LGPD na Prática – Primeira Etapa: entendendo o fluxo de dados

Início / Blog / LGPD na Prática – Primeira Etapa: entendendo o fluxo de dados
em 04/07/2019
LGPD na Prática – Primeira Etapa: entendendo o fluxo de dados

O artigo anterior procurou apresentar a nova lei brasileira que regulamenta o tratamento de dados pessoais e a necessidade de adequação às novas regras. Partiremos agora para uma perspectiva mais prática, indicando alguns pontos e etapas essenciais no processo de adaptação e conformidade.

Não pretendemos aqui esgotar todos os caminhos possíveis para a implementação desta lei, mas indicar etapas comuns que terão que estar, obrigatoriamente, em algum momento no projeto de adequação. Vale lembrar que nessa fase de vacância, isto é, enquanto a lei não entra em vigor, é possível buscar alternativas e testar soluções que mais se ajustam ao modelo de negócio da entidade interessada em estar aderente à legislação.

É sabido que na realidade de uma empresa, por exemplo, aparecerão dificuldades distintas para atingir o padrão de conformidade exigido por esta lei, pois podem ser necessários investimentos ou até mesmo mudanças organizacionais com a criação e revisão de procedimentos internos. Nesse sentido, nota-se a necessidade de um plano de adequação à LGPD que se encaixe a especificidade dessa empresa. Verificando, assim, quais os pontos fortes e fracos que precisam ser aprimorados na implementação desse plano.

O primeiro passo importante é mapear e inventariar os dados tratados pela empresa. Com isso será possível identificar todo o fluxo de dados, como e onde foram coletados, qual a descrição desse dado, como estão sendo utilizados, qual período de retenção e de eliminação, uso compartilhado (se houver), quem tem acesso etc. Dessa forma, será possível manter o registro de todas as operações realizadas no tratamento de dados pessoais, o que é imprescindível no atendimento às requisições de titulares e demais órgãos fiscalizatórios, bem como do poder judiciário.

Outro ponto importante é a revisão contratual. Será necessário a revisão dos contratos para verificar quais cláusulas não estão de acordo com a lei. Será preciso a implantação de uma gestão de “autofiscalização” entre as diferentes empresas parceiras que, de alguma forma, manipulam dados de usuários.

Após o mapeamento dos dados será possível verificar quais já estão sendo tratados em conformidade com a lei, como por exemplo, o conjunto de dados anonimizados ou tornados públicos pelo titular, neste último caso, desde que respeitadas a finalidade, a boa-fé, o interesse público, os direitos dos titulares e os princípios norteadores da proteção de dados; de outro lado, os dados identificados como pessoais, que precisam ainda de base legal para que possam ser tratados. Sobre a classificação, finalidade e as bases legais veremos em um próximo tópico dessa série de textos. Fique atento!

Para falar com o autor desse artigo, mande e-mail para liandra.marconcini@ribeirodaluz.com.br. Caso tenha ficado alguma dúvida, escreva nos comentários que teremos prazer em esclarecer! Para saber mais sobre a temática e nossos serviços, entre em contato conosco pelo e-mail: contato@ribeirodaluz.com.br.

Fontes:
ROSSO, A. M. et al. O trabalho Políticas de privacidade: Um guia prático para a construção de uma política de privacidade conforme a Lei Geral de Proteção de Dados Conceitos & Checklist. In: By LGPD Academic. Creative Commons.2019.
JOTA. Quanto custa a governança na gestão dos dados alheios? Disponível em: . Acesso em 19 de jun. de 2019.

JOTA.LGPD: compliance na prática. Disponível em:. Acesso em 15 de jun. 2019.
Brasil. Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965. Disponível em: < http://www.planalto.gov.br/ccivil_03/_Ato20152018/2018/Lei/L13709.htm>. Acesso em 24 de jun. 2019.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *