A Política de Privacidade Não é a Primeira Providência no Processo de Adequação à LGPD
Ao contrário do que muitos pensam, num processo de conformidade à Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018), a elaboração ou reformulação da política de privacidade não é das primeiras providências. Trata-se de um equívoco básico, que colide com o próprio escopo deste documento.
A política de privacidade deve conter as informações relevantes acerca da atividade de tratamento de dados pessoais que a organização realiza. Não é uma carta de intenções, mas sim um documento que publiciza para o titular o modo como os seus dados são tratados – não o que a organização pretende fazer, mas o que ela já faz.
Em sendo assim, não é factível elaborar uma política de privacidade antes da efetiva adequação dos processos de tratamento de dados pessoais, uma vez que o documento deve refletir a realidade de fato implementada pela organização.
As informações a serem publicizadas na política de privacidade decorrem da definição das medidas a serem implementadas para a conformidade jurídica da organização.
O processo de adequação é um procedimento complexo, comporta várias fases, que na prática podem ser individualizadas ou, em função do porte da organização e do volume de dados, podem se sobrepor e as funções pertinentes a fases distintas serem executadas simultaneamente. Mas o processo lógico-racional é o mesmo, são passos determinantes do caminho que conduz ao estado de conformidade.
Um processo sério de adequação tem início com treinamentos de conscientização de toda a equipe interna, para que haja a adesão psicológica e comportamental dos colaboradores, já que haverá interferência direta na sua rotina. Além disso, cada colaborador precisa estar imbuído da compreensão adequada do que representa a proteção de dados pessoais dentro e fora da organização, para estar atento e se tornar um aliado no processo de manutenção do compliance.
Vale lembrar que uma das causas mais frequentes de incidente de segurança de dados é o erro humano, que pode ser minimizado através da instituição de processos adequados e da conscientização dos colaboradores.
Ao treinamento inicial de conscientização segue-se a fase do data maping, em que se identifica cada dado que entra na organização e mapeia o seu fluxo durante todo o seu ciclo de vida, o que vai permitir dar respostas a questões que definirão a direção do processo, como a origem do dado, finalidade, tempo de permanência, se há política de descarte e outras.
A análise do mapeamento conduzirá à fase do gap analysis, para identificação dos pontos de desconformidade e eventual exposição dos dados. A qualidade do diagnóstico estará diretamente vinculada à qualidade do mapa gerado na fase anterior e permitirá o delineamento de propostas mais assertivas de soluções de conformidade, que sejam viáveis e compatíveis com o modelo de negócio da organização.
Neste ponto se tem a definição do projeto de adequação a ser implementado. Ele estabelece os modos pelos quais a organização realizará a atividade de tratamento de dados pessoais, que é o conteúdo da política de privacidade.
A política de privacidade então vai refletir o estado de conformidade real da organização, num formato que seja atrativo, com linguagem simples e de fácil compreensão, considerando que ela é uma das principais ferramentas de expressão material do princípio da transparência e este, por sua vez, é centrado no usuário titular dos dados.
O raciocínio reverso conduz à conclusão de que, uma vez que a política de privacidade confere transparência ao titular acerca do modo como a organização realiza o tratamento dos seus dados, se ela é elaborada no início do processo, ela não reflete a realidade da organização, que estará induzindo o titular dos dados a erro, com informações enganosas, que configuram abuso da confiança do usuário e violação do princípio da boa fé – a política de privacidade, nestas condições, será fraudulenta.