, NIST e ISO 27001.
Saiba mais clicando aqui!
Perfil do Autor
- Diretor de Riscos e Compliance da NowCy. Advogado sênior, pós-graduado em Direito Empresarial. Especialista em Direito Digital, LGPD, Cibersegurança e Risco Corporativo. Atualmente ocupando posição estratégica na gestão de riscos digitais.
Últimas Postagens
Gestão e estratégia12 de março de 2024Avaliação de Risco: Por que a personalização é importante nessa estratégia?- Gestão e estratégia8 de fevereiro de 2024Regulamentações de Compliance: Como a avaliação de riscos pode ajudar na conformidade das empresas
- Gestão e estratégia30 de janeiro de 2024Avaliação de Riscos: Descubra e mitigue riscos potenciais com uma estratégia abrangente
- Cibersegurança16 de janeiro de 2024A avaliação de riscos como aliada contra os perigos cibernéticos
