A Lei Geral de proteção de dados, publicada em agosto de 2018, teve finalmente sua vigência decretada em setembro de 2020 e, mesmo com o lapso de pouco mais de 24 meses para a norma começar a valer, ainda existem muitas dúvidas e incertezas a respeito de como se dará sua efetiva aplicação, o que tem causado muita angústia por parte dos empresários para  adequação das suas empresas às diretrizes relativas à coleta e ao tratamento de dados pessoais.

Além do setor jurídico, o setor de T.I., o time comercial e de vendas, o departamento de RH, a divisão de Marketing, o setor Financeiro, enfim, todos aqueles que capturam ou lidam com dados, seja online ou offline, terão que se adequar à Lei Geral de Proteção de Dados.

Diante disso, apesar da disponibilização de vários cursos, serviços e a difusão das inúmeras discussões no mercado sobre o assunto, existe uma pergunta que insiste em voltar à pauta, que é a forma prática de como a lei produzirá seus efeitos. Todas as empresas insistem em saber: como será a aplicabilidade da LGPD na prática?

As organizações, em geral, estão sem saber o que fazer, por onde começar e qual melhor caminho a seguir para elaboração e implementação dos planos de adequação, principalmente as empresas de médio e pequeno porte, que estão contabilizando os impactos negativos em virtude da COVID 19 e ainda têm que se preocupar com a consequente descapitalização para atender às normas recém vigentes de proteção de dados.

Sem ter a menor pretensão de exaurir matéria tão extensa e complexa, a primeira coisa importante que tem que fazer é a criação de uma “Cultura da Privacidade”, em que todos os integrantes daquela corporação, desde a alta gestão até os funcionários de empresas terceirizadas, estejam conscientes da necessidade de agir em conformidade, unindo gestores de variados setores em um comitê multidisciplinar de conformidade.

A segunda premissa fundamental é a designação de um responsável pelo gerenciamento dos dados, que encabeçará o projeto de comunicação entre a empresa e o titular de dados: o Encarregado de dados ou Data Protection Officer (DPO). A nomeação da pessoa responsável pela comunicação de dados, que conheça os processos de trabalho, a tecnologia e as formas como os dados transitam pela corporação será importante para disseminar a importância da adequação às novas regras de proteção, possibilitando que o gerenciamento do projeto ocorra de forma mais tranquila e objetiva.

Realizadas tais medidas iniciais, cabe às organizações iniciarem o mapeamento dos dados, verificando especialmente como os dados são introduzidos em seus bancos de dados e como eles são utilizados, qual a finalidade na captação destas informações pessoais. Essa etapa possibilitará não somente a preparação para medidas futuras, como o questionamento dos titulares dos dados, mas ajudará a definir, em momento posterior, os níveis de exposição em que a empresa se encontra, permitindo a priorização das medidas mais relevantes no tratamento dos dados coletados.

A promoção de treinamentos das equipes é uma medida fundamental para que todos passem a agir em consonância e, consequentemente, realizem os fluxos de operação de dados de forma mais cuidadosa e transparente, proliferando comportamento que priorize a segurança e a privacidade por todos.

Assim, essas medidas iniciais de atuação são vitais para que as empresas possuam um procedimento adequado de resposta inicial à exigência da lei, a fim de mitigar riscos, diminuir eventuais danos aos titulares de dados, além de proporcionar a manutenção dos seus contratos, por exigência do próprio mercado, que não se contentará mais com meras declarações ou mesmo cláusulas contratuais que informem a existência de conformidade, exigindo-se que o comportamento das partes sejam efetivos em se adequar aos procedimentos de tratamento de dados pessoais.