A Lei Geral de Proteção de Dados (LGPD) está caminhando para seus últimos 10 meses de vacatio legis e, a cada dia, novas dúvidas surgem com relação a como aplicar a lei nas empresas, quais organizações ela irá impactar, quem é responsável pelo cumprimento da lei e muitas outras questões.
O que já sabemos é que toda a organização é responsável por colocar a legislação em prática, inclusive colaboradores, que devem estar instruídos a lidar com os dados de terceiros de maneira correta.
Todos os negócios, independentemente da faixa tributária ou classificação, que possuem dados pessoais de terceiros serão impactados, tanto com relação aos dados Identificados como os Identificáveis.
Nesta perspectiva, é praticamente impossível que uma empresa não possua um banco de dados pessoais: sejam clientes, fornecedores, parceiros de negócio ou colaboradores.
> Dúvidas sobre o que é a LGPD, leia primeiro este artigo.
> Dúvidas sobre Segurança e Sigilo,veja este artigo.
LGPD: Governança, Risco e Compliance
A LGPD é uma legislação bastante complexa, não existe nenhum artigo dizendo passo a passo o que você precisa fazer para se adequar, apenas como deve ser a sua visão com relação à proteção de dados pessoais.
Além de multidisciplinar e com apontamentos, ainda que genéricos sobre reavaliação do processo, exige de qualquer empresa atenção, dedicação e um trabalho em equipe extremamente rigoroso.
Por este motivo, é importante entender alguns pontos que farão parte deste processo de GRC – Governança, Riscos e Compliance.
Para facilitar a linha de raciocínio durante o processo de leitura e já proporcionar alguns insights aplicáveis, vamos retomar quais são os princípios que a lei estabelece:
– Finalidade;
– Adequação;
– Necessidade;
– Livre acesso;
– Qualidade dos dados;
– Transparência;
– Segurança;
– Prevenção;
– Não Discriminação e Responsabilidade;
– Prestação de contas.
Governança
Em uma visão mais abrangente, a governança é a transformação dos valores da empresa em ações, úteis e viáveis, no intuito de tais valores serem percebidos por outras pessoas que estão fora deste processo.
A LGPD sugere que este processo seja conduzido pelo encarregado de dados, afinal, ele é quem estará totalmente ligado aos processos de coleta, guarda e tratamento de dados.
Para iniciar este processo, é de extrema importância a participação do corpo diretivo da organização para a releitura dos valores da empresa e, se necessário, definir alguns valores que atendam aos princípios de diretores, corpo gestor, colaboradores e demais envolvidos nos processos organizacionais.
Este processo deve ser encarado com seriedade, pois trata-se do exercício mais frágil da busca pela conformidade com a lei, afinal você precisará intensificar ou redirecionar toda a cultura organizacional para o foco no sigilo e privacidade de dados pessoais, entender o quão importantes são seus dados pessoais e de todos aqueles que confiaram à sua empresa as suas informações.
Neste momento, outras partes devem ser envolvidas para aumentar o sucesso da operação, como os departamentos de Marketing e RH.
Para tornar estes passos mais claros, vamos fazer uma leitura dos princípios básicos da governança e alinhar com as necessidades que deverão ser atendidas para a conformidade legal com a Lei Geral de Proteção de Dados:
Transparência:
Neste caso, a transparência possui peso duplo, pois tanto na lei quanto na governança este é um princípio requerido. Com alinhamento será promovida a confiança de seus colaboradores, clientes e parceiros.
Preocupe-se com momentos de prestação de contas sobre as informações que giram ao redor dos dados pessoais e como estas serão disponibilizadas para o titular do dado caso ele queira realizar uma consulta. Este processo deverá ser acessível e claro para não dificultar a captura de tal informação.
Entenda qual é a sua cadeia de dados e seus possíveis fluxos, desta forma, você será capaz de desenvolver uma maneira de comunicar e apresentar ao solicitante quando for necessário.
Como a lei também trata de segurança e sigilo da informação, ao propor este tipo de ação e orientação de conduta interna, tenha certeza de que o processo é seguro para que não haja problemas de vazamento durante o cumprimento deste passo.
Equidade:
A equidade pode ser definida como uma situação justa de acordo com suas equivalências. O profissional responsável deverá prever possíveis situações que trarão impacto à empresa, como, por exemplo, um vazamento de dados e assim preparar processos que tornem este problema algo solucionável de maneira justa e bem fundamentada.
Para facilitar o processo, é importante que se liste e se resolvam todos os problemas identificados.
Para pensar neste nível de problema e entender soluções viáveis, é necessário conhecimento de duas áreas com forte influência neste processo de LGPD: Segurança da informação e Direito.
Prestação de contas:
Mais um processo com peso duplo, a prestação de contas ou accontability deve acontecer de maneira fluída na organização.
Além de estar com os pentestes das aplicações em dia, todas as vulnerabilidades corrigidas e as camadas de proteção bem configuradas, ainda será necessária a prestação de contas das ações tomadas pela empresa, bem como a frequência e o planejamento.
Preocupe-se principalmente com a segurança e o sigilo das informações que estão contidas em seus bancos de dados, pois as ameaças podem ser internas ou externas.
Orientamos para que todo este processo seja documentado.
É este o ponto que impede as organizações de fazerem falsos posicionamentos para o público, pois esta documentação poderá ser solicitada pela Autoridade Nacional de Proteção de Dados e divulgada como matéria probatória às demais empresas.
Responsabilidade corporativa:
O encarregado de dados deve ter uma visão vanguardista e sempre prezar pela perenidade do negócio. As ações não podem ser apenas imediatistas, elas devem ser estruturadas de forma que o impacto organizacional seja o menor possível. Não se iluda neste processo; não existe nada que é 100% seguro que lhe dê a garantia de que a empresa nunca terá um vazamento de dados, mas, quanto mais preparada a organização estiver, menores serão os prejuízos.
Este seria o pontapé inicial para que o processo de governança seja implantado em sua empresa. Além destes pontos, abaixo estão os pré-requisitos apresentados pela lei 13.709/2018 de proteção de dados que precisam ser cumpridos:
– Desenvolvimento de normas e boas práticas relacionadas à proteção de dados pessoais, demonstrando os responsáveis e o processo de trabalho.
– A diretriz deverá ser aplicável em todos os bancos de dados pessoais que estejam sob a guarda da empresa, independentemente de como foi feita a coleta.
– Adapte-se dentro das limitações e necessidades do negócio em questão, levando em consideração a classificação dos dados e o volume da operação.
– Por meio de uma avaliação sistemática e na interpretação de riscos, estabeleça políticas que visam manter os dados seguros.
– Garantir o consentimento do titular do dado estabelecido pela transparência e confiança.
– O programa deve ser integrado a outros processos semelhantes existentes e de forma gerenciável, tanto no ambiente interno, quanto no externo.
– É fundamental haver planos de resposta para vazamentos e cuidados constantes para evitar que os dados sejam expostos.
– O processo deverá ser recorrente e frequentemente verificado e avaliado.
Riscos:
Durante o processo de GRC, o segundo item a ser analisado são os riscos que o assunto tratado, no caso dados pessoais, correm durante a execução diária das atividades relacionadas.
É preciso uma visão holística e gerencial para que os riscos sejam os mais claros possíveis para a empresa. Esta análise proporcionará o desenvolvimento de estratégias que trarão maior valor agregado ao seu negócio.
Apesar do nome “Riscos” ser carregado de expectativas ruins, os riscos poderão ser positivos para a empresa, por isso, seja realista no momento da análise.
Este processo não deve ser apenas um apontamento de falhas, junto a ele você também deverá desenvolver um material que permita que as falhas sejam corrigidas ou mitigadas no decorrer da operação diária.
Os riscos positivos também deverão ter os apontamentos para maximizá-los e mostrar à organização como aproveitar a oportunidade.
É necessário um profissional experiente para enxergar todas as oportunidades e ameaças e estas são muito específicas para cada empresa. É necessária uma apreciação rigorosa dos processos, das necessidades da empresa, dos valores apresentados e das possibilidades que estão se abrindo à sua frente.
Atente-se inicialmente à cadeia que o dado percorre, troque informações com os demais participantes do comitê de proteção de dados, acompanhe as notícias e muitos insights aparecerão para que a análise de riscos seja ainda mais rica e detalhada.
Neste processo, é importante não deixar que a fadiga atrapalhe, pois até a solidificação desta ação de cultura empresarial ficar impressa no DNA da equipe, serão necessários ajustes, alterações e engajamento para atestar a melhor forma de segurança, zelo, privacidade e transparência dos dados pessoais de seus clientes, colaboradores e parceiros.
Compliance:
Esta palavra vem do inglês to comply, que significa cumprir, obedecer. Se você vem acompanhando nossos artigos sobre a LGPD, trata-se de colocar tudo isso na prática.
Além disso, você precisa entender também todas as legislações que já influenciam o seu negócio e realizar uma análise detalhada para verificar o que se sobrepõe e o que é concomitante.
Lembre-se sempre que a LGPD é uma lei que trata sobre os processos de Dados Pessoais, ou seja, nome, CPF, RG, data de nascimento e outros que podem ser usados para identificar uma pessoa, seja por meio de numeração ou característica.
Os conceitos de segurança vão auxiliar na área de proteção de dados e sigilo, assim como a cultura organizacional trabalhada pela governança.
Este processo é longo e deve ser feito por profissionais qualificados, e, para algo tão específico, é uma solução viável a contratação de empresas com know-how consolidado, tanto teórico quanto prático, para realizar um trabalho eficiente em sua organização.
A Resh oferece selos para auxiliar no processo de segurança e no processo de compliance com a lei.
Por meio de Serviços prestados de GRC, o Selo LGPD Checked irá preparar a sua empresa para este novo momento do âmbito legal, além de conter o benefício de durante o contrato ter todas as portarias e alterações da lei sendo ajustadas para sua organização.
Já o Selo Digital Secure proporcionará a correção de vulnerabilidades de suas aplicações web, impedindo que indivíduos mal-intencionados realizem qualquer tipo de dano a sua base de dados por meio de vulnerabilidades conhecidas. Este processo recebe um painel de auditoria que permite o acompanhamento das correções de seus sites, e-commerce, blog, portais e sites gerenciais. E o melhor, tudo com tecnologia própria e alto nível de excelência.
Conheça a Resh. E transforme a LGPD em crescimento para seu negócio.
