Uma proposta de roteiro para a adequação à Lei Geral de Proteção de Dados - LGPD

Abstract

Resumo: A utilização em larga escala de dados pessoais na sociedade moderna pode ocasionar prejuízos para os titulares dos dados. Nesse sentido, leis de proteção de dados surgiram para regulamentar o tratamento de dados pessoais, sendo a Lei Geral de Proteção de Dados Pessoais - LGPD a normativa de referência para o assunto no contexto brasileiro. Adicionalmente, a proteção dos dados pessoais foi elevada ao status de direito fundamental do cidadão por meio da Emenda Constitucional nº 115, ampliando ainda mais a abrangência da LGPD. Entretanto, a adequação à LGPD é tarefa complexa e apresenta vários desafios, seja na observância dos ditames legais, seja na implementação de medidas de segurança, técnicas e administrativas, para manter os dados pessoais seguros. Nesse contexto a pesquisa apresenta uma proposta de roteiro para adequação à LGPD que observe a conformidade sob três aspectos: legal, administrativo e técnico. Quanto à conformidade legal, o roteiro assenta-se em duas etapas. A primeira está relacionada à observância de comandos expressos na Lei, que independem da atividade de tratamento, pois são adotados em qualquer caso de tratamento de dados. Já a segunda etapa analisa a atividade de tratamento e seus requisitos sob a tríade: tipo de dados, ciclo de vida do dado e base legal para tratamento dos dados. No que concerne às conformidades técnicas e administrativas, o roteiro elenca uma série de medidas de segurança oriundas de boas práticas e que podem ser implementadas respeitando as necessidades e particularidades de cada organização. Essa abordagem visa atender aos requisitos da LGPD de maneira eficaz, considerando a complexidade, ramo de atuação, volume e natureza dos dados tratados pelas organizações. Deste modo, evita-se, por um lado, a imposição de medidas excessivas que possam desencorajar as organizações à adequação e, por outro, a adoção de medidas inadequadas que não garantam a proteção necessária aos dados pessoais.

Abstract: The large-scale use of personal data in modern society can cause harm to data subjects. In this sense, data protection laws emerged to regulate the processing of personal data, with the General Personal Data Protection Law - LGPD being the reference regulation for the subject in the Brazilian context. Additionally, the protection of personal data was elevated to the status of a citizen's fundamental right through Constitutional Amendment nº. 115, further expanding the scope of the LGPD. However, adapting to the LGPD is a complex task and presents several challenges, whether in compliance with legal requirements or in the implementation of security, technical and administrative measures, to keep personal data safe. In this context, this research presents a proposal for a roadmap for adapting to the LGPD that observes compliance from three aspects: legal, administrative and technical. Regarding legal compliance, the roadmap is based on two stages. The first one is related to compliance with commands expressed in the Law, which are independent of the processing activity, as they are adopted in any case of data processing. The second stage analyzes the processing activity and its requirements under the triad: type of data, data life cycle and legal basis for data processing. Regarding technical and administrative compliance, the roadmap lists a series of security measures arising from good practices and which can be implemented respecting the needs and particularities of each organization. This approach aims to meet LGPD requirements effectively, considering the complexity, field of activity, scale and nature of data processed by organizations. In this way it is avoided the imposition of excessive measures that could discourage organizations from adapting and, on the other hand, the adoption of inadequate measures that do not guarantee the necessary protection for personal data.