Por João Bosco – VP para Desenvolvimento de Negócios e GRC – Doxa Advisers
No último dia 25 de maio de 2018, entrou em vigor nova legislação no território da União Europeia (UE) sobre a proteção de dados pessoais de indivíduos, empresas e de órgãos públicos, o Regulamento Geral de Proteção de Dados (General Data Protection – GDPR).
Considerando a amplitude do GDPR será necessário que as empresas adequem sua Política de Privacidade, pois como oferece serviços e produtos e, também, possui website acessível no território da UE coleta e tem acesso, inevitável a dados de pessoa física, empresa ou órgão público.
Em síntese, apesar de ser uma legislação da União Europeia é extremamente recomendável que a empresa se adeque ao GDPR, evitando assim riscos futuros.
No último dia 14 de agosto de 2018, após intensa discussão pública e debate político, foi promulgada a Lei nº 13.709/2018, conhecida como “Lei Geral de Proteção de Dados (LGPD)” .
No dia 27/12/2018 o Governo editou a MPV 869 , que criou a Autoridade Nacional de Proteção de Dados e alterou o prazo de vigência da LGPD para Agosto de 2020.
(http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Mpv/mpv869.htm)
Consequentemente, em razão do quadro legislativo atual (LGPD e GDPR), a coleta, armazenamento, tratamento e uso de dados de usuários (sejam eles pessoas físicas ou jurídicas, públicas ou não) está sujeita a regulamentações que devem ser seguidas, evitando-se assim incorrer em penalidades futuras, tanto no Brasil quanto no território da UE.
Sua empresa provavelmente já cumpre muitos dos requisitos da Lei Geral de Proteção de Dados (LGPD)e da GDPR,no entanto a nova Lei exigirá a formalização de itens, processos e políticas específicas para garantir o seu pleno cumprimento.
Listamos abaixo 12 passos com os principais pontos e etapas que você deve considerar no período que antecede a vigência da LGPD prevista para Agosto de 2020.
Seu nível se prontidão e conhecimento sobre cada um dos passos s mostrarão seu nível de conformidade atual e te ajudará a entender melhor sua situação para preparar um plano de trabalho para que sua empresa possa atingir e manter a conformidade.
1 Consciência
Você deve se certificar de que os tomadores de decisão e as pessoas-chave em sua organização estejam cientes de que a Lei de Geral Proteção de Dados (LGPD) está entrando em vigor em Agosto de 2020. Eles precisam avaliar o impacto que isso provavelmente terá.
2 Informações que você possui
Você deve documentar quais dados pessoais você possui, de onde veio e com quem você compartilha. Você pode precisar organizar uma auditoria de informações.
3 Comunicação de informações de privacidade
Você deve rever seus avisos de privacidade atuais e colocar em prática um plano para fazer quaisquer alterações necessárias no tempo para a implementação da LGPD.
4 Direitos das pessoas
Você deve verificar seus procedimentos para garantir que eles cubram todos os direitos que os indivíduos têm, incluindo como você excluiria dados pessoais ou forneceria dados eletronicamente ou qualquer formato comumente usado.
5 Solicitações de acesso ao dados e tratamentos realizados com os mesmos
Você deve atualizar seus procedimentos e planejar como você lidará com solicitações dentro dos novos prazos e quais e como fornecer qualquer informação adicional.
6 Base legal para o processamento de dados pessoais
Você deve identificar a base legal para sua atividade de processamento na LGPD verificando se seu propósito para processar dados pessoais tem legitimidade em uma das 10 hipóteses previstas na Lei . Você deve documentar seu enquadramento legal e se necessário atualizar seu aviso de privacidade para explicá-lo.
7 Consentimento
Você deve rever como você procura, registra e gerencia o consentimento pessoal e se você precisa fazer alguma alteração. Atualize os consentimentos existentes agora se eles não atenderem ao padrão LGPD.
8 Crianças
Você deve começar a pensar agora sobre a necessidade de implantar sistemas para verificar a idade dos indivíduos e obter o consentimento dos pais ou do responsável para qualquer atividade de processamento de dados que envolvam menores de idade.
9 Violações de dados
Você deve certificar-se de ter os procedimentos corretos para detectar, relatar e investigar qualquer violação de dados pessoais.
10 Sistemas e processos projetados para Proteção de dados / Relatórios de avaliação de impacto de proteção de dados
Agora, você deve se familiarizar com as melhores práticas sobre as avaliações de impacto de privacidade, bem como as melhores práticas para sistemas e processos e com eventuais orientações de Grupos de Trabalho que possam ser criados pela futura Agencia Nacional de Proteção de Dados e como e quando implementá-las em sua organização. Grupos de Trabalho deste tipo já existem na Europa e provavelmente serão criados no Brasil em 2019.
11 Encarregado de proteção de dados (DPO – Data Protection Officer)
Você deve designar alguém para assumir a responsabilidade pela conformidade da proteção de dados e avaliar onde essa função funcionará na organização e nos procedimentos de governança de sua organização. Você deve considerar se é necessário designar formalmente um encarregado de proteção de dados ou se você pode obtê-lo como serviço através de empresas especializadas.
12 Internacional
Se a sua organização opera dados de cidadãos estrangeiros você deve verificar eventuais legislações aplicáveis, como por exemplo no caso de cidadãos de países membros da Comunidade Europeia em que a GDPR (Global Data Protection Regulation) é aplicável e já está em vigor.
Um lembrete final importante : O caminho para a Conformidade não tem linha de chegada.Tão importante quanto estar conforme é se manter conforme . Chegar lá é relevante mas percorrer o caminho com segurança , envolvimento e pro-atividade é o que deve ser perseguido, pois somente assim as empresas terão incorporado em seu dia a dia os procedimentos necessários para manter a conformidade alcançada.
www.doxa-advisers.com.br
Contato : joao.bosco@doxa.net.br