Nos capítulos anteriores da série “LGPD na Prática” foi possível fazer um overview de quais empresas são impactadas pela nova regulamentação, como implementar e manter uma estrutura de governança de dados, qual a melhor maneira de implementar um processo de inventário de dados pessoais e mecanismos de transferência, como adotar uma política de privacidade, entender como a nova lei afeta as rotinas da organização, qual a forma mais eficaz de implantar um cronograma de treinamento e comunicação, como mapear e gerenciar riscos de segurança da informação e de terceiros e a aplicação prática dos avisos legais (“disclaimers“).
Nesta etapa, pretendo esclarecer como estabelecer procedimentos internos para responder tempestivamente às solicitações e reclamações de usuários, considerando alguns pontos fundamentais, quais sejam:
1. Desenhar um workflow para resolver eventuais reclamações de usuários ou pedidos de informação. Toda organização deve manter procedimentos-padrão para: (i) reconhecer reclamações relacionadas a questões de proteção de dados; (ii) lidar com demandas simples e relatar a resolução ao DPO (Data Protection Officer); e (iii) encaminhar imediatamente as demandas mais sensíveis para o responsável pela proteção de dados. Recomenda-se que seja mantido um canal direto entre titular dos dados e o DPO por meio do website da organização, seja através de formulário ou informando um e-mail de contato. No caso de demandas complexas, que eventualmente requeiram atualizações ou revisões dos sistemas de informação ou mesmo repactuação de contratos firmados com terceiros sugere-se seja envolvida a alta direção ou um comitê multidisciplinar. É necessário, ainda, estabelecer e cumprir prazos para responder aos titulares de dados e mantê-los inteirados dos procedimentos para apuração ou solução das suas reclamações ou pedidos de informação, de modo a resolver as demandas a fim de se evitar que o usuário procure as autoridades competentes.
2. Manter procedimentos específicos para responder a pedidos de acesso, atualização ou correção de dados pessoais, respeitando os requisitos legais e observando os conteúdos e prazos de resposta. A resposta à solicitação de acesso, atualização ou correção de dados pressupõe dois estágios: (i) primeiro verifica-se se os dados que o titular busca estão realmente sendo processados; (ii) em seguida, conforme disposto em lei, deve-se facilitar a consulta, informando de maneira clara a origem destes dados, a finalidade específica do seu tratamento , as categorias, os destinatários, a duração prevista do armazenamento e a identificação do controlador, com as devidas informações de contato, fornecendo os dados por meio eletrônico ou sob forma impressa no prazo máximo de 15 (quinze) dias. Em casos fundamentados, este prazo poderá excepcionalmente ser excedido, desde que com aprovação da autoridade nacional. O grande desafio, neste particular, é entender que qualquer colaborador da organização pode receber uma solicitação válida de um titular de dados, seja aquele que tem contato direto com um cliente ou prospect ou aquele que monitora as redes sociais. Por essa razão, e considerando o prazo exíguo para resposta ao titular, todos da organização devem ter bem entendido o processo para notificar o DPO ou área responsável por responder às solicitações de acesso. Recomenda-se, neste particular, a adoção de um procedimento específico e o treinamento desses colaboradores que podem vir a receber a pedidos de acesso, atualização ou correção de dados pessoais. A aplicação de um formulário padrão para que o usuário titular solicite o acesso, atualização ou correção de dados pessoais facilitará substancialmente o processo interno e agilizará a resposta. As melhores práticas recomendam que, sempre que possível, as organizações forneçam acesso remoto a um sistema de auto-atendimento seguro que proporcione ao indivíduo acesso direto às suas informações. No caso de pedidos de acesso feitos por terceiros, a organização deve estar segura de que este tem o direito de agir em nome do titular dos dados, portanto deve solicitar a apresentação de uma autorização por escrito ou procuração e em não sendo atendido este pedido sugere-se sejam divulgadas as informações diretamente ao titular. Quando os dados solicitados estiverem sendo processados por um terceiro (operador) é importante garantir que o acordo de nível de serviços preveja o cumprimento dos prazos no caso de solicitações de acesso.
4. Conservar um “FAQ” (respostas à perguntas frequentes) de fácil acesso pelos usuários é altamente recomendável, seja para suportar a política de privacidade e os avisos legais ou mesmo o treinamento dos colaboradores.
5. Avaliar as principais causas de reclamações relacionadas à privacidade de dados, monitorar e relatar métricas. Recomenda-se fortemente que o DPO mantenha um processo para investigar as principais causas que geram reclamações de usuários e emitir recomendações para melhoria das práticas a fim de evitar queixas adicionais, gerando relatórios gerenciais para as áreas respectivas, de modo a permitir que seja medida a eficiência na resolução dos problemas e os respectivos custos e identificando processos sensíveis, os quais acabam por expor a organização a riscos relacionados com a proteção de dados.
No próximo capítulo, irei discorrer sobre como monitorar novas práticas operacionais implementando princípios de Privacidade por Design (Privacy by Design).
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
Comentários