A adequação de uma empresa à LGPD é um processo holístico que passa por todas as unidades de negócios: produção, vendas, marketing, tecnologia, recursos humanos, jurídico, compras etc.
O primeiro passo rumo à adequação é realizar um diagnóstico franco para entender a forma como os dados pessoais são tratados, bem como para identificar se há tratamento de dados pessoais que “podem gerar riscos às liberdades civis e aos direitos fundamentais” dos indivíduos cujos dados são coletados.
Após um diagnóstico inicial, uma série de passos precisam ser organizados em um projeto que envolverá, a depender do tamanho da empresa e da quantidade de processos de dados coletados, mais ou menos tempo. Algumas das principais atividades necessárias à implantação da conformidade com a LGPD envolvem:
- planejar;
- comunicar;
- nomear um encarregado pelo tratamento de dados pessoais;
- criar um inventário de processos de negócios;
- realizar mapeamento de dados pessoais;
- documentar a finalidade e as bases legais que legitimam o tratamento dos dados pessoais;
- revisar processos de negócios para garantir a minimização dos dados;
- criar processos para o atendimento dos pedidos dos titulares dos dados;
- implementar mecanismo de gerenciamento do consentimento;
- revisar política de privacidade e termos de uso;
- revisar contratos com fornecedores
- e outros, dependendo do setor de atuação, do tamanho, das relações institucionais, dos objetivos estratégicos…
O volume das atividades e o tempo dependerão de muitos fatores, mas o principal para ter sucesso na empreitada é formar uma equipe multidisciplinar e treinada para conduzir o processo de adequação.
Portanto, estimar o tempo mínimo ou máximo para implementar a LGPD e estimar seu impacto na empresa é um exercício complexo. O importante, no entanto, é lembrar que a adequação não é um marco a ser atingido mas sim um processo de melhoria contínua.
