Aspectos Práticos da LGPD: como iniciar o processo de adequação?
A Lei Geral de Proteção de Dados (LGPD) tem passado por mudanças com relação ao seu vigor. Tais alterações da lei é o reflexo da pandemia gerada pela Covid-19 nas empresas, que adotaram o regime de home office e não teriam força de trabalho suficiente para se adaptar na reta final.
No entanto, a prorrogação do prazo não é uma surpresa, pois uma pesquisa do Serasa Experian com mais de 500 empresas, realizada em 2019, já mostrava que 85% das organizações não estariam prontas para a regulamentação brasileira.
Outro indicador do Gartner mostrava que menos de 30% de todas as organizações sujeitas à LGPD estariam completamente em conformidade com a lei até agosto de 2020.
O prazo para adequação exige das empresas a preparação necessária para que sua implementação seja efetiva.
Gestores e organizações têm sido bombardeados com uma infinidade de informações e discussões entrecruzadas que, se não organizadas sistematicamente em um plano de ação multidisciplinar, serão de pouca serventia e poderão até retardar a adequação.
No entanto, a questão principal a ser analisada, nesse primeiro momento, é a estruturação básica de um projeto interno de adequação nas organizações.
Nele, é preciso constar com clareza a definição de objetivos, organização de processos e funções das pessoas envolvidas.
LGPD: Programa de Privacidade e Proteção de Dados e sua estrutura
Um Programa de Privacidade e Proteção de Dados começa com um mapeamento do estágio inicial para esse processo de adequação, ou seja, como essa empresa lida atualmente com o armazenamento, a segurança e o uso de seus dados.
Importante salientar que a Lei nº 13.709/2018 já tinha passado por uma mudança em 27 de dezembro de 2018, com a Medida Provisória 869.
O ponto para ter mais atenção nesse aspecto foi a criação da Autoridade Nacional de Proteção de Dados (ANPD). No entanto, esse prazo de adequação vem sendo discutido, em virtude do novo coronavírus.
Em suma, a ANPD é um órgão fiscalizador que se comunicará diretamente com os agentes de tratamento das empresas, assim como os titulares de dados pessoais.
Portanto, apesar das empresas e o poder público ganharem mais seis meses para se adaptar ao texto legal, eles terão a tarefa de preparar esse agente, responsável pelos relatórios que serão emitidos à fiscalização.
Tendo em vista que o princípio básico da LGPD é que todas as informações sejam veiculadas com base no controle de dados por direito, sejam eles analógicos ou digitais, essa organização e proteção precisam ser impecáveis.
A organização na prática
Dado pessoal, dentro da normativa, é um conceito que identifica uma pessoa natural ou jurídica, que abrange da coleta ao descarte de informações.
No dia a dia, estruturar a organização de dados exige um ordenamento de ações. Porém, antes de abordar esse ponto, cabem os seguintes questionamentos:
- Qual é a finalidade das informações guardadas em sua empresa, a frequência de uso e sua necessidade?
- Há fácil acesso a elas, incluindo a transparência no trato dessas informações?
- Nesse aspecto, é preciso organizar mais que uma política de privacidade interna, mas uma comunicação que seja inteligível, simples e acessível para todas as pessoas, pois essa é uma exigência da nova lei.
- Qual o grau de segurança e responsabilidade na gestão dessas informações?
Como a normativa exigirá não só o cumprimento da lei, mas também a exibição de relatórios que comprovem essa condição.
Então, a LGPD traz justamente a obrigação de se criar um sistema de deveres e responsabilidades, com gestão estratégica e diligência qualificada.
Depois de tais questionamentos, partimos para os instrumentos de gestão de risco e mecanismos de defesa que envolvem novos processos, tecnologia adequada e um time preparado e consciente.
Processos dinâmicos
Adequar sua empresa para maio de 2021 é algo possível.
Dessa forma, a organização deve se basear em processos, gestão integrada e ações efetivas, traçadas por prioridades.
Organize seu data map
Um mapa de dados com o levantamento das informações que a empresa lida é o start importante dessa missão.
Isso porque, vai ao encontro das perguntas acima citadas sobre o retrato atual de informações de seu negócio.
Levante os responsáveis
Com a Autoridade Nacional de Proteção de Dados, uma pessoa da empresa será o representante junto às obrigações e fará o meio de campo entre fiscais e time interno.
Sendo assim, verifique e treine um profissional de área com mais familiaridade nesse setor, como TI, Financeiro ou RH, por exemplo.
Análise de gap
Essa análise consiste em avaliação de risco e um plano de ação.
Ou seja, é necessário partir do que é mais simples para o que é mais complexo, feito em parceria com o agente interno.
O mapeamento na prática
A criação de um questionário para entender a necessidade de cada departamento é uma ação quantitativa, assim como as qualitativas, como a implementação de entrevistas nos setores, fluxogramas para processos específicos internos e soluções tecnológicas.
Nesse ponto, os softwares de organização, monitoramento e proteção são ferramentas essenciais.
Priorização de risco
Não dá para fazer tudo ao mesmo tempo. Logo, com os riscos identificados, é importante seguir uma matriz de prioridade que resolva ou mitigue eles. Tal priorização pode seguir as seguintes premissas:
- Levantamento do risco para o titular;
- Risco operacional para o negócio;
- Risco jurídico.
Formatos e métodos
Nessa fase, verifique o formato dos dados, seu tratamento, métodos internos de transferência e organize por departamento, categoria, sensibilidade do dado, finalidades de cada tratamento, formas de armazenamento, etc.
Pessoas adequadas
E por último, mas não menos importante, conscientize o time de funcionários quanto à relevância dessa adequação. Proponha que pensem não só no aspecto de compliance da lei, mas da experiência do usuário.
Como é a relação do titular desses dados com sua empresa? Essa é parte que diz respeito à humanização e prática da normativa.
O processo de mapeamento é vivo
Após essas medidas de mitigação de riscos e organização de processo de dados, a efetivação dos próximos passos, a partir de Janeiro de 2021, será mais eficaz.
Porém, o monitoramento dessas informações deve ser contínuo. Isso significa que as atualizações são permanentes: questionários novos virão, assim como inventários de dados e processos de gestão mais complexos. A dinâmica não para. Mas, daí para frente, com a casa em ordem, será mais fácil cumprir a lei.
LGPD descomplicada com a WDC Networks
A WDC trabalha com soluções em proteção de dados que auxiliarão no mapeamento, organização, monitoramento e proteção das informações da sua empresa.
As marcas parceiras Check Point e Sophos fornecem softwares e hardwares de segurança, incluindo proteção endpoint, firewalls, gateways de segurança, controle de acesso à rede, criptografia, prevenção de perda de dados, entre outros.
Por meio do inovador sistema de comercialização “as a service”, a WDC viabiliza soluções para incrementar o processo de implementação da LGPD.
Assim, somos os mais indicados para que você tenha uma inserção permanente de seu negócio à Era da Transformação Digital.