Algumas empresas ainda relutam em proceder com a adequação de suas atividades de tratamento de dados, acreditando ser desnecessário. Muitas afirmam que todo o seu processo interno está correto e de acordo com a Lei, mas “só não está documentado”.
Se não tem documentação, não está adequado!
O primeiro ponto a destacar é que dificilmente uma organização realiza tratamento correto de dados sem gestão e políticas internas específicas e devidamente padronizadas em documentos.
Além disso, um dos princípios da Lei é o da responsabilização e prestação de contas, que determina a necessidade de demonstração, pelo agente de tratamento, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
E como se demonstra isso? Com documentação.
A LGPD exige que controlador e operador mantenham registros das operações de tratamento de dados pessoais que realizarem, além de outros documentos importantes que formalizam a atuação interna em conformidade com a Lei, a exemplo do Relatório de Impacto à Proteção de Dados, termos de consentimento, cláusulas contratuais, dentre outros, a depender da atividade, da natureza e volume dos dados, e das demandas do negócio.
É por isso que a adequação é um processo interno muito detalhado e bem documentado, para que a organização tenha padronizada todas as condutas relacionadas à proteção de dados e, em caso de fiscalização, requerimento do titular ou solicitação de órgãos competentes, possa prestar contas, provar a sua boa-fé e a consonância com a Lei.
E atenção! Não existem documentos prontos, como “modelos” que servem para todas as empresas.
Cada negócio possui seu modo de funcionamento e necessidades próprias quanto ao tratamento de dados e relacionamento com os titulares, o que demanda a análise minuciosa das atividades para identificar os documentos que aquela empresa vai precisar e que devem ser elaborados de forma personalizada.
Não adianta adotar algumas boas práticas aleatórias em proteção de dados, sem que elas estejam formalizadas em documentos com conteúdo que de fato regulamente a atividade e que comprove a adequação à Lei.