A Lei Geral de Proteção de Dados, que passou a vigorar no Brasil em setembro de 2020 com objetivo de estabelecer regras e obrigações relativas à coleta, ao tratamento e ao compartilhamento de dados pessoais, fez com que as empresas do país iniciassem um importante e complexo processo de adequação. Para tanto, existem os frameworks de privacidade, ferramentas práticas que funcionam como guias para as companhias medirem, estruturarem e aprimorarem os níveis de suas composições atuais, lidando melhor com as necessidades relacionadas ao tema.
Um framework de referência internacional, que conta com a contribuição de diversos atores do mercado, é o do National Institute of Standards and Technology (NIST), agência governamental ligada ao Departamento de Comércio dos Estados Unidos, que incentiva a colaboração contínua da sociedade, mantendo um repositório de contribuições relevantes para a utilização do framework numa página da internet. Uma dessas possíveis contribuições é o "crosswalk", documento em que itens do framework base são relacionados com itens presentes em outros frameworks ou em legislações de privacidade e proteção de dados, como a que existe no Brasil.
Até então, não existia uma versão do framework do NIST que olhasse para a LGPD, o que prejudicava os advogados brasileiros, tanto de escritórios quanto corporativos, que enfrentavam uma árdua rotina de adequação à nova legislação em diversos tipos de empresas. Para solucionar este problema, dois especialistas em privacidade e Direito Digital decidiram criar o próprio framework, traduzido para a Lei Geral de Proteção e Dados e tendo como base o trabalho do NIST. Foi assim que nasceu o LGPD Crosswalk, de autoria dos advogados Paulo Vidigal e Luis Fernando Prado, sócios do escritório boutique Prado Vidigal Advogados, que é especializado nas mesmas áreas de atuação de seus fundadores.
Em resumo, o LGPD Crosswalk traz clareza e auxilia ao uso do framework do NIST por organizações que estejam sujeitas à legislação brasileira, já que mostra objetivamente quais recursos e processos descritos na ferramenta podem ser relevantes para o endereçamento das obrigações legais contidas na LGPD. A criação consistiu, primeiramente, em dividir a Lei Geral de Proteção de Dados nos seguintes eixos:
- Princípios;
- Tratamento de dados (inclui questões relacionadas às bases legais, dados sensíveis, crianças e adolescentes e término do tratamento);
- Direitos dos titulares;
- Transferência internacional;
- Obrigações dos controladores e operadores (incluindo obrigações gerais e nomeação de DPO);
- Segurança e melhores práticas.
Em seguida, os requisitos do framework de privacidade do NIST foram mapeados para traçar a correspondência entre eles e as obrigações legais da LGPD, permitindo aos autores notar que eles servem ao atendimento da lei. Sendo assim, a ferramenta funciona como ponto de partida aos trabalhos de conformidade com a legislação brasileira, mesmo sendo necessária uma customização para a realidade de cada organização. Você pode consultar o LGPD Crosswalk clicando aqui.
Veja também quais medidas os escritórios brasileiros de advocacia estão tomando para se adequarem à Lei Geral de Proteção de Dados.