Em nossa última coluna tivemos a oportunidade de falar sobre o custo de violação de dados pessoais. De lá para cá – passados pouco mais de dois meses – tivemos idas e vindas sobre a vigência da LGPD. E a novela chegou ao final, com a vigência ficando definida para o mês de setembro.

Pois bem, com a certeza da vigência da LGPD, muitos que haviam contado com seu adiamento, se viram em situações complicadas porque não se prepararam para esta indigesta surpresa de vigência ainda em 2020. Por conta disso, vamos contribuir aqui com dicas de como se preparar para a adequação da lei, com ações básicas, essenciais, que certamente auxiliarão na busca da conformidade. Vamos a elas.

É preciso entender que apesar de haver projetos de adequação da LGPD, o atingimento da conformidade é uma jornada, um programa. As organizações precisarão incorporar em suas atividades as ações decorrentes dos pilares de um programa de compliance com foco na proteção de dados pessoais.

Dito isso, uma atividade fundamental é o mapeamento de fluxos de dados pessoais, que será o que vai proporcionar que a organização estabeleça controles e atividades de governança para os dados pessoais.
Feito o mapeamento, é o momento de identificar os gaps, isto é, as falhas, faltas ou melhorias necessárias para que a conformidade com a proteção de dados não seja deixada de lado. Os gaps podem ser, basicamente, de duas ordens: de governança ou estruturantes ou decorrentes de fluxos específicos.

Identificados os gaps, é fundamental que sejam organizados conforme criticidade e que, igualmente, seja desenhado um plano de ação, com as ações estruturantes e específicas.
Evidentemente, as análises técnicas de segurança devem ser rotineiramente providenciadas no âmbito de qualquer corporação e, ligá-las ao escopo de proteção de dados pessoais é, também, fundamental.
Mapeados os gaps e classificados, é hora de por o plano de ação em prática, providenciando que haja governança de dados pessoais, ajustando os fluxos, revisando documentos e políticas, executando treinamentos e fazendo com que isso tudo sejam atividades recorrentes, num exercício de monitorar, identificar, corrigir e reiniciar o processo.

A LGPD não é apenas uma lei burocrática. Todos os que desejarem, certamente extrairão dela aspectos essenciais para melhorar a governança corporativa. Então, com a lei em vigor, é mais do que hora de se movimentar e providenciar os ajustes. Certamente haverão ganhos reputacionais e, ainda que reflexamente, vantagem competitiva. Bem-vinda, LGPD!

Marcelo Crespo

Marcelo Crespo

Marcelo Crespo é advogado especializado em Direito Digital, sócio do PG Advogados. É doutor e mestre em Direito pela USP, pós-graduado em Segurança da Informação pela Universidade de Salamanca, na Espanha, certificado em Proteção de Dados pela EXIN Privacy and Data Protection Foundation e também detém o título Certified Compliance and Ethics Professional Internacional pela Society of Corporate Compliance and Ethics. É professor universitário e coordenador do curso de pós-graduação em Direito Digital do Ibmec. Dê sua opinião sobre este artigo ou faça sugestões para nossos colunistas, envie seu e-mail. Direito Digital

Marcelo Crespo  colunistas@partnersales.com.br