LGPD em vigor: terceirizar a implementação ou realizar internamente?
Seja pelo impacto que causará no comércio e nos serviços, seja pelas reviravoltas quanto à data da sua entrada em vigor, a Lei Geral de Proteção de Dados (LGPD, Lei n.º 13.709/2018) colocou várias empresas em uma verdadeira corrida contra o tempo.
Em vigor desde 18 de setembro de 2020, a Lei tem exigido a reformulação dos procedimentos e até mesmo do organograma e quadro de funcionários das empresas, com muitas criando novas funções, como o Data Protection Officer (DPO), e departamentos específicos para o compliance de proteção de dados.
Se, por um lado, muitas empresas não se organizaram a tempo, por outro lado, vários escritórios especializados se prepararam para fornecer assessoria jurídica especializada.
Quem se adiantou na preparação, conseguiu visualizar a necessidade de montar uma equipe multidisciplinar para se encarregar da implementação de novas políticas e procedimentos, contando com profissionais das áreas:
- jurídica (interno ou terceirizado);
- de Tecnologia da Informação e/ou Segurança da Informação;
- de Recursos Humanos;
- de marketing (interno ou terceirizado);
- de atendimento e cadastros, etc.
É importante que a equipe seja composta de pessoas que conheçam os processos internos da empresa, mas também de profissionais outsiders (“do lado de fora”) que possam enxergar a realidade empresarial de um ponto de vista técnico e imparcial, a fim de verificar os pontos sensíveis que devem passar por alterações.
Mesmo na área jurídica, a implementação da LGPD requer uma abordagem ampla, que não se restrinja ao conhecimento e aplicação da Lei, mas que contemple também as disposições encontradas na Constituição Federal, no Código Civil, Código de Defesa do Consumidor, Marco Civil da Internet, e outras leis ou atos normativos que sejam relevantes para a área de atuação da empresa (ambiental, trabalhista, securitária, financeira, de Propriedade Intelectual etc).
Logo, mesmo que a empresa tenha seu departamento jurídico próprio, é comum que recorra a um escritório especializado para elaborar e executar um projeto de implementação da LGPD, que ofereça uma metodologia eficaz e saiba fazer o mapeamento dos dados corretamente, orientando os trabalhos, coordenando as fases de adequação e elaborando todos os documentos necessários, ou supervisionando a sua elaboração, como, por exemplo:
- o Política de Governança em Proteção de Dados Pessoais;
- o plano de resposta para incidentes de violação de dados pessoais;
- os Termos de Uso e Políticas de Privacidade para websites;
- os Disclaimers;
- padrões para o desenvolvimento de novos projetos (Privacy by Design);
- o Inventário de Dados;
- a Política de Segurança da Informação;
- modelos de cláusulas contratuais; entre outros.
Implementar programas de adequação à LGPD sem contar com os conhecimentos especializados, metodologia correta e documentos necessários, pode implicar em retrabalho e prejuízos para a empresa.
Deve-se ter em mente que, embora a Autoridade Nacional de Proteção de Dados (ANPD) ainda não esteja aplicando penalidades, as empresas já podem desde já sofrer outros tipos de sanção nas esferas cível e criminal, decorrentes do descumprimento das determinações da LGPD.
Assim, a recepção da LGPD pede seriedade e um olhar crítico multidisciplinar sobre todos os setores e formas de atuação da empresa que envolvam o tratamento de dados pessoais sensíveis. Essas competências nem sempre são encontradas dentro do quadro de funcionários das empresas, justificando-se, então, a busca por parceiros e assessoria especializada.
Este artigo tem caráter informativo e não vale como consultoria ou orientação jurídica.
