Aspectos Práticos da LGPD: como iniciar o processo de adequação?

Corporativo - 22 maio 2020

A Lei Geral de Proteção de Dados (LGPD) tem passado por mudanças com relação ao seu vigor. Tais alterações da lei é o reflexo da pandemia gerada pela Covid-19 nas empresas, que adotaram o regime de home office e não teriam força de trabalho suficiente para se adaptar na reta final.

No entanto, a prorrogação do prazo não é uma surpresa, pois uma pesquisa do Serasa Experian com mais de 500 empresas, realizada em 2019, já mostrava que 85% das organizações não estariam prontas para a regulamentação brasileira.

Outro indicador do Gartner mostrava que menos de 30% de todas as organizações sujeitas à LGPD estariam completamente em conformidade com a lei até agosto de 2020.

O prazo para adequação exige das empresas a preparação necessária para que sua implementação seja efetiva.

Gestores e organizações têm sido bombardeados com uma infinidade de informações e discussões entrecruzadas que, se não organizadas sistematicamente em um plano de ação multidisciplinar, serão de pouca serventia e poderão até retardar a adequação.

No entanto, a questão principal a ser analisada, nesse primeiro momento, é a estruturação básica de um projeto interno de adequação nas organizações.

Nele, é preciso constar com clareza a definição de objetivos, organização de processos e funções das pessoas envolvidas.

LGPD: Programa de Privacidade e Proteção de Dados e sua estrutura

Um Programa de Privacidade e Proteção de Dados começa com um mapeamento do estágio inicial para esse processo de adequação, ou seja, como essa empresa lida atualmente com o armazenamento, a segurança e o uso de seus dados.

Importante salientar que a Lei nº 13.709/2018 já tinha passado por uma mudança em 27 de dezembro de 2018, com a Medida Provisória 869.

O ponto para ter mais atenção nesse aspecto foi a criação da Autoridade Nacional de Proteção de Dados (ANPD). No entanto, esse prazo de adequação vem sendo discutido, em virtude do novo coronavírus.

Em suma, a ANPD é um órgão fiscalizador que se comunicará diretamente com os agentes de tratamento das empresas, assim como os titulares de dados pessoais.

Portanto, apesar das empresas e o poder público ganharem mais seis meses para se adaptar ao texto legal, eles terão a tarefa de preparar esse agente, responsável pelos relatórios que serão emitidos à fiscalização.

Tendo em vista que o princípio básico da LGPD é que todas as informações sejam veiculadas com base no controle de dados por direito, sejam eles analógicos ou digitais, essa organização e proteção precisam ser impecáveis.

A organização na prática

Dado pessoal, dentro da normativa, é um conceito que identifica uma pessoa natural ou jurídica, que abrange da coleta ao descarte de informações.

No dia a dia, estruturar a organização de dados exige um ordenamento de ações. Porém, antes de abordar esse ponto, cabem os seguintes questionamentos:

  1. Qual é a finalidade das informações guardadas em sua empresa, a frequência de uso e sua necessidade?
  2. Há fácil acesso a elas, incluindo a transparência no trato dessas informações?
  3. Nesse aspecto, é preciso organizar mais que uma política de privacidade interna, mas uma comunicação que seja inteligível, simples e acessível para todas as pessoas, pois essa é uma exigência da nova lei.
  4. Qual o grau de segurança e responsabilidade na gestão dessas informações?

Como a normativa exigirá não só o cumprimento da lei, mas também a exibição de relatórios que comprovem essa condição.

Então, a LGPD traz justamente a obrigação de se criar um sistema de deveres e responsabilidades, com gestão estratégica e diligência qualificada.

Depois de tais questionamentos, partimos para os instrumentos de gestão de risco e mecanismos de defesa que envolvem novos processos, tecnologia adequada e um time preparado e consciente.

Processos dinâmicos

Adequar sua empresa para maio de 2021 é algo possível.

Dessa forma, a organização deve se basear em processos, gestão integrada e ações efetivas, traçadas por prioridades.

Organize seu data map

Um mapa de dados com o levantamento das informações que a empresa lida é o start importante dessa missão.

Isso porque, vai ao encontro das perguntas acima citadas sobre o retrato atual de informações de seu negócio.

Levante os responsáveis

Com a Autoridade Nacional de Proteção de Dados, uma pessoa da empresa será o representante junto às obrigações e fará o meio de campo entre fiscais e time interno.

Sendo assim, verifique e treine um profissional de área com mais familiaridade nesse setor, como TI, Financeiro ou RH, por exemplo.

Análise de gap

Essa análise consiste em avaliação de risco e um plano de ação.

Ou seja, é necessário partir do que é mais simples para o que é mais complexo, feito em parceria com o agente interno.

O mapeamento na prática

A criação de um questionário para entender a necessidade de cada departamento é uma ação quantitativa, assim como as qualitativas, como a implementação de entrevistas nos setores, fluxogramas para processos específicos internos e soluções tecnológicas.

Nesse ponto, os softwares de organização, monitoramento e proteção são ferramentas essenciais.

Priorização de risco

Não dá para fazer tudo ao mesmo tempo. Logo, com os riscos identificados, é importante seguir uma matriz de prioridade que resolva ou mitigue eles. Tal priorização pode seguir as seguintes premissas:

  • Levantamento do risco para o titular;
  • Risco operacional para o negócio;
  • Risco jurídico.

Formatos e métodos

Nessa fase, verifique o formato dos dados, seu tratamento, métodos internos de transferência e organize por departamento, categoria, sensibilidade do dado, finalidades de cada tratamento, formas de armazenamento, etc.

Pessoas adequadas

E por último, mas não menos importante, conscientize o time de funcionários quanto à relevância dessa adequação. Proponha que pensem não só no aspecto de compliance da lei, mas da experiência do usuário.

Como é a relação do titular desses dados com sua empresa? Essa é parte que diz respeito à humanização e prática da normativa.

O processo de mapeamento é vivo

Após essas medidas de mitigação de riscos e organização de processo de dados, a efetivação dos próximos passos, a partir de Janeiro de 2021, será mais eficaz.

Porém, o monitoramento dessas informações deve ser contínuo. Isso significa que as atualizações são permanentes: questionários novos virão, assim como inventários de dados e processos de gestão mais complexos. A dinâmica não para. Mas, daí para frente, com a casa em ordem, será mais fácil cumprir a lei.

LGPD descomplicada com a WDC Networks

A WDC trabalha com soluções em proteção de dados que auxiliarão no mapeamento, organização, monitoramento e proteção das informações da sua empresa.

As marcas parceiras Check Point e Sophos fornecem softwares e hardwares de segurança, incluindo proteção endpoint, firewalls, gateways de segurança, controle de acesso à rede, criptografia, prevenção de perda de dados, entre outros.

Por meio do inovador sistema de comercialização “as a service”, a WDC viabiliza soluções para incrementar o processo de implementação da LGPD.

Assim, somos os mais indicados para que você tenha uma inserção permanente de seu negócio à Era da Transformação Digital.