Para definir os procedimentos para a elaboração de um Plano de Atendimento aos Titulares de Dados, é necessário estruturar um fluxo que garanta o cumprimento dos direitos previstos no artigo 18 da Lei Geral de Proteção de Dados (LGPD), assegurando o livre acesso e a transparência.
Com base nos materiais fornecidos, o procedimento deve seguir as seguintes etapas:
1. Preparação e Mapeamento
Antes de desenhar o fluxo de atendimento, a organização precisa ter controle sobre os dados que processa.
Mapeamento de Dados (ROPA): É essencial consultar o Registro das Operações de Tratamento para saber onde os dados estão armazenados, qual a finalidade do tratamento e com quem são compartilhados. Sem isso, é impossível atender a um pedido de acesso ou eliminação com precisão.
Definição do Encarregado (DPO): O Encarregado pelo Tratamento de Dados Pessoais atua como o canal de comunicação entre o controlador, os titulares e a ANPD. É responsabilidade do DPO (ou do time de privacidade) aceitar as reclamações e comunicações dos titulares e adotar as providências necessárias.
2. Criação dos Canais de Atendimento
O titular deve ter facilidade para exercer seus direitos.
Facilidade e Gratuidade: O canal deve ser de fácil acesso e gratuito para o titular.
Formatos: Pode ser disponibilizado via e-mail específico (ex: privacidade@empresa.com.br), formulários eletrônicos no site (Web Forms), portais de privacidade ou até mesmo impresso, desde que assegure os direitos previstos.
Interface Amigável (UI/UX): Em plataformas digitais, recomenda-se o uso de interfaces claras e processos automatizados que permitam fácil acesso à correção, exclusão e gestão dos dados. Para crianças e adolescentes, a linguagem deve ser simples, clara e acessível, adequada ao seu entendimento.
3. Procedimento de Recebimento e Verificação
Ao receber uma solicitação, a organização não deve atendê-la cegamente; é preciso segurança.
Validação da Identidade: Antes de fornecer qualquer informação ou realizar alterações, é necessário confirmar a titularidade do solicitante para evitar incidentes de segurança (como engenharia social ou acesso indevido).
Triagem da Solicitação: Identificar qual direito está sendo exercido (acesso, correção, eliminação, portabilidade, revogação de consentimento, etc.).
4. Resposta e Prazos
O plano deve prever prazos rigorosos para o atendimento, conforme a legislação e regulações da ANPD:
Formato Simplificado: A confirmação de existência de tratamento ou o acesso simples aos dados deve ser providenciado imediatamente.
Declaração Clara e Completa: Quando a resposta for mais complexa, indicando origem dos dados, critérios e finalidade, o prazo é de até 15 dias contados da data do requerimento.
Agentes de Pequeno Porte: Para microempresas, empresas de pequeno porte e startups (que se enquadrem na Resolução CD/ANPD nº 2), o prazo para atendimento é contado em dobro (30 dias).
5. Execução da Solicitação (O que fazer com o dado)
Dependendo do pedido, o plano deve ditar ações específicas nos sistemas internos:
Eliminação: Se o titular pedir a exclusão (e não houver obrigação legal de retenção), os dados devem ser apagados de todos os bancos de dados ativos. Caso haja obrigação legal de guarda (ex: dados trabalhistas ou fiscais), o controlador deve negar a exclusão justificando o motivo e o prazo de retenção.
Compartilhamento: Se os dados foram compartilhados com terceiros (operadores ou parceiros), o controlador deve informar a esses agentes sobre a correção, eliminação, anonimização ou bloqueio, para que eles repitam o procedimento.
Portabilidade: Mediante requisição expressa, os dados devem ser fornecidos em formato estruturado para outro fornecedor, respeitados os segredos comerciais.
6. Documentação e Transparência
Registro: Todas as solicitações e as respectivas respostas devem ser registradas para fins de comprovação de accountability (prestação de contas).
Transparência: Se houver impossibilidade de atendimento imediato, o controlador deve enviar resposta indicando as razões de fato ou de direito que impedem a ação.
Resumo dos Direitos a serem atendidos no Plano
O plano deve cobrir scripts e fluxos para atender aos seguintes direitos (Art. 18 LGPD):
1. Confirmação da existência de tratamento.
2. Acesso aos dados.
3. Correção de dados incompletos, inexatos ou desatualizados.
4. Anonimização, bloqueio ou eliminação de dados desnecessários/excessivos.
5. Portabilidade dos dados.
6. Eliminação dos dados tratados com consentimento (salvo exceções legais).
7. Informação sobre compartilhamento com entidades públicas e privadas.
8. Informação sobre a possibilidade de não fornecer consentimento e consequências da negativa.
9. Revogação do consentimento.
10. Revisão de decisões automatizadas.
