A Lei Geral de Proteção de Dados tem sido um dos assuntos de tecnologia mais comentados dos últimos meses em diversos setores e segmentos. Isso porque uma maioria avassaladora das empresas que vendem produtos, e prestam serviços ao consumidor, lidam com dados pessoais diariamente.
A internet está muito presente na vida de todos os cidadãos e o consumo online vem ganhando espaço em uma velocidade muito maior do que jamais imaginamos. Dessa forma muitas transações são realizadas online e muitos dados são cedidos, armazenados e manuseados em rede.
Mesmo quando não há coleta de dados obviamente pessoais como nome, documentos, informações bancárias, endereço e afins, existe a coleta de informações como histórico de navegação, endereço de IP, cookies e outros dados. Sim, essas últimas informações também são categorizadas como Dados Pessoais pela LGPD.
Normas impostas pela Lei Geral de Proteção de Dados
Se sua empresa é uma empresa digital, se você lança mão de estratégias de marketing digital, ou se você simplesmente utiliza a rede para armazenar dados coletados no offline, você precisa se adequar às normas impostas pela Lei Geral de Proteção de Dados.
A lei está em vigor desde setembro de 2020 e o descumprimento das diretrizes pode acarretar punições que variam de acordo com a infração detectada. A lei prevê uma multa mínima correspondente ao valor de 2% do faturamento anual da empresa, podendo chegar ao montante máximo de 50 milhões de reais.
Dependendo do caso a empresa pode ter suas atividades parcial ou totalmente suspensas. Como anda a adequação dos seus processos internos em relação à LGPD? Todos os seus colaboradores estão cientes da importância das novas práticas ou ainda há negligência em relação ao assunto?
Como criar uma cultura de boas práticas para a segurança de dados – Lei Geral de Proteção de Dados
De acordo com a IAAP (Associação Internacional de Profissionais de Privacidade), a criação de uma cultura corresponde à criação de um padrão integrado de conhecimento, crença e comportamentos humanos que caracteriza uma organização.
Ou seja, criar uma cultura de boas práticas de segurança de dados visando o cumprimento da LGPD implica no conhecimento e entendimento da Lei, na crença sobre sua importância para o trabalho e na criação de comportamentos que sejam compatíveis com as diretrizes da Lei.
Para que uma cultura seja efetiva é essencial que o máximo de pessoas acreditem no que é proposto. Dessa forma, dentro do que estamos falando, é importante que toda a empresa esteja ciente da importância e dos comportamentos que devem ser adotados diante da nova Lei Geral de Proteção de Dados.
Para disseminar a cultura de segurança e privacidade dentro de qualquer empresa, é importante lembrar que a governança corporativa em prol da proteção de dados pessoais e privacidade é a base para uma conscientização eficiente.
Instituto Brasileiro de Governança Corporativa
Segundo o IBGC, Instituto Brasileiro de Governança Corporativa, o termo “governança corporativa” diz respeito ao “sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas.
“As boas práticas de governança corporativa convertem princípios básicos em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor econômico de longo prazo da organização, facilitando seu acesso a recursos e contribuindo para a qualidade da gestão da organização, sua longevidade e o bem comum”.
Agora que sabemos do que se trata a Governança Corporativa, conseguimos entender como ela é indispensável para a implementação de uma cultura interna de LGPD. Envolver todos os colaboradores e sócios da empresa no processo de conhecimento da lei e de adequação de práticas é essencial para o sucesso da empresa.
Implementando a LGPD na prática
Difundir a informação
Já sabemos que a implementação da LGPD depende integralmente da criação de uma cultura de segurança e proteção de dados. Para difundir o conhecimento e promover o entendimento da lei entre os colaboradores a empresa, junto a especialistas jurídicos (internos ou terceirizados), pode promover palestras e dinâmicas sobre o assunto.
Os colaboradores não precisam dominar cada artigo da lei, mas precisam ter consciência sobre a importância das diretrizes e de como elas serão trabalhadas internamente.
Mapeamento de dados da Lei Geral de Proteção de Dados
O mapeamento serve para descobrir em quais categorias os dados coletados pela sua empresa se encaixam. Separe os dados coletados e descubra se você lida mais com dados sensíveis, anonimizados ou públicos. Isso vai te ajudar a entender quais adequações serão prioritárias.
Identifique quais desses dados são realmente essenciais para o andamento dos trabalhos da empresa e quais estão ali só por estar. É importante levantar quais dados possuem termo de consentimento para tratamento e quais não possuem. Esta etapa demanda tempo e mão de obra, mas é altamente necessária para um bom andamento da empresa de acordo com a LGPD.
Jurídico em ação
A atuação jurídica é indispensável na implementação da LGPD, afinal de contas são eles quem entendem as leis de forma integral. Além de auxiliar na propagação da lei entre os colaboradores, eles também terão a função de conhecer e adequar os processos já realizados na empresa.
Todos os documentos e procedimentos que dizem respeito a coleta, armazenamento e tratamento de dados deverá ser revista. Todos os procedimentos que estão em desacordo com a lei terão que ser refeitos e novos processos serão criados.
Esse processo requer uma equipe enxuta e alinhada. Caso não tenha um setor jurídico interno, não hesite em terceirizar essa etapa. E mesmo que você já tenha um setor jurídico interno, não deixe de procurar ajuda temporária caso ache necessário.
Nomeie membros da equipe
Apesar de todos estarem envolvidos no processo, é preciso que haja uma equipe atuando na linha de frente da implementação da LGPD. Esse “Comitê de Implementação” será responsável por tomar a frente dos processos burocráticos.
Escolha entre líderes e outros funcionários acostumados a lidar com dados pessoais. Envolva setores de venda, marketing, TI e jurídico quando for o caso. Entre eles, escolha quem será o DPO (Diretor de Proteção de Dados) da empresa.
O DPO é o principal responsável pela proteção de dados e faz a ponte entre a empresa e a ANPD (Autoridade Nacional de Proteção de Dados), órgão responsável pela fiscalização a nível nacional.
Identificando Pontos de Risco – Lei Geral de Proteção de Dados
Seguindo as diretrizes da LGPD, os vazamentos de dados pessoais são inadmissíveis. Para evitar ao máximo esse transtorno, é indispensável que haja um mapeamento de riscos. Esse mapeamento auxilia na correção de falhas de segurança e na elaboração de planos de ação para possíveis emergências.
Essas tarefas devem ser realizadas simultaneamente à adequação. Todo o sistema da empresa deve ser estudado para que sejam descobertas falhas de segurança. As falhas devem ser corrigidas imediatamente e monitoradas para que não voltem a colocar a empresa em risco.
Os planos de ação devem ser elaborados para resguardar as vulnerabilidades que não podem ser eliminadas, apenas monitoradas. Quando uma eventualidade acontecer a equipe deve saber agir de forma rápida e eficaz.
Os profissionais de TI serão responsáveis por indicar os melhores programas e aplicações de segurança, monitoramento e armazenamento dos dados pessoais. A gestão de riscos e de acessos são grandes aliadas da LGPD.
