A Lei Geral de Proteção de Dados Pessoais ou LGPD, (lei 13.709/18), que regulamenta a forma pela qual as organizações passarão a utilizar, no Brasil, dados pessoais enquanto informação relacionada à pessoa natural identificada ou identificável, entrará em vigor em 24 meses, a contar da publicação da LGPD. A Lei nº 13.709 é de 14 de agosto de 2018. Isto significa que falta 1 ano e dois meses para que a lei passe a ser aplicada.

O prazo é exíguo, principalmente se levarmos em consideração o estado de desorganização das instituições quanto a criação das estruturas físicas e lógicas para o manuseio e guarda de tais dados.

A começar pela situação de desorganização dos processos de captura e guarda de dados e informações, que na maioria das vezes não são formalmente documentados, e que, por isso mesmo, colocam em risco a aplicabilidade da LGPD, as instituições de ensino correm, ou deveriam correr, para criar, melhorar, ajustar e implantar as condições para cumprirem a LGPD. Entretanto, pelo que sei, não é isto que está acontecendo. Creio que a maioria aposta numa prorrogação da data de entrada em vigor da LGPD.

Se levarmos em consideração que as instituições de ensino são, hoje, organizações multitentaculares, com unidades espalhadas em diversas cidades e estados, a dificuldade em implantar processos eficientes que deem unicidade, confiabilidade e segurança às operações administrativas e acadêmicas torna-se quase impossível, a julgar pela disposição das suas mantenedoras.

Não pensem que estou escrevendo tudo aqui apenas por imaginar que assim esteja sendo tratada a implantação da LGPD, mas por experiência própria em projetos de mapeamento, análise, modelagem e implantação dos processos de negócio acadêmicos e administrativos em diversas instituições de ensino.

Os pontos principais da legislação no que tange o mercado de dados:

O primeiro ponto é a obtenção do consentimento do usuário no momento da coleta dos dados para todas as aplicações que forem ser dadas ao dado. Se você for usar o dado para modelagem, para marketing, para vendas, ou para qualquer outra aplicação, tem que avisar isso para a pessoa na hora em que ela estiver te passando a informação, e ela tem que dar o ok explícito.

O segundo ponto importante é o direito de conhecimento e de opt-out. Uma pessoa pode pedir a qualquer empresa informações sobre todos os dados dela que estão armazenados, e pedir para ser removida de qualquer base de dados.

Finalmente, a lei impõe restrições na venda e/ou repasse de informações coletadas dos usuários, e exige que sejam adotadas uma série de boas práticas de segurança para proteger os dados contra vazamentos e avisar as pessoas afetadas caso um vazamento venha a ocorrer.

Apesar dessas restrições, a lei também especifica algumas situações aonde esses limites e requisitos não se aplicam. As mais relevantes são aplicações de segurança pública e de proteção ao crédito do consumidor. A lei prevê e exige que existam encarregados da proteção dos dados pessoais nas organizações. O controlador e o operador devem pensar em regras e meios técnicos para proteger os dados pessoais e comprovar sua efetividade nas empresas, seja por aplicação de recursos de anonimização, controle de acesso, procedimentos, políticas de gestão e treinamentos para equipes.

LGPD, em resumo, o passo a passo consiste:

a) na revisão e atualização da política de privacidade para estar em conformidade com as novas regulamentações de proteção de dados pessoais;

b) na atualização das cláusulas de contratos (seja com titular de dados pessoais consumidor final ou funcionário);

c) na atualização das cláusulas de contratos com os parceiros e fornecedores que realizam algum tipo de tratamento de dados, principalmente fornecedores de soluções de gestão de informação, nuvem, monitoração, mensageria, e-mail marketing, credit score, big data, mídias sociais (coleta, produção, recepção, classificação, acesso, utilização, transmissão, armazenagem, processamento, eliminação, enriquecimento);

d) no modelo de resposta para o Notice Letter do Órgão de Controle de Dados (sobre nível de conformidade da empresa e controles auditáveis) para prevenção a aplicação de multas e fiscalizações;

e) no modelo de check-list de compliance para uso da área de compras para novos fornecedores e parceiros, que precisarão estar em conformidade com as novas regulamentações de proteção de dados pessoais;

f) no modelo para gestão e guarda de trilha de auditoria para gestão dos logs de consentimento.

LGPD, Lista de documentos que precisam ser atualizados:

Mapa de fluxo de dados pessoais, processos.Tabela de temporalidade de guarda de logs de consentimento.Política de gestão de dados pessoais.Política para tratamento de dados pessoais para terceirizados.Termo de uso e Política de privacidade.Contratos com cláusulas que preveem a LGPD.

LGPD, Lista de documentos que precisam ser atualizados:

Check-lst Compliance, atualizar com cláusulas que preveem LGPD.Código de Conduta, atualizar com cláusulas que preveem respeito à proteção de dados pessoais.Política de Segurança da Informação, atualizar com cláusulas que preveem LGPD.

Conclusão

Não será fácil fazer a LGPD valer do Oiapoque ao Chuí. Só para que se tenha uma pálida ideia das dificuldades que as organizações vão enfrentar, a maioria não tem Código de Conduta e Politicas Corporativas escritas e formalmente implantadas e este documento é, no meu entender, basilar.

Esperemos que, de alguma forma, os avisos dos especialistas despertem as instituições para tais dificuldades a tempo de se prepararem para a implantação da LGPD.