Série Dados, Privacidade, Negócios e a Nova LGPD – O ciclo de vida dos dados na sua empresa e o Data Protection Officer

Nos artigos anteriores falamos um pouco sobre a desproteção e o gigantismo das relações digitais hoje em dia e o grande desafio da nova regulação brasileira para disciplinar essas relações e direitos (AQUI), sobre a amplitude da LGPD e seus princípios de aplicação (AQUI) e também sobre os aspectos práticos dos dados pessoais, sensíveis e possibilidades do seu tratamento (AQUI)
Agora vamos ver um pouco do ciclo de vida dos dados nas empresas e também conhecer a nova figura do DPO/Data Protection Officer e como suas funções podem ser desenvolvidas.
Mapeando o ciclo de vida dos dados na sua empresa
Toda pessoa natural (profissionais liberais como psicólogos, médicos advogados, etc) ou jurídica de direito público ou privado que lida com dados individuais tem que fazer o mapeamento desse ciclo de vida em todas as suas áreas (relacionamento com clientes, recursos humanos e parceiros), até agosto de 2020, on line e off line. Esse ciclo passa, como já dissemos acima, pela coleta, uso, armazenamento, compartilhamento e a exclusão dos dados.
O ideal é realizar o Data Discovery primeiro, processo de levantamento geral de tudo o que é coletado, onde e em que condições se armazena, consolidando a visualização e identificação de forma que se possa partir para a classificação.
Solicitando os dados
O acesso ao conjunto de dados pessoais de cada interessado existente em cada empresa ou órgão público deve ser feito por um simples requerimento por meio do SAC, da Ouvidoria, por meio de formulário no site ou algo nessa linha de transparência e facilidade. Não há uma regra específica, mas a premissa é que seja de forma simples, clara e facilitada.
Haverá basicamente dois tipos de relatórios: o simplificado e o completo. O primeiro deve ser entregue ao interessado imediatamente (art. 19, I da LGPD). O conceito de imediatamente é quase que “na hora em que ele solicitar”. O completo deve ser entregue em até 15 dias. A lei não diz, mas o simplificado deve ter os dados cadastrais do solicitante. No completo, vale o art. 19, II da LGPD. Vale lembrar que hoje já meio jurídico para se conseguir isso, o habeas data, mas é algo bastante custoso. A partir de agosto de 2020 isso se processará por estruturas como o SAC ou e-mail da empresa, algo muito mais simples.
Data Protection Officer/DPO
Convencionou-se chamar de Data Protection Officer, ou simplesmente DPO, o profissional que, dentro de uma empresa, é encarregado da conformidade das questões relacionadas à proteção dos dados pessoais na organização. Na verdade, a lei faz menção ao “encarregado pelo tratamento de dados pessoais”.
Faz-se necessário dizer que não é necessário criar uma nova função na empresa, muito menos no nível diretivo e sim definir alguém apto tecnicamente a ser responsável pelas atividades listadas abaixo, o que, a depender do tamanho da empresa, poderá/deverá ser auxiliado por comissão multidisciplinar de implementação e auditoria de proteção de dados.
E o que significa “entender tecnicamente”? Basicamente entender da LGPD em si e ter conhecimento um pouco mais abrangente e multidisciplinar, conciliando as áreas de tecnologia, legal e gestão da informação.
Sua identidade e as informações de contato deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site da empresa e suas atividades básicas consistem em:
  • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • Receber comunicações da autoridade nacional e adotar providências;
  • Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
  • Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Vale lembrar que já há empresas explorando esse serviço (DPO as a service), o que pode ser de grande valia para a implementação da Lei, e não há uma certificação oficial. E atenção: não é recomendável que os responsáveis pelo compliance ou controles internos exerçam esse papel pelo simples fato de que quem fiscaliza não pode ser quem implementa o que vai ser fiscalizado.
No próximo artigo, e último da série, vamos fechar com as conclusões finais da importância da nova lei, seus aspectos de mercado e um check list para os pequenos e médios negócios realizarem a implementação.
Nos vemos lá!

Comentários

Postagens mais visitadas deste blog

Planilhas gratuitas para auxiliar uma boa gestão financeira

Como colocar seu produto nas prateleiras dos grandes varejistas

Bens reais como garantia bancária e a necessidade de informações confiáveis