Gabriela Diehl

LGPD: por onde começar?

Autora: Gabriela Diehl

A Lei Geral de Proteção de Dados entra em vigor em agosto desse ano de 2020 e muito tem se falado sobre as mudanças que as empresas precisarão fazer internamente para se adequarem. A verdade é que a gente tem ouvido tanto sobre isso que fica difícil saber por onde começar. Foi por isso que separamos aqui alguns passos iniciais para ajudar a sua empresa nesse momento.

PRIMEIRO PASSO: QUEM É O SEU TIME?
A lei exige que as empresas definam 3 tipos de agentes de proteção de dados o controlador, operador e o encarregado de dados:
– O primeiro o Controlador de dados é aquele que vai tomar as decisões relativas aos dados;
– O Operador dos dados é quem vai cumprir as ordens do controlador;
– O Encarregado dos Dados é aquela pessoa que irá atender as demandas dos titulares, interagir com a autoridade nacional (ANPD) e orientar funcionários quanto às práticas de proteção de dados pessoais.

SEGUNDO PASSO: QUAIS DADOS VOCÊ COLETA?
O segundo passo é saber quais dados você trata dentro da sua empresa. A Lei fala em 3 tipos de dados: dados pessoais gerais (dados que permitem a identificação de uma pessoa, são dados como CPF, endereço, nome, entre outros), dados sensíveis (origem étnica ou racial, crença religiosa, filiação sindical, entre outros) e dados de menores de 16 anos.

TERCEIRO PASSO: QUAIS CUIDADOS TOMAR?
Se você captou dados sensíveis ou dados de menores de 16 anos é preciso se atentar as especificações da lei e isso nós explicamos no infográfico que está no site da be compliance. Além das particularidades, as palavras chaves para a LGPD são consentimento e transparência. Em primeiro lugar, o titular deve concordar, de forma explícita, com o tratamento de seus dados. Em relação a transparência, é preciso sempre explicar ao titular de dados o que será feito com os dados, quem terá acesso aos dados, aonde os dados serão armazenados, como e quando os dados serão excluídos. Por isso é importante ter uma política específica de dados e que o titular assine essa política. Além disso, caso um usuário queira não só informações, mas também alteração ou exclusão de seus dados, esse é um direito dele que a sua empresa deve seguir!

QUARTO PASSO: QUAIS CUIDADOS INTERNOS TOMAR?
É importante que os funcionários da sua empresa sejam treinados acerca de quais cuidados eles devem tomar com os dados a que tem acesso. Além disso, estabeleça normas internas e guias para auxiliar no entendimento de todos os funcionários da empresa.

QUINTO PASSO: COMO PREVENIR E CONDUZIR INCIDENTES?
É importante que você verifique o local aonde estão armazenados os dados que a sua empresa trata e verifique se há algum risco de vazamento de dados. Também, é importante já elaborar um plano de contingências para incidentes, não se esqueça também de comunicar os titulares de dados imediatamente após qualquer vazamento de dados.

BÔNUS – SEXTO PASSO: CUIDADO COM OS TERCEIROS!
Se você compartilha dados com terceiros ou utiliza dados de terceiros, não se esqueça de verificar se o terceiro possui as medidas de segurança necessárias para coletar, tratar, armazenar e excluir os dados que explicam nesse artigo. Com esses passos já é possível começar a se adequar a LGPD, lembre-se que há mais particularidades sobre a adequação, assim, esses são só os passos iniciais para começar a adequação.

Gabriela Diehl é co-fundadora da Be Compliance.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Gabriela Diehl

LGPD: por onde começar?

Autor: Roberto Wik
O ano acabou de começar e 2020 parece estar distante. Será?
A nova Lei Geral de Proteção de Dados do Brasil (LGPD – Lei 13.709/2018 / MP Nº 869), que deverá entrar em vigor em agosto de 2020, já está deixando muitas empresas apreensivas. Depois dos booms de ISO 9000, ISO 27000, SOX, entre outros, a LGPD é com certeza uma das leis recentes de maior impacto nas organizações de forma geral, e aborda o tema de governança de dados como nenhuma outra.
O dispositivo, em grande parte similar ao General Data Protection Regulation (GDPR), em vigor na Europa desde 25 de maio de 2018, visa a trazer mais rigor para a forma com que empresas privadas e órgãos governamentais tratam as questões de privacidade e proteção de dados dos cidadãos brasileiros. Informações pessoais podem variar de endereços residenciais, escolas frequentadas, datas de nascimento, número de CPF, números de registro de carro e informações médicas, a dados sobre ocupação, renda mensal, perfis de risco e muito, muito mais. E nem todas as informações são detidas pelos dados originais proprietários – grande parte também é compartilhada com fornecedores, parceiros e terceiros.
Neste período de incertezas e adequação há também uma série de razões positivas para embarcar nessa jornada, incluindo oportunidades para estreitar o relacionamento com o cliente, tornar serviços mais competitivos fazendo-os mais personalizados e deixar uma porta aberta para novas oportunidades, a fim alcançar mais receita e impulsionar o processo de transformação digital nas organizações.
E agora? Por onde começar?
Não existe solução única e completa para se adequar à LGPD, contudo há diversos caminhos e abordagens para tratar desse novo requerimento, de forma a enxergar não apenas como algo pontual, mas como uma oportunidade de preparar sua organização para requerimentos futuros, melhorando a governança de dados. Além disso existem benefícios de negócio que vão além da conformidade com a lei.
A implantação de ações que vão fazer com que sua empresa fique aderente à legislação deve ser encarada como uma jornada de transformação, e não um simples projeto. Estar pronto para a LGPD significa muito mais que estar em compliance com a lei. Essa jornada pode ser definida em cinco etapas principais:
1. Engajar as várias áreas da empresa no projeto, pois são afetadas pelo LGPD por utilizarem dados de clientes ou dos colaboradores em suas atividades.
2. Identificar quais dados sua organização utiliza. Saiba quais dados sua organização gerencia, onde estão, quem os utiliza, com que propósito e como são protegidos.
3. Treinar seus funcionários e educá-los sobre a importância e os impactos da LGPD.
4. Modificar seus processos de negócios para dar suporte às solicitações de auditoria e gerenciamento de consentimento.
5. Analisar e gerenciar suas políticas de segurança e privacidade e revisar todos os contratos relevantes com terceiros.
Em seguida a essa mobilização inicial, deve-se então realizar uma avaliação do estado atual na empresa em relação ao requerido pela LGPD. Com isso, tem-se uma visão mais clara das não conformidades existentes, bem como a prontidão da organização para assumir essa jornada.
O passo seguinte é a definição de um plano de ação com um roadmap, conforme a priorização feita pela organização em relação aos principais pontos encontrados. Esse processo será contínuo e evolutivo, com oportunidades de introduzir novas soluções que ajudam a mitigar os riscos de negócios para o LGPD, tais como automação de processos (RPA), Inteligência Artificial (AI), Internet das Coisas (IoT), Gerenciamento de Dados Mestres (MDM).
Paralelamente a todo esse processo, deverá haver uma frente de educação e conscientização para toda empresa, com um projeto de gestão de mudança dedicado e também programas de treinamento visando a alcançar mudanças sólidas para mitigar quaisquer riscos relacionados ao infringimento da lei.
E não é somente para dentro de casa que devemos olhar. As empresas também devem demonstrar que garantiram que terceiros processando dados sob sua responsabilidade tenham políticas e processos suficientes para garantir que:
a) Terceiros também estejam em conformidade com a LGPD;
b) Os processos não engessem as atribuições do líder responsável pelo gerenciamento de dados.
Muito provavelmente você precisará de suporte em outras duas frentes: uma para definição e implantação das ações (processos) e outra voltada à tecnologia com foco na gestão e governança dos dados e na automação.
Principais recomendações para uma jornada LGPD de sucesso:
– Defina métricas claras – embora a conformidade com a LGPD seja óbvia, as metas centradas no cliente, como reduzir as taxas de atrito e aumentar a aquisição de clientes, podem ajudar a aumentar a percepção da governança de dados como um facilitador da centralização no cliente.
– Concentre-se em uma área de cada vez para ajudar a monitorar o progresso, refinar a estratégia e os investimentos.
– Promova a colaboração em um estágio inicial – garantir a adesão de pessoas-chave ajudará a comunicar a importância da governança de dados em toda a empresa.
– Tenha a cultura correta – defina a responsabilidade pela governança de dados (eleja um responsável pela privacidade de dados se você não tiver um). A governança de dados deve ser coordenada entre as áreas de negócios e a de TI – e, para que isso funcione, é necessária uma mudança cultural em toda a empresa. De cima para baixo, os funcionários devem ser incentivados a entender a importância dos dados e promover uma cultura orientada à proteção deles.
– Atenha-se a uma única arquitetura de gerenciamento de dados – incluindo integração de dados, gerenciamento de qualidade de dados, gerenciamento de dados mestres e segurança de dados – simplificando o gerenciamento geral à medida que seu ambiente de dados se expanda.
– Use tecnologia com propósito específico para automatizar e dimensionar o gerenciamento e a governança de dados – você não pode depender apenas de recursos humanos para lidar com a explosão de dados. A tecnologia permite que você forneça uma solução de custo efetivo e adequada às necessidades futuras.
Em resumo, a LGPD:
– É uma das legislações mais impactantes no Brasil sobre governança e proteção de dados dos últimos anos.
– Tem impacto em qualquer organização presente no Brasil que lide com os dados pessoais e corporativos de cidadãos brasileiros.
– A multa máxima por descumprimento da lei é de até R$ 50 milhões ou 2% do faturamento anual da organização – o que for maior.
– O prazo para atingir a conformidade é agosto 2020.
Roberto Wik é diretor da indústria de varejo da Cognizant no Brasil.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima