Com a publicação da regulamentação de dosimetria, a ANPD está apta a aplicar as sanções previstas na LGPD.
Mas, afinal, para mitigar os riscos de sanções e demonstrar conformidade com a LGPD, quais são as três medidas urgentes e prioritárias que devem ser tomadas pelas empresas?
Entendemos que, para que seja possível estabelecer qualquer medida de mitigação de riscos, o primeiro passo é o entendimento, por parte da organização, de seu nível de exposição e maturidade e isso somente é possível a partir da realização do mapeamento e elaboração de um Record of Processing Activities (RoPA), traduzido do inglês como Registro das Atividades de Tratamento, de todas as atividades que tratam dados pessoais pela organização. Assim, mapeados quais dados são tratados, por quais agentes de tratamento e de que maneira, é possível entender os riscos e estabelecer um plano de mitigação a fim de que o tratamento seja realizado de forma segura, adequada e apta a garantir a privacidade dos titulares de dados.
Com um mapeamento e um RoPA consistentes, o segundo passo é a empresa estar preparada para atender eventuais solicitações de Titulares de Dados Pessoais que, de acordo com a LGPD, têm o direito de requerer a confirmação de existência de tratamento, acesso, correção, entre outros previstos. Segundo a própria ANPD, a maior parte das reclamações está relacionada a solicitações de direitos de Titulares de dados não atendidas. Vale lembrar que o Titular deve, sempre, se dirigir primeiramente à empresa responsável pelo tratamento dos seus dados para exercer seus direitos e, caso não seja devidamente atendido, formalizar uma reclamação perante a ANPD.
Para isso, é fundamental que as empresas possuam Políticas de Privacidade sempre atualizadas e disponíveis com uma linguagem de fácil entendimento e contendo o contato do Encarregado de Dados, de preferência em seu site e/ou outro canal oficial de comunicação. Ainda, é necessário que possuam processos internos de atendimento, verificação e resposta pré-estabelecidos e formalizados.
Como terceira medida essencial, recomenda-se a elaboração de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) que, deverá conter a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco, devendo ser elaborado quando o tratamento tiver por base legal o Legítimo Interesse, envolver dados pessoais sensíveis, se enquadrar nos casos de exceção à inaplicabilidade da lei previstos no artigo 4º da LGPD ou for realizado por agentes do Poder Público, permitindo que o agente de tratamento possa avaliar com maior precisão os possíveis riscos associados à proteção dos dados de cada atividade de tratamento que realizar.
O caminho da adequação é longo, mas, como todo percurso, precisa apenas de um primeiro passo para que seja possível e nós, da MKR, estamos aqui para te ajudar nessa jornada!
