A Lei Geral de Proteção de Dados (LGPD) entra em vigor apenas em agosto de 2020, mas ela está dando o que falar dentro do ambiente corporativo. Em linhas gerais, o objetivo da nova legislação é aumentar a privacidade e também o controle dos dados pessoais em benefício dos seus verdadeiros proprietários – se o assunto for a relação de consumo, o dono é o consumidor.
Dani Dilkin, Associate Managing Director da Kroll (empresa de gestão de riscos e investigações antifraude e anticorrupção) e responsável pela área de Cyber para a América Latina, produziu 9 dicas importantes para que as empresas se adaptem à LGPD. Veja:
Entenda a lei
É preciso entender como a LGPD vai afetar a sua empresa. O tamanho, por exemplo, pode ser um fator de variação da complexidade de compliance com a lei. No caso de uma empresa de grande porte, com bastante relevância no mercado, um ano e meio para fazer as adequações é, na verdade, um espaço de tempo bastante curto. Um trimestre perdido no processo de adaptação, por exemplo, pode fazer falta quando a lei entrar em vigor. Desta forma, o período de adaptação deve começar imediatamente. O desafio para se adequar é, em alguns aspectos, menor para empresas de pequeno porte. No entanto, é necessário ressaltar que a LGPD se aplica de maneira igual para empresas pequenas e grandes.
Nomeie um DPO
Guarde esse nome: DPO ou Data Protection Officer. Ele será o responsável legal pelos dados e será crucial para as empresas. A função do DPO é responder pela proteção de dados pessoais de uma empresa, principalmente caso ocorra um vazamento de dados. Esse profissional precisa estar integrado ao processo desde o mapeamento, acompanhamento e até exercendo influência sobre o processo de tratamento de dados.
Peça a ajuda de um terceiro
É difícil perceber todas as mudanças necessárias na estrutura da empresa apenas com o olhar interno. Por isso, o ajuste se torna mais efetivo com o acompanhamento de assessorias jurídicas e de proteção de dados, pois ambas se complementam.
Crie elos dentro da empresa
É preciso criar alianças entre as diversas áreas da empresa. É preciso que a empresa tenha a seguinte consciência: buscar a conformidade com a lei não será um ofício apenas das áreas de segurança, jurídica e de TI. Isso é um esforço de toda a empresa no sentido de adequar o seu processo de negócio, integrando inclusive a participação da alta administração e também da área comercial. A criação de um olhar multifacetado para essas mudanças pode contribuir no aprimoramento dos projetos de proteção de dados.
Mapeamento dos dados
Com a análise dos processos de tratamento de dados, a distinção da relevância dos dados e localização do banco onde eles se concentram, é possível esquematizar como se dará a otimização do gerenciamento dessas informações. A partir deste mapeamento, torna-se possível entender, na especificidade de cada processo de negócio, quais informações precisarão ser tratadas. Dessa forma, é possível trabalhar com a menor quantidade de dados possível, utilizando apenas a informação necessária.
Avaliação de impacto e risco
Avalie o impacto e o risco à privacidade associados aos dados. Juntamente com o mapeamento da jornada de tratamento de dados, dar prioridade para determinados bancos de dados devido a seu impacto é uma opção para preservar informações importantes, que possuem maior urgência para serem analisadas e protegidas.
Planejar os ajustes necessários
Ajustes de contratos e de sistemas, mudanças nos processos, eliminação de dados, revisão de quem pode acessar ou não, capacidade de monitoração e de resposta são algumas das principais medidas.
Utilizar referências europeias na proteção de dados
A GDPR (lei europeia de proteção de dados) foi criada em 2016 e já está em vigor desde maio de 2018. No Velho Continente, há uma maior maturidade para lidar com os requisitos da lei e, portanto, um conjunto de documentos que clarificam objetivos e controles associados à lei.
Documentar adequadamente o tratamento de dados pessoais
É preciso documentar e manter atualizada a lista dos processos de negócio que tratam dados pessoais. E não apenas isso. É preciso ainda justificar o tratamento dessas informações, inventariar ativos e fluxo de dados, entre outras ações. Documentações e processos maduros são primordiais para cumprir a lei de maneira sustentável.