OS DOCUMENTOS FUNDAMENTAIS PARA ADEQUAÇÃO DA LGPD

Roberta Rodrigues Nonato Madureira

Sócia e Head do Departamento de Proteção de Dados LNDN

A LGPD, em seu art. 37, é clara ao trazer para o controlador e operador o dever de manter registros das suas operações de tratamento de dados pessoais.

No entanto, ela não especifica ou delimita quais registros ou documentos devem ser confeccionados, nem tampouco, se devem ser físicos ou eletrônicos.

A necessidade dos documentos fundamenta-se ainda na necessidade de evidenciar boas práticas de governança de dados pessoais.

Ademais, os documentos e registros gerados pelas operações de tratamentos dos dados pessoais são muito mais que evidências fundamentais, são ferramentas importantes para a manutenção, avaliação, mitigação e gestão dos riscos relacionados à privacidade e proteção de dados.

Além disso, em uma eventual fiscalização pela ANPD, processos judiciais e possível due diligence entre empresas (controladores e operadores) esses documentos e informações serão de suma importância para avaliar o nível de conformidade da empresa.

Abaixo, listamos 10 documentos fundamentais no projeto de adequação a LGPD. É claro que os documentos variam de acordo com cada empresa, segmento e tamanho:

 1) Plano para gestão de incidentes. O processo responsável por gerenciar os incidentes. Além da comunicação interna, para Autoridades e titulares envolvidos.

2) Data Mapping. Ou mapeamento dos dados pessoais nos processos da empresa. Também chamado de ROPA. Processo de rastreamento e inventários dos dados coletados e tratados dentro das empresas.

3) Plano de ação com gerenciamento de riscos. Medidas adotadas pela empresa para lidar com as possíveis ameaças ou oportunidades.

4) Cronograma de gestão. A gestão de Projetos é extremamente importante na LGPD. Utilizar métodos ágeis é uma opção para acompanhar as ações de adequação, execução e implementação.

5) Política de privacidade interna. O foco deste documento é o público interno (dentro de casa, da empresa). A dica é estar acompanhada de uma campanha interna com foco na cultura para proteção dos dados.

 6) Política de privacidade externa. Diferente da interna, aqui o foco são os clientes finais (titulares dos dados pessoais). Ela deve estar publicada no site e deve ter "a cara" da empresa e além disso, deve ser fácil de compreender, bem como, estabelecer os canais para o titular exercer os seus direitos.

7) Política de segurança da informação. O berço da privacidade e proteção de dados, a segurança da informação. Como exemplo: classificação da informação, redes, cloud, armazenamento físico, backup e restore, criptografia, BYOD, anonimização, entre outros.

 8) Relatório de impacto. As atividades que envolvem um alto risco precisam constar no relatório de impacto, o famoso RIPD.

9) Plano de comunicação e treinamentos. Os treinamentos e as comunicações internas são essenciais. Além disso, é necessário ter esta frente do projeto registrada. A exemplo: controle de treinamentos para colaboradores, modelo de teste de avaliação de conhecimentos, as apresentações editáveis para palestras e workshops.

10) Termo de compromisso com a segurança (foco em operadores). Fundamental para enviarmos aos operadores, empresas que tratam dados pessoais em nome do controlador. Inclui as principais responsabilidades jurídicas, direitos, deveres, segurança, disponibilidade e confidencialidade.

Por fim, é aconselhável que a empresa, consultoria e/ou encarregado de dados estabeleçam um prazo para atualização periódica e descarte dos registros de operações de tratamentos de dados arquivadas ou em desuso.

Quer saber mais? O LNDN está preparado para auxiliar no entendimento sobre este e outros assuntos importantes.

#LNDN #leonardonaves #LN #direitodenegocios #direito #LGPD #documentos #principios #prestaçãodecontas #ANPD #duediligence #controlador #operador #processos #riscos #planos #datamapping #gestão #privacidade #politicadeprivacidade #cultura