Plano de Ação Detalhado para Adequação à LGPD
Introdução
Este Plano de Ação detalha as etapas, responsabilidades e prazos sugeridos para a adequação do Tabelionato de Notas e Protesto de Títulos de Balneário Piçarras/SC à Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018), em conformidade com as normativas do Conselho Nacional de Justiça (CNJ), especialmente o Código Nacional de Normas (Provimento nº 149/2023), e as melhores práticas do setor. O objetivo é fornecer um roteiro estruturado para que o Tabelião Regis Cassiano Menezes possa conduzir o processo de conformidade de forma eficaz e contínua.
A adequação à LGPD não é um projeto com fim determinado, mas um processo contínuo de gestão da privacidade e proteção de dados, que exige comprometimento da liderança e engajamento de toda a equipe do Tabelionato.
Fases do Plano de Ação
O plano está estruturado em fases lógicas, com ações específicas, responsáveis definidos e prazos estimados. Os prazos são sugestões e devem ser adaptados à realidade e ao porte do Tabelionato.
Fase 1: Diagnóstico e Planejamento (Prazo Sugerido: 0-3 meses)
Esta fase inicial foca em entender o cenário atual do Tabelionato em relação à LGPD e planejar as ações necessárias.
1. Comprometimento da Alta Direção
Ação: O Tabelião Regis Cassiano Menezes deve declarar formalmente o compromisso com a adequação à LGPD e alocar os recursos necessários (tempo, pessoal, orçamento).
Responsável: Tabelião Regis Cassiano Menezes.
Prazo: Imediato.
2. Nomeação do Encarregado (DPO)
Ação: Designar formalmente Eduardo José Reis como Encarregado pelo Tratamento de Dados Pessoais (DPO). Definir suas atribuições e garantir sua autonomia e acesso aos recursos necessários.
Responsável: Tabelião Regis Cassiano Menezes.
Prazo: Mês 1.
3. Divulgação dos Dados do DPO
Ação: Publicar os dados de contato do Encarregado Eduardo José Reis (nome e e-mail/telefone) em local visível no atendimento físico e no site do Tabelionato (se existente).
Responsável: Encarregado Eduardo José Reis / Tabelião Regis Cassiano Menezes.
Prazo: Mês 1.
4. Mapeamento Detalhado de Dados (Data Mapping)
Ação: Conduzir/Validar o mapeamento completo das atividades de tratamento de dados pessoais, identificando: tipos de dados, finalidades, bases legais, sistemas envolvidos, fluxos de compartilhamento (interno e externo), medidas de segurança existentes e prazos de retenção.
Responsável: Encarregado Eduardo José Reis, com apoio das áreas (Atendimento, etc.).
Prazo: Mês 1-2.
5. Análise de Lacunas (Gap Analysis) e Avaliação de Riscos
Ação: Comparar as práticas atuais (identificadas no mapeamento) com os requisitos da LGPD e normativas aplicáveis. Identificar as lacunas de conformidade e avaliar os riscos associados a cada atividade de tratamento.
Responsável: Encarregado Eduardo José Reis.
Prazo: Mês 2.
6. Definição de Prioridades e Cronograma Detalhado
Ação: Com base na análise de lacunas e riscos, priorizar as ações de adequação e detalhar o cronograma deste Plano de Ação, ajustando prazos e definindo responsáveis específicos para cada tarefa subsequente.
Responsável: Encarregado Eduardo José Reis / Tabelião Regis Cassiano Menezes.
Prazo: Mês 3.
Fase 2: Implementação das Medidas de Adequação (Prazo Sugerido: 3-9 meses)
Nesta fase, as medidas técnicas e organizacionais identificadas como necessárias são implementadas.
1. Desenvolvimento e Revisão de Políticas e Procedimentos
Ação: Elaborar ou revisar as políticas internas: Política de Privacidade e Proteção de Dados, Política de Segurança da Informação, Política de Retenção e Descarte, Normas de Conduta. Criar procedimentos operacionais: Atendimento aos Direitos dos Titulares, Gestão de Incidentes, Privacy by Design/Default.
Responsável: Encarregado Eduardo José Reis, com apoio do Assessor Jurídico Fabrício Gallon.
Prazo: Mês 3-5.
2. Criação e Divulgação do Aviso de Privacidade
Ação: Redigir o Aviso de Privacidade para titulares (clientes/usuários) e disponibilizá-lo no balcão e no site (se houver).
Responsável: Encarregado Eduardo José Reis.
Prazo: Mês 4.
3. Implementação/Ajuste de Medidas Técnicas de Segurança
Ação: Implementar ou aprimorar controles de acesso, segurança de redes, criptografia, gestão de vulnerabilidades, rotinas de backup e segurança física, conforme a avaliação de riscos e as normas do CNJ (ex: Prov. 74/2018).
Responsável: Responsável de TI Eduardo José Reis / Fornecedor de Software / Tabelião Regis Cassiano Menezes.
Prazo: Mês 4-8 (contínuo).
4. Revisão e Adequação de Contratos com Terceiros (Operadores)
Ação: Identificar todos os fornecedores que atuam como operadores de dados. Revisar os contratos existentes e incluir aditivos (DPAs) com cláusulas específicas de proteção de dados. Estabelecer processo de due diligence para novas contratações.
Responsável: Encarregado Eduardo José Reis / Assessor Jurídico Fabrício Gallon / Tabelião Regis Cassiano Menezes.
Prazo: Mês 5-7.
5. Treinamento Inicial da Equipe
Ação: Realizar treinamento abrangente para todos os prepostos sobre a LGPD, as novas políticas e procedimentos internos, e suas responsabilidades individuais.
Responsável: Encarregado Eduardo José Reis.
Prazo: Mês 6.
6. Implementação do Canal de Atendimento aos Titulares
Ação: Estruturar e operacionalizar o canal de comunicação para recebimento e resposta às requisições dos titulares, conforme procedimento definido.
Responsável: Encarregado Eduardo José Reis / Equipe de Atendimento.
Prazo: Mês 6.
7. Realização de Relatórios de Impacto (RIPDs) Prioritários
Ação: Elaborar os RIPDs para as atividades de tratamento identificadas como de alto risco na Fase 1.
Responsável: Encarregado Eduardo José Reis.
Prazo: Mês 7-9.
Fase 3: Monitoramento, Manutenção e Melhoria Contínua (Prazo Sugerido: Contínuo, a partir do Mês 9)
A conformidade com a LGPD exige vigilância e adaptação constantes.
1. Monitoramento Contínuo de Segurança
Ação: Manter o monitoramento ativo de logs de acesso, tentativas de intrusão e outros eventos de segurança. Realizar varreduras de vulnerabilidade periódicas.
Responsável: Responsável de TI Eduardo José Reis / Fornecedor de Software.
Prazo: Contínuo.
2. Auditorias Periódicas de Conformidade
Ação: Realizar auditorias internas (ou contratar externas) para verificar a aderência às políticas e procedimentos e a eficácia das medidas implementadas.
Responsável: Encarregado Eduardo José Reis / Auditoria Interna/Externa.
Prazo: Anual (ou conforme necessidade).
3. Treinamentos de Reciclagem e Conscientização
Ação: Promover treinamentos de reciclagem anuais e campanhas de conscientização contínuas para manter a equipe atualizada e engajada.
Responsável: Encarregado Eduardo José Reis.
Prazo: Contínuo (anual e pontual).
4. Revisão e Atualização de Políticas e Procedimentos
Ação: Revisar anualmente (ou sempre que houver mudanças legais/operacionais) as políticas, procedimentos e o mapeamento de dados.
Responsável: Encarregado Eduardo José Reis.
Prazo: Contínuo (anual).
5. Gestão Contínua dos Direitos dos Titulares
Ação: Manter o canal de atendimento ativo e garantir que as solicitações sejam respondidas dentro dos prazos e conformidades legais.
Responsável: Encarregado Eduardo José Reis / Equipe de Atendimento.
Prazo: Contínuo.
6. Monitoramento de Normativas e Orientações
Ação: Acompanhar as publicações e orientações da ANPD, do CNJ e de outras autoridades relevantes para garantir a atualização contínua da conformidade.
Responsável: Encarregado Eduardo José Reis.
Prazo: Contínuo.
Recursos Necessários
A implementação deste plano exigirá:
- Recursos Humanos: Tempo dedicado do Tabelião Regis Cassiano Menezes, do Encarregado Eduardo José Reis, do Assessor Jurídico Fabrício Gallon e da equipe envolvida.
- Recursos Financeiros: Orçamento para eventuais ferramentas de segurança, softwares, serviços de consultoria, treinamentos e auditorias.
- Recursos Tecnológicos: Adequação ou aquisição de hardware e software para atender aos requisitos de segurança.
Monitoramento e Revisão do Plano
O Encarregado Eduardo José Reis será responsável por monitorar o progresso da implementação deste plano, reportando-se periodicamente ao Tabelião Regis Cassiano Menezes. Recomenda-se reuniões de acompanhamento trimestrais na fase de implementação e semestrais na fase de manutenção. O plano deve ser revisado anualmente ou sempre que necessário para refletir mudanças no ambiente regulatório, tecnológico ou operacional do Tabelionato.