Para as empresas, especialmente no setor de tecnologia e inovação, […]
Para as empresas, especialmente no setor de tecnologia e inovação, que buscam investidores e recursos de fundos de capital de risco, a adequação à Lei Geral de Proteção de Dados (LGPD) é praticamente uma obrigação. “Nenhum investidor vai querer aportar recursos, e participar de um conselho de administração, em uma empresa que não tem uma política bem desenvolvida de proteção de dados pessoais, não só dos clientes mas também de seus colaboradores”, aponta Fernando Sotto Maior, sócio do escritório Sotto Maior & Nagel Advogados.
Ele lembra que muitas empresas estão iniciando o processo de adesão à nova lei por exigência de parceiros comerciais e de clientes: “a responsabilidade também é compartilhada. Quem atua como operador, controlador, num processo de envolve outros fornecedores, pode ser corresponsável se houver algum problema ou alguma empresa neste elo apresentar um problema, uma não-conformidade”.
Caso a consolidação de um programa completo não seja, por algum motivo, possível à empresa, uma alternativa é fazer as análises internas conforme os preceitos do “privacy by design”, ou seja, entender se todos os passos da realização de um serviço ou desenvolvimento de um produto, atendem às premissas da LGPD: necessidade da captação de dados, adequação, livre acesso, qualidade dos dados, não-discriminação, transparência, prevenção, responsabilidade de prestação de contas, etc.
“É como um exercício: entenda o produto que se quer conceber e as atividades que serão realizadas nesse processo. Se não houver aderência a esses princípios em determinada parte do processo, o que pode ser feito para se aproximar do ideal?” A LGPD determina que a empresa seja capaz de demonstrar todas as medidas, dentro dos critérios objetivos de tempo, custo e tecnologia para buscar a conformidade (accountability), detalha Fernando Sotto Maior.
Sabendo que há um curtíssimo prazo para adaptação à lei, qual seria a melhor estratégia? O advogado recomenda a análise do risk based approach: lidar primeiro com o que representa o maior grau de risco para a organização e os titulares e isso ser sanado.
“O primeiro passo é o mapeamento e de inventário de dados, ter isso bem organizado. Entender como os fluxos de informação entram, por quais departamentos elas transitam, quais as finalidades dos dados coletados. Primeiro fazer uma autoanálise para o processo de compliance“, resume.
Texto originalmente publicado no Canal Direito & Inovação do portal SC Inova
Leia também:
LGPD já é realidade para mercados e tribunais