Você provavelmente já deve ter ouvido falar na Lei Geral Geral de Proteção de Dados, que vem ganhando cada vez mais relevância e atenção. Mas afinal, o que é esta nova lei e qual é o seu objetivo?
A Lei Geral de Proteção de Dados pessoais foi sancionada em Agosto de 2018 (Lei Nº 13.709/2018: L13709 (planalto.gov.br)). O principal objetivo da Lei Geral de Proteção de Dados (LGPD) é garantir que as empresas respeitem a privacidade e garantam a proteção dos dados pessoais que possuem de seus titulares de dados. Estes objetivos de proteção à privacidade são atingidos através do cumprimento de diversos requisitos definidos pela lei:
- respeito aos princípios de tratamento de dados
- identificar as hipóteses de tratamento para os dados pessoais
- garantir o atendimento dos direitos dos titulares
- realizar o mapeamento das atividades de tratamento de dados pessoais
- nomear um encarregado pelo tratamento de dados
- realizar análises de impacto a proteção de dados
- adequar suas operações a transferência internacional de dados
Os titulares de dados pessoais são o principal ponto de atenção da LGPD, garantindo que eles tenham maior controle sobre os dados que foram coletados por empresas. Além do controle, os usuários passarão a ver as empresas atuarem de maneira mais transparente sobre o que é feito com os dados e até mesmo poder solicitar que as empresas removam seus dados em situações específicas.
Apesar de ser bastante trabalhoso para as empresas se adequarem a esta lei, é extremamente vantajoso do ponto de vista competitivo, comercial e estratégico, afinal os consumidores estão se tornando cada vez mais conscientes sobre a necessidade de proteger seus dados pessoais e sua privacidade.
Os requisitos da LGPD causam um efeito “dominó” no cenário empresarial, pois empresas que estão adequadas podem ser negativamente afetadas por fornecedores e empresas parceiras que não estiverem adequadas à lei. Para saber mais, leia nosso artigo de responsabilidade compartilhada: Responsabilidade compartilhada na LGPD – DCIT Tecnologia.
Um aspecto muito importante que várias empresas têm negligenciado em seu processo de adequação a lei é a segurança da informação e cibersegurança. É impossível que haja proteção de dados ou privacidade sem que se tenha antes processos bem definidos de segurança da informação.
Enfim, como uma empresa pode iniciar este processo de adequação à lei?
COMO INICIAR O PROCESSO DE ADEQUAÇÃO A LGPD?
Na prática, a adequação a LGPD vai muito além do que a mudança que tem sido observada na maioria dos sites pela web (famosas políticas de privacidade que somente DPOs leem e implementação de ferramenta para aceitar cookies). É um trabalho minucioso de identificar em cada atividade da empresa se ocorre algum tratamento de dados pessoais, quais dados são tratados e após essa etapa realizar diversas análises em relação aos requisitos da LGPD para entender o que precisa ser corrigido.
A Lei é aplicável tanto para dados tratados fisicamente quanto digitalmente. Ela é aplicável até mesmo para empresas estrangeiras que realizem o tratamento de dados de pessoas que estão no território brasileiro.
Em resumo, se a sua empresa possui colaboradores ou fornecedores, a LGPD se torna aplicável, pois ambos possuem dados pessoais que os identificam e requerem a aplicabilidade dos requisitos da lei.
Apesar de se tratar de uma Lei, ela não é algo exclusiva para advogados, uma implementação efetiva necessita no mínimo de três competências: gestão de projetos, conhecimento jurídico e de segurança da informação. Até o momento, a Lei não definiu requisitos de competências para os encarregados pelo tratamento de dados pessoais (também conhecido como DPOs), permitindo que qualquer pessoa que se interesse pelo tema busque aprender estes novos conceitos para conseguir novas colocações no mercado.
O primeiro passo para um processo de adequação é o de realizar um planejamento, avaliando se o negócio possui os recursos internos que serão necessários para a execução: responsável pelo gerenciamento do programa de adequação, equipe para realizar as atividades e tarefas, competências, recursos tecnológicos. Caso o negócio não possua a maioria dos requisitos internos para iniciar o processo de adequação, pode ser viável avaliar a contratação de uma consultoria externa com as competências necessárias para a execução do trabalho.
Como citado anteriormente, o time de execução do processo de adequação deve ser multidisciplinar, atentando tanto para os aspectos jurídicos decorrentes da LGPD quanto dos aspectos relacionados à segurança da informação. É evidente e observável que a maioria dos processos de adequação a LGPD que vem ocorrendo no mercado tem abordado somente o aspecto jurídico, deixando a importância da segurança da informação e cibersegurança de lado.
Com o planejamento realizado, a primeira etapa de qualquer processo de adequação a LGPD, será o de realizar a conscientização dos colaboradores. Eles serão fundamentais para que o processo de adequação seja eficaz e funcione da maneira correta.
A segunda etapa do processo é criar o comitê de privacidade e proteção de dados. O ideal é que o comitê seja constituído por no mínimo um gerente ou gestor das principais áreas que tratam dados pessoais no negócio, como: DP/RH, marketing, atendimento, etc. Constituído o comitê, será necessário avaliar qual é o perfil ideal para o Encarregado pelo tratamento de dados pessoais do negócio e tomar ações para inseri-lo na estrutura organizacional do negócio.
A terceira etapa do processo consiste no início prático do mapeamento das atividades de tratamento de dados pessoais junto aos colaboradores selecionados pelo negócio para a realização da atividade, que deve ser conduzida com bastante zelo e cuidado: um mapeamento detalhado, preciso e de qualidade pode evitar um grande retrabalho, pois o mapeamento é o esqueleto principal de tudo o que é feito no programa de adequação a LGPD.
Em paralelo a esta etapa, a consultoria jurídica pode analisar os modelos de contrato da empresa para apontar os ajustes que serão necessários para alcançar a conformidade com os requisitos da lei. É necessário que as equipes de consultoria realizem também a avaliação do website, para avaliar o seu nível de atendimento aos requisitos da lei.
A quarta etapa seria a de realizar a análise do mapeamento de dados, observando se as atividades de tratamento de dados da empresa estão atendendo aos diversos requisitos da lei. Esta é uma atividade que irá gerar um mapa de ações para correção dos requisitos que não são atendidos pela lei. Nesta etapa, a consultoria pode utilizar metodologias de gestão de risco para compreender o risco ao qual o negócio está exposto, devido ao não atendimento do requisito da lei. De maneira inicial, pode ser interessante para o cliente atuar nos pontos que exigirem menor esforço e investimento para uma evolução rápida no processo de adequação, pois pode haver ações que precisarão de mais tempo e investimentos para correção.
Além dos requisitos de privacidade a serem avaliados, é importante que seja realizada uma análise geral dos aspectos de segurança da informação e cibersegurança, principalmente a avaliação do nível de governança em segurança da informação e na aplicação técnica dos controles de segurança física e tecnológicos.
Na quinta etapa, a consultoria junto ao cliente pode iniciar a criação das políticas e procedimentos que forem necessários para a adequação das atividades internas. Após a confecção das políticas será necessário conscientizar os colaboradores para que conheçam e compreendam as políticas. Um exemplo das principais políticas a serem consideradas são: Política de privacidade (externa, para o website), Política de proteção de dados (interna), Política de retenção e descarte de dados, Política de segurança da informação. Existem diversas outras políticas que podem ser criadas para estabelecer as diretrizes do negócio em relação à proteção de dados e privacidade. A necessidade de cada uma delas depende do meio pelo qual cada negócio opera e de seus aspectos internos e externos.
Após estas etapas, é necessário que o cliente avalie com cautela todos os apontamentos do plano de ação e realize o um planejamento do que será efetivamente implementado, de quais recursos serão necessários, como será implementado, quem serão os responsáveis e o prazo para a implementação de cada ação.
Então, será que após todas estas etapas, o trabalho vai ter finalmente acabado e o negócio estará 100% adequado à LGPD? NEGATIVO! É importante lembrar que a adequação é um processo vivo e contínuo, não sendo finalizado após a implementação do plano de ação. É necessário que toda a estrutura de privacidade e proteção de dados criada seja mantida, através de monitoramento, medições, reavaliações periódicas e principalmente quando ocorrerem mudanças nas atividades ou aspectos do negócio.
Sua empresa está efetivamente preparada para lidar com a proteção de dados dos seus titulares? Entre em contato com a gente para que possamos ajudar!
Perfil do Autor
- Diretor de Riscos e Compliance da NowCy. Advogado sênior, pós-graduado em Direito Empresarial. Especialista em Direito Digital, LGPD, Cibersegurança e Risco Corporativo. Atualmente ocupando posição estratégica na gestão de riscos digitais.
Últimas Postagens
Gestão e estratégia12 de março de 2024Avaliação de Risco: Por que a personalização é importante nessa estratégia?- Gestão e estratégia8 de fevereiro de 2024Regulamentações de Compliance: Como a avaliação de riscos pode ajudar na conformidade das empresas
- Gestão e estratégia30 de janeiro de 2024Avaliação de Riscos: Descubra e mitigue riscos potenciais com uma estratégia abrangente
- Cibersegurança16 de janeiro de 2024A avaliação de riscos como aliada contra os perigos cibernéticos
