A Lei Geral de Proteção de Dados (LGPD) está caminhando para seus últimos 10 meses de vacatio legis e, a cada dia, novas dúvidas surgem com relação a como aplicar a lei nas empresas, quais organizações ela irá impactar, quem é responsável pelo cumprimento da lei e muitas outras questões.
O que já sabemos é que toda a organização é responsável por colocar a legislação em prática, inclusive colaboradores, que devem estar instruídos a lidar com os dados de terceiros de maneira correta.
Todos os negócios, independentemente da faixa tributária ou classificação, que possuem dados pessoais de terceiros serão impactados, tanto com relação aos dados Identificados como os Identificáveis.
Nesta perspectiva, é praticamente impossível que uma empresa não possua um banco de dados pessoais: sejam clientes, fornecedores, parceiros de negócio ou colaboradores.
> Dúvidas sobre o que é a LGPD, leia primeiro este artigo.
> Dúvidas sobre Segurança e Sigilo,veja este artigo.
LGPD: Governança, Risco e Compliance
A LGPD é uma legislação bastante complexa, não existe nenhum artigo dizendo passo a passo o que você precisa fazer para se adequar, apenas como deve ser a sua visão com relação à proteção de dados pessoais.
Além de multidisciplinar e com apontamentos, ainda que genéricos sobre reavaliação do processo, exige de qualquer empresa atenção, dedicação e um trabalho em equipe extremamente rigoroso.
Por este motivo, é importante entender alguns pontos que farão parte deste processo de GRC – Governança, Riscos e Compliance.
Para facilitar a linha de raciocínio durante o processo de leitura e já proporcionar alguns insights aplicáveis, vamos retomar quais são os princípios que a lei estabelece:
– Finalidade;
– Adequação;
– Necessidade;
– Livre acesso;
– Qualidade dos dados;
– Transparência;
– Segurança;
– Prevenção;
– Não Discriminação e Responsabilidade;
– Prestação de contas.
Governança
Em uma visão mais abrangente, a governança é a transformação dos valores da empresa em ações, úteis e viáveis, no intuito de tais valores serem percebidos por outras pessoas que estão fora deste processo.
A LGPD sugere que o encarregado de dados conduza este processo, pois ele está diretamente ligado à coleta, guarda e tratamento de dados.
Primeiramente, é de extrema importância a participação do corpo diretivo da organização na releitura dos valores da empresa. Se necessário, o corpo diretivo também deve definir valores que atendam aos princípios dos diretores, corpo gestor, colaboradores e demais envolvidos nos processos organizacionais.
Este processo deve ser encarado com seriedade, pois trata-se do exercício mais frágil da busca pela conformidade com a lei. Afinal, você precisará redirecionar a cultura organizacional para o foco no sigilo e privacidade de dados pessoais e reconhecer sua importância.
Neste momento, outras partes devem ser envolvidas para aumentar o sucesso da operação, como os departamentos de Marketing e RH.
Para tornar estes passos mais claros, vamos fazer uma leitura dos princípios básicos da governança e alinhar com as necessidades que deverão ser atendidas para a conformidade legal com a Lei Geral de Proteção de Dados:
Transparência na Governança:
Neste caso, a transparência possui peso duplo, pois tanto na lei quanto na governança este é um princípio requerido. Promoverá a confiança de seus colaboradores, clientes e parceiros com o alinhamento.
Preocupe-se em prestar contas sobre as informações relacionadas aos dados pessoais e sobre como você as disponibilizará ao titular caso ele queira realizar uma consulta. Este processo deverá ser acessível e claro para não dificultar a captura de tal informação.
Entenda qual é a sua cadeia de dados e seus possíveis fluxos, assim, você será capaz de desenvolver uma maneira de comunicar e apresentar ao solicitante quando for necessário.
Como a lei também trata de segurança e sigilo da informação, ao propor este tipo de ação e orientação de conduta interna, tenha certeza de que o processo é seguro para que não haja problemas de vazamento durante o cumprimento deste passo.
Equidade:
Podemos definir a equidade como uma situação justa de acordo com suas equivalências. O profissional responsável deverá prever possíveis situações que trarão impacto à empresa, como, por exemplo, um vazamento de dados e assim preparar processos que tornem este problema algo solucionável de maneira justa e bem fundamentada.
Para facilitar o processo, é importante que se liste e se resolvam todos os problemas identificados.
Para pensar neste nível de problema e entender soluções viáveis, é necessário conhecimento de duas áreas com forte influência neste processo de LGPD: Segurança da informação e Direito.
Prestação de contas:
Mais um processo com peso duplo, a prestação de contas ou accontability deve acontecer de maneira fluída na organização.
Você deve manter os pentestes das aplicações em dia bem como, corrigir todas as vulnerabilidades e configurar bem as camadas de proteção. Além disso, precisará prestar contas das ações tomadas, incluindo a frequência e o planejamento.
Preocupe-se principalmente com a segurança e o sigilo das informações que estão contidas em seus bancos de dados, pois as ameaças podem ser internas ou externas.
Orientamos para que todo este processo seja documentado.
Esse ponto impede as organizações de fazerem falsos posicionamentos para o público, pois a ANPD pode solicitar e divulgar essa documentação como prova para outras empresas.
Responsabilidade corporativa:
O encarregado de dados deve ter uma visão vanguardista e sempre prezar pela perenidade do negócio. As ações não podem ser apenas imediatistas, elas devem ser estruturadas de forma que o impacto organizacional seja o menor possível. Não se iluda neste processo; não existe nada que é 100% seguro que lhe dê a garantia de que a empresa nunca terá um vazamento de dados, mas, quanto mais preparada a organização estiver, menores serão os prejuízos.
Este seria o pontapé inicial para que o processo de governança seja implantado em sua empresa. Além disso, você precisa cumprir os pré-requisitos apresentados pela lei 13.709/2018 de proteção de dados.
– Desenvolvimento de normas e boas práticas relacionadas à proteção de dados pessoais, demonstrando os responsáveis e o processo de trabalho.
– A diretriz deverá ser aplicável em todos os bancos de dados pessoais que estejam sob a guarda da empresa, independentemente de como foi feita a coleta.
– Adapte-se dentro das limitações e necessidades do negócio em questão, levando em consideração a classificação dos dados e o volume da operação.
– Por meio de uma avaliação sistemática e na interpretação de riscos, estabeleça políticas que visam manter os dados seguros.
– Garantir o consentimento do titular do dado estabelecido pela transparência e confiança.
– Você deve integrar o programa a outros processos semelhantes existentes e garantir que ele seja gerenciável, tanto no ambiente interno quanto externo.
– Você deve elaborar planos de resposta para vazamentos e adotar cuidados constantes para evitar a exposição dos dados.
– O processo deverá ser recorrente e frequentemente verificado e avaliado.
Riscos:
Durante o processo de GRC, você deve analisar os riscos que os dados pessoais enfrentam durante a execução diária das atividades relacionadas.
É preciso uma visão holística e gerencial para que os riscos sejam os mais claros possíveis para a empresa. Esta análise proporcionará o desenvolvimento de estratégias que trarão maior valor agregado ao seu negócio.
Embora o nome ‘Riscos’ carregue expectativas ruins, você pode encontrar aspectos positivos para a empresa. Por isso, seja realista ao analisar os riscos.
Você não deve apenas apontar falhas nesse processo. Ademais, deve desenvolver um material que permita corrigir ou mitigar essas falhas durante a operação diária.
Os riscos positivos também deverão ter os apontamentos para maximizá-los e mostrar à organização como aproveitar a oportunidade.
É necessário um profissional experiente para enxergar todas as oportunidades e ameaças e estas são muito específicas para cada empresa. Assim, é necessária uma apreciação rigorosa dos processos, das necessidades da empresa, dos valores apresentados e das possibilidades que estão se abrindo à sua frente.
Atente-se inicialmente à cadeia que o dado percorre, troque informações com os demais participantes do comitê de proteção de dados, acompanhe as notícias e muitos insights aparecerão para que a análise de riscos seja ainda mais rica e detalhada.
Neste processo, é importante não deixar que a fadiga atrapalhe, pois até a solidificação desta ação de cultura empresarial ficar impressa no DNA da equipe, serão necessários ajustes, alterações e engajamento para atestar a melhor forma de segurança, zelo, privacidade e transparência dos dados pessoais de seus clientes, colaboradores e parceiros.
Compliance:
Esta palavra vem do inglês to comply, que significa cumprir, obedecer. Se você vem acompanhando nossos artigos sobre a LGPD, trata-se de colocar tudo isso na prática.
Além disso, você precisa entender também todas as legislações que já influenciam o seu negócio e realizar uma análise detalhada para verificar o que se sobrepõe e o que é concomitante.
Lembre-se sempre que a LGPD trata dos processos de dados pessoais, como nome, CPF, RG, data de nascimento e outros identificadores, seja por numeração ou característica.
Os conceitos de segurança vão auxiliar na área de proteção de dados e sigilo, assim como a cultura organizacional trabalhada pela governança.
Profissionais qualificados devem realizar esse processo longo. Para algo tão específico, contratar empresas com know-how consolidado, tanto teórico quanto prático, é uma solução viável para garantir um trabalho eficiente em sua organização.
A Resh oferece selos para auxiliar no processo de segurança e no processo de compliance com a lei.
Por meio de Serviços prestados de GRC, o Selo LGPD Checked irá preparar a sua empresa para este novo momento do âmbito legal, além de conter o benefício de durante o contrato ter todas as portarias e alterações da lei sendo ajustadas para sua organização.
Já o Selo Digital Secure proporcionará a correção de vulnerabilidades de suas aplicações web, impedindo que indivíduos mal-intencionados realizem qualquer tipo de dano a sua base de dados por meio de vulnerabilidades conhecidas. Este processo recebe um painel de auditoria que permite o acompanhamento das correções de seus sites, e-commerce, blog, portais e sites gerenciais. E o melhor, tudo com tecnologia própria e alto nível de excelência.
Conheça a Resh. E transforme a LGPD em crescimento para seu negócio.