LGPD

Documentos essenciais à LGPD

Inicialmente, é importante entender que para adequar uma entidade à LGPD, deve-se traçar um caminho a ser percorrido, visando conciliar a intenção e visão da empresa com os dispositivos legais diversos, não só à LGPD.

Nesse sentido, a própria entidade deve estabelecer, em conjunto com profissionais do direito e da tecnologia, a forma com que ocorrerá a governança e o tratamento dos dados, organizando os propósitos empresariais e a legislação existente sobre o tema.

Com isso, é possível que os documentos necessários para adequação à LGPD varie, a depender da organização e dos propósitos desejados pela entidade. Contudo, existem alguns documentos que são comuns às mais variadas formas, conforme elencamos a seguir.

Relatório de Impacto à Proteção dos Dados Pessoais (RIPD)

O RIPD está previsto no artigo 5º, inciso XVII, da LGPD e é um documento descritivo, responsável por demonstrar os processos adotados para tratamento de dados pessoais que podem afetar as liberdades civis e os direitos dos titulares. 

Além disso, o RIPD serve também para que se descreva as medidas, salvaguardas e os mecanismos de mitigação de riscos adotados pela entidade, a fim de assegurar os dados pessoais recolhidos. Nesse sentido, o controlador deve demonstrar os tipos de dados tratados, a metodologia usada para coleta, as medidas de segurança das informações, etc. 

É importante que o RIPD seja feito em conformidade com a LGPD, porque a própria Lei prevê que a autoridade nacional pode determinar ao controlador que elabore o documento, inclusive de dados sensíveis.

Relatório de atividades aos dados pessoais

Esse relatório se relaciona com o RIPD e com o mapeamento dos dados pessoais, garantindo que o controlador/a entidade mantenha registros (que podem ser manuais ou informatizados) das atividades realizadas em relação a tais dados.

A utilização desse documento é relevante, pois é também uma forma de organizar internamente o tratamento dos dados pessoais, garantindo ainda mais segurança de adequação à LGPD.

Nomeação de DPO (Data Protection Officer)

É importante que o controlador indique e documente corretamente a nomeação do DPO, bem como qual será seu papel, suas limitações, suas funções e suas responsabilidades. Cumpre ressaltar que a LGPD trata especificamente dos DPOs no artigo 41.

Tal documento é importante porque, conforme a LGPD, o DPO é responsável por diversas funções, como, por exemplo, orientar os funcionários e os contratados da empresa sobre as práticas a serem tomadas para a proteção de dados pessoais.

Devemos considerar ainda, que é igualmente relevante que o documento contenha questões relativas à resolução de conflitos de interesses com os titulares ou com autoridade nacional (por exemplo, por meio de canal de comunicação).

Política de Proteção de Dados

É importante que a entidade estabeleça como vai ocorrer o tratamento e a proteção dos dados que colher, a fim de evitar imprevistos. Para confecção desse documento, o ideal é que se reúna os setores jurídico, de TI e de segurança para, em conjunto, traçarem as melhores alternativas para a empresa.

Também é interessante que essa política seja pública e acessível aos titulares, pois demonstra transparência da entidade no tratamento dos dados que serão colhidos e analisados.

Política de Retenção e de Exclusão de Dados

A LGPD determina também que os dados recolhidos devem ser armazenados pelo tempo que se fizer necessário para cumprir a finalidade desejada pela entidade – tais finalidades devem ser amparadas por bases legais

Assim, uma política que determina como será a retenção (durante o tratamento) e a exclusão (quando não mais houver utilidade) dos dados é importante para se adequar às previsões legais.

Política de Privacidade

Através desse documento, a entidade demonstra de forma clara quais são as formas utilizadas para garantir a proteção da privacidade dos dados recolhidos dos usuários. O documento deve estar de acordo com o art. 9º da LGPD, o qual traz diversas características a serem cumpridas pela política.

Cumpre ressaltar que o documento deve ser público, criado ou atualizado conforme a LGPD e deve identificar, entre outras coisas, o controlador dos dados, bem como os direitos do titular.

Devemos reiterar que não há uma “receita de bolo” a ser seguida para adequação da entidade à LGPD. Assim, os documentos listados acima são os mais comuns entre as finalidades a que se propõem os controladores, empresários, etc.

Contudo, nada impede que outros documentos sejam confeccionados para se atingir uma maior adequação específica da entidade e dos dispositivos legais vigentes.

Para isso, o ideal é que a empresa esteja bem amparada  por profissionais que possam, em conjunto, concatenar as ideias empresariais com relação ao recolhimento e tratamento de dados e a LGPD.

A DCIT conta com um time multidisciplinar certificado em LGPD, Direito Digital, Cibersegurança, além de especialistas em tecnologias e métodos/controles baseados na GDPR, NIST e ISO 27001.

Comece por uma avaliação, entenda como deixamos nossos clientes em compliance com as normas e leis vigentes.
Entre em contato com nossos consultores especialistas pelo (31) 3181-0211 ou envie um e-mail para comercial@dcit.com.br 

Sobre o Autor

Leandro Lima
Leandro Lima
Leandro Lima é entusiasta da Computação em Nuvem e apaixonado por disseminar conhecimento sobre inovação e novas tecnologias. Especialista em Cibersegurança e Cloud Computing Atualmente exerce a função de Head de Tecnologia e Transformação Digital na DCIT TECNOLOGIA. Possui mais de 25 certificações profissionais em TI, dentre elas, Cisco CCNA / CCNP / ITIL / AWS Technical Professional / AWS Business Professional e AWS Solutions Architect Associate.