Com data prevista para entrada em vigor em dezembro de 2020, e não mais em fevereiro do mesmo ano, a Lei Geral de Proteção de Dados (LGDP) gera dúvidas e desafios quando se pensa em guarda de informações e em como as empresas devem avaliar os riscos inerentes a violação das regras de proteção de dados pessoais.
E esses riscos parecem ser bem altos. Segundo a última edição do Varonis Risk Report, divulgada em 2018, 64% das empresas não sabem onde seu conteúdo sensível está localizado e quem pode acessá-lo, sem controle ou registro do que é realizado dentro dos arquivos de dados e por quem.
Além da segurança na guarda de informações, a LGPD também cria regras sobre a retenção dos dados, e as empresas só podem manter informações enquanto forem necessárias. Após esse prazo, elas devem ser eliminadas de forma permanente. O grande desafio está em localizar esses dados e o mesmo estudo aponta que 76% das pastas de uma empresa contêm dados obsoletos.
Frederico Felix Gomes, sócio do escritório Rocha Félix Associados e Mestre em Direito Empresarial, destaca algumas medidas que as empresas devem adotar para estarem (minimamente) em conformidade com as novas regras de guarda de informações exigidas pela LGPD:
– Avalie quais os dados pessoais coletados e processados, com que objetivo você realiza tais atividades e com qual fundamento jurídico. Ex.: Caso você tenha empregados, você deverá coletar e processar seus dados pessoais com objetivo de cumprir uma série de obrigações legais, sendo que o fundamento jurídico se encontra no próprio contrato de trabalho.
– Sempre que houver a coleta de dados pessoais informe tal fato aos seus usuários, clientes e até empregados. Entretanto, torna-se desnecessário informar que tais indivíduos sempre que estes já souberem e esperarem que determinados dados serão processados.
– Mantenha os dados pessoais somente pelo tempo necessário. Caso tal período tenha se esgotado ou o processamento de dados não seja mais necessário para atingir o objetivo pelo qual ele foi coletado, exclua tais dados.
– Adote medidas de segurança, técnicas e administrativas, para proteger os dados pessoais. Os padrões deverão ser aqueles adotados pelo mercado, ou então aqueles estabelecidos por um futuro órgão de proteção de dados.
– Mantenha um relatório sobre as atividades envolvidas no processamento de dados. Tenha sempre um documento explicando quais dados pessoais você armazena e por quais razões, além das medidas de segurança adotadas para mitigação de riscos. A LGPD estabelece que, sempre que requisitado pela autoridade de proteção de dados, você deverá entregar tal documento.
– Revise os contratos mantidos com fornecedores, especialmente aqueles que realizem o tratamento de dados pessoais em seu nome ou em seu benefício. Torna-se essencial a adoção de cláusulas contratuais estabelecendo a obrigação dos subcontratos de realizarem o tratamento de dados pessoais em conformidade legal, sob pena de responsabilização solidária da sua empresa.
– Escolha um profissional, preferencialmente especialista em proteção de dados pessoais, para servir como canal de comunicação entre os titulares e o órgão de proteção de dados. Tal profissional será responsável por emitir pareceres avaliando os riscos e sugerindo medidas para mitigação de riscos, além de elaborar relatórios de impacto à proteção de dados pessoais, sempre que necessário.
Para garantir a adequação da estratégia de guarda de informações à LGPD, as empresas devem adotar um processo integrado, avaliando o cenário, levantando fragilidades, identificando políticas e monitorando alterações na legislação. E a sua empresa podem contar com a parceria da Access nessa jornada, com um sistema customizado garantindo conformidade na guarda de informações segundo as normas da LGPD e a melhor experiência no gerenciamento eletrônico de documentos.
