Como realizar um Assessment de LGPD na sua empresa: um guia prático

A conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) é indispensável para empresas que lidam com dados pessoais e sensíveis. Nesses casos, é crucial a realização de um assessment estruturado para adequação à LGPD, a fim de mitigar possíveis riscos e sanções. Neste artigo, compartilho um passo a passo prático, com referências à legislação e alertas sobre penalidades.

1. Mapeie as atividades que tratam dados pessoais

O primeiro passo é identificar todas as atividades que envolvem dados pessoais e sensíveis, conforme definidos nos Artigos 5º, I e II da LGPD. Pergunte:

• Quais dados são coletados? Dados sensíveis (como material genético e histórico médico) exigem cuidados especiais.
• Para que fim são utilizados? Verifique a finalidade e a necessidade de cada dado, conforme o princípio da finalidade (Art. 6º, I).
• Os dados são compartilhados com terceiros? Avalie o fluxo de dados, especialmente transferências internacionais, regidas pelo Artigo 33.

🔍 Dica prática: Documente o ciclo de vida dos dados desde a coleta até o descarte.

2. Identifique as bases legais do tratamento

Para cada atividade, determine as bases legais aplicáveis, como descritas nos Artigos 7º e 11. Exemplos:

• Consentimento (Art. 7º, I e Art. 11, I): Necessário para o tratamento de dados sensíveis e transferências internacionais.
• Execução de contrato (Art. 7º, V): Utilizado em cadastros de pacientes.
• Proteção à saúde (Art. 11, II, "f"): Fundamental para diagnósticos e atendimentos médicos.

🔐 Exemplo: Uma clínica oftalmológica usa o consentimento para pesquisas e a execução de contrato para consultas.

3. Avalie riscos e vulnerabilidades

Identifique riscos de segurança e privacidade, como:

• Acesso não autorizado: O princípio da segurança (Art. 6º, VII) exige medidas técnicas e administrativas adequadas.
• Falhas em sistemas: Dados disponíveis online sem autenticação robusta podem ser alvo de acessos indevidos, infringindo o Artigo 46.
• Transferência internacional de dados: É necessário garantir que o parceiro no exterior atenda a padrões compatíveis com a LGPD (Artigos 33 e 34).

⚠️ Cenário crítico: Falhas no site que permitem acesso não autorizado a laudos médicos podem resultar em sanções severas.

4. Planeje medidas de mitigação

Implemente controles para mitigar riscos identificados, conforme o Artigo 46:

• Controle de acesso: Restringir o acesso a dados aos colaboradores autorizados.
• Treinamento contínuo: Garantir que todos compreendam os princípios da LGPD.
• Segurança da informação: Criptografia de dados sensíveis e autenticação em dois fatores para sistemas online.
• Cláusulas contratuais rigorosas: Inclua exigências de proteção de dados nos contratos com terceiros.

🔧 Exemplo prático: Implementar backups regulares e monitoramento contínuo de vulnerabilidades cibernéticas.

5. Elabore um Relatório de Impacto à Proteção de Dados (RIPD)

Empresas que tratam dados sensíveis ou realizam transferências internacionais estão sujeitas à obrigatoriedade de um RIPD, conforme o Artigo 38. Este documento deve incluir:

• Descrição detalhada das operações de tratamento.
• Análise de riscos e possíveis impactos.
• Medidas adotadas para mitigação.

📜 Nota: Um RIPD (Relatório de Impacto à Proteção de Dados Pessoais) é crucial para demonstrar conformidade em auditorias e investigações.

6. Defina papéis e responsabilidades

Identifique quem são os controladores e os operadores, conforme o Artigo 5º, VI e VII. Certifique-se de que todos entendam suas responsabilidades.

👥 Exemplo: Um parceiro internacional pode atuar como operador ou controlador, dependendo da autonomia no tratamento dos dados.

7. Conheça as penalidades

O descumprimento da LGPD pode resultar em sanções administrativas, descritas no Artigo 52, como:

• Advertência: Com prazo para adoção de medidas corretivas.
• Multa simples ou diária: Limitada a 2% do faturamento da empresa no Brasil, até R$ 50 milhões por infração.
• Publicização da infração: Para alertar os titulares dos dados.
• Bloqueio ou eliminação de dados: Quando o tratamento não atender aos regulamentos.

⚠️ Alerta: Vazamentos de dados ou ausência de medidas de segurança adequadas são passíveis de multas severas.

8. Monitore continuamente

A conformidade com a LGPD é um processo contínuo. Realize auditorias regulares, atualize políticas de segurança e acompanhe mudanças legislativas.

🔄 Melhor prática: Estabeleça um comitê interno ou designe um Encarregado de Dados (DPO), conforme o Artigo 41.

Conclusão

Realizar um assessment de LGPD não é apenas cumprir a legislação, mas também uma forma de fortalecer a confiança dos clientes e a governança corporativa. Empresas que adotam boas práticas demonstram respeito à privacidade e mitigam os riscos de penalidades severas.

📌 Dica final: Compartilhe nos comentários como sua empresa tem lidado com a LGPD. Quais desafios enfrentou e como os superou?