Com o início de vigência da Lei Geral de Proteção de Dados
(LGPD), ocorrido em 18 de setembro, muitas são as incertezas enfrentadas pelas
empresas, que desde já precisam estar em conformidade com as diretrizes legais.
Então, quais seriam os primeiros passos a serem adotados no processo de
adequação à LGPD?
1º Passo: Entenda quais dados a empresa possui
Para dar início ao processo de adequação é fundamental que
as empresas tenham conhecimento sobre quais dados elas detêm. O chamado
mapeamento dos dados visa identificar esses dados e qual a utilização e
finalidade a eles atribuída.
Mapear o fluxo de dados ajudará a identificar as áreas mais
sensíveis que poderão requerer maiores esforços no processo de conformidade.
2º Passo: Delegue responsabilidades no processo de
adequação
O sucesso das empresas em sua conformidade à LGPD está
diretamente ligado ao grau de envolvimento dos colaboradores e parceiros de
alguma maneira relacionados aos dados tratados. Assim, é extremamente
necessário que todos os envolvidos no tratamento de dados auxiliem no processo
de adequação, colaborando com o envio de informações que serão valiosas nessa
jornada.
3º Passo: Invista em treinamento
O processo de adequação à LGPD é um projeto de mudança na
cultura da empresa. Nesse sentido, é fundamental que os colaboradores entendam
a necessidade e importância do tema.
Uma excelente medida para conscientização dos envolvidos é a
realização de treinamentos internos, apresentando as novas diretrizes de
proteção de dados e disseminando os procedimentos implementados na empresa.
4º Passo: Verifique a real necessidade da coleta dos
dados
A LGPD tem como principal objetivo a regulação dos direitos
dos titulares de dados pessoais (dados de pessoas naturais). Não se trata de
proibir ou coibir o uso das informações pelas empresas, mas sim de regular a
utilização desses dados, de modo que os cidadãos detenham conhecimento e
principalmente controle sobre todos os procedimentos de coleta, utilização e
eliminação dos dados.
As empresas só devem coletar informações pessoais necessárias
para fornecer o serviço ou produto e nada mais. Além do mais, é preciso deixar
claro aos titulares dos dados qual a finalidade da coleta das informações. Com
base na lei, não será mais possível captar informações sem que haja total
transparência sobre qual a real necessidade e finalidade da captação dos dados.
5º Passo: Crie uma Política de Privacidade
Elabore a Política de Privacidade de sua organização. Caso
esta já exista, é este o momento de revisão e atualização.
A empresa deverá comunicar aos titulares dos dados quais as
base legais para a coleta e processamento das informações, os períodos de
retenção, a possibilidade de reclamar quando os titulares não estiverem
satisfeitos com sua implementação, se seus dados estarão sujeitos à tomada de
decisão automatizada, entre outros direitos, considerando a LGPD. Além disso, a
empresa deverá fornecer as informações aos titulares de forma clara e de fácil
compreensão.
6º Passo: Elabore, revise e atualize contratos
relacionados ao tratamento de dados pessoais
Todos os contratos que possuem alguma relação com tratamento
e/ou compartilhamento de dados deverão ser objeto de adequação às diretrizes
legais. A empresa pode iniciar seu processo de revisão agrupando os contratos
por área, por exemplo, ou os contratos firmados com colaboradores, com clientes
e com parceiros.
7º Passo: Implemente ou revise os procedimentos de
segurança da informação
A empresa deve adotar as melhores práticas em segurança da
informação. Em um incidente de vazamento de dados, será fundamental demonstrar
que foram mobilizados esforços no sentido de implementar uma governança de
dados eficaz, visando a proteção cibernética das informações armazenadas em
meios digitais.
8º Passo: Aponte um Encarregado de dados (Data Protection
Officer – DPO)
A LGPD indica a necessidade de que as empresas apontem uma
pessoa (natural ou jurídica) a quem será delegada a função de intermediar as
demandas junto aos titulares dos dados, bem como junto a Autoridade Nacional de
Proteção de Dados (ANPD). Assim, todas as empresas deverão apontar de forma
expressa a quem ficará destinada essa responsabilidade.
9º Passo: Elabore um plano para incidente de vazamento de
dados
De acordo com a LGPD, os casos de incidentes envolvendo
vazamento de dados deverão ser comunicados, em prazo razoável, à ANPD. Com base
nessa obrigação, é recomendado que a empresa elabore um plano de ação para os
casos de vazamento de dados, ficando apta para adotar, em tempo hábil, todas as
providências estabelecidas na lei.
Existem diversos níveis de adequação e a empresa deverá
decidir qual deles se adapta às suas necessidades, tendo como referência sua
área de atuação e o volume de informações tratadas no desenvolvimento de suas
atividades. Os passos acima descritos são exemplificativos, entretanto, poderão
servir como base de adequação, auxiliando na jornada rumo à conformidade.
Fonte: O Estado de São Paulo