GUIA PRÁTICO DA IMPLEMENTAÇÃO DA LGPD

guia prático da implementação da lgpd

A Lei Geral de Proteção de Dados é obrigatória para todas as empresas que utilizam dados pessoais para fins comerciais. Isso significa dizer que todas as empresas que tratam dados precisam respeitar a LGPD. Por tratar dados entende-se, por exemplo, a coleta, armazenamento, distribuição, compartilhamento de dados pessoais de pessoas físicas que circulam na empresa.

A Lei Geral de Proteção de Dados é uma lei e as empresas tem obrigação legal de respeitá-la além de apresentar outras vantagens como:

Melhora a reputação e imagem da empresa perante o mercado, garantindo maior credibilidade pela conscientização da proteção de dados pessoais e respeito à privacidade;

Destaque em relação à concorrência pela confiança depositada pelos consumidores por tratar os dados com segurança;

Fortalecimento das relações comerciais, afinal, empresas adequadas não irão fazer negócios com empresas que não seguem a Lei.  Com isso, corre-se o risco de serem condenadas por irresponsabilidade de parceiros comerciais.

Além dos benefícios descritos, outro ponto que vale destacar é a economia financeira, pois evita processos administrativos, judiciais, multas da ANPD, mas o mais importante: Gastos com resgastes de possíveis invasões de hackers, vazamentos, ataques de vírus e malwares que criptografam, corrompem ou bloqueiam os dados impedindo a empresa de operar, principalmente, se o seu negócio é digital. Um exemplo recente é o caso do e-commerce da Renner que foi vítima de ataque e perdeu milhões entre resgate e em vendas que não ocorreram.

lgpd passo a passo

Pensando em tudo isso, resolvi criar um guia prático da implementação completa da LGPD, para sua empresa aproveitar as vantagens e diminuir os riscos.

Este guia tem o objetivo de explicar de maneira simples, clara e descomplicada o passo a passo de uma implementação completa. O objetivo é sua empresa estar em compliance (governança) com a LGPD seguindo parâmetros da Lei de Proteção de Dados da União Europeia, a GDPR.

O guia é composto por 11 passos e ao final você terá clareza de como a LGPD impacta no dia a dia da sua empresa. Mas, principalmente, irá sair da teoria e entender como a lei se aplica na prática.

Passo 1 – GAP Assessment

O GAP inicia o projeto de preparação da empresa para implementação da LGPD. Tem o papel de identificar as lacunas e não conformidades da empresa. Em outras palavras, mede o nível de adequação do negócio, tendo como entregável um relatório técnico que demonstra os riscos e vulnerabilidades. Também serve para ao final como um parâmetro dos avanços adquiridos durante todo o projeto.

Passo 2 – Conscientização e treinamento da LGPD

A LGPD não é sobre tecnologia, a LGPD é uma mudança de mindset, é um processo de conscientização. Não tem como um projeto de implementação dar certo sem que todos na empresa, do mais alto nível até ao menor, não compreendam que a empresa está passando por um processo de mudança de cultura, uma cultura que objetiva a proteção de dados e garantir um direito essencial no mundo que vivemos atualmente: Privacidade.

Eu acredito que o elo mais forte de um negócio são as pessoas, no entanto, sem conhecimento, podem se tornar o elo mais fraco. Por isso, para um bom resultado é necessário treinamento e conscientização.

Passo 3 – Mapeamento de Dados Pessoais

O mapeamento ou também conhecido como inventário de dados é um passo fundamental, pois este passo servirá como base para todos os passos posteriores da implementação, e, portanto, garantir a sua efetividade. Neste ponto o nível da organização da empresa conta muito, afinal, quando pensamos em mapeamento é preciso compreender a origem de onde todos os dados são coletados, armazenados, compartilhados, e descartados/eliminados. Estamos falando de mapear o ciclo de vida de cada dado pessoal que a empresa possui, se é físico ou on-line, quais as bases legais, ou seja, respaldo jurídico que a empresa possui para tratar os dados, prazo de armazenamento, garantir direitos dos titulares, dentre outros pontos que veremos nos passos seguintes.

Passo 4 – Políticas e Avisos de Privacidade

As políticas e avisos de privacidade são documentos criados tanto para uso interno da empresa quanto para utilização externa, como em site, e-commerce, por exemplo. Quando falamos em site tem-se como necessário a criação de uma política de privacidade, cookies e, dependendo do caso, aviso de consentimento. Já a nível interno é para que no dia a dia a cultura da proteção de dados seja alimentada através de avisos, políticas para funcionários, gestores, parceiros comerciais, etc.

Passo 5 – Implementação de procedimento de solicitação dos titulares de dados

Uma das principais mudanças que a LGPD trouxe é a regulamentação de que os dados coletados, tratados, armazenados, compartilhados não pertencem às empresas, mas sim as pessoas físicas. Quem é o titular (dono) dos dados são as pessoas físicas. O nome, CPF, biometria é da Ana, do Pedro, João, assim como suas preferências, buscas na internet que são utilizadas para criar um perfil digital, e por consequência, a Lei garante direitos aos donos das informações. Os clientes e consumidores poderão entrar em contato com a empresa e solicitar: acesso aos dados coletados, retificação, correção, portabilidade, dentre outros direitos que estão descritos no artigo 18 da lei, sendo que, as empresas terão o prazo de 15 dias para responder as solicitações atendendo ao descrito no artigo 19 e seguintes. Como isso será feito? A empresa precisará criar um um canal de solicitação dos consumidores.

Passo 6 – Atualização de contratos

A etapa 6 da implementação completa da LGPD é momento de verificar todos os contratos ativos que a empresa possui e inserir as cláusulas de acordo com a Lei. Pode parecer que é algo simples, porém cada contrato vai precisar de uma análise específica, porque aqui entram os personagens da LGPD que são o controlador e o operador. Logo, a adequação dos contratos deve verificar as particularidades do negócio, um contrato entre controlador e operador vai conter cláusulas diferentes do contratado de prestação de serviços, do contrato com os funcionários e colaboradores. Portanto, necessário compreender quais os direitos e responsabilidades da empresa mediante sua atuação no tópico proteção de dados.

Passo 7 – Avaliação de Impacto na proteção de dados

Avaliação de Impacto de Proteção de Dados, tem como objetivo medir o risco que a empresa possui ao realizar determinada operação envolvendo dados pessoais e como entregável a empresa terá em mãos um relatório de impacto. Imagine que a empresa queira substituir onde os dados são armazenados, ou substituir algum sistema interno no setor de vendas que atua diretamente com dados de pessoas físicas. Antes de simplesmente implantar esse sistema ou realizar a alteração do banco de dados para outro local, é importante realizar a avaliação de impacto para mitigar os riscos e verificar a viabilidade do projeto. A avaliação traz benefícios como:

• Melhorar a prestação de serviços.• Melhorar a qualidade dos dados.• Melhorar a tomada de decisão.• Aumentar a conscientização sobre privacidade em uma organização.• Reforçar a confiança dos titulares dos dados na forma como os dados pessoais são processados e a privacidade é respeitada.• Impede mudanças com gastos financeiros desnecessários ante o risco envolvido.

Passo 8 – Transferências internacionais de dados

A empresa utiliza o aplicativo WhatsApp para se comunicar com clientes? Utiliza algum sistema online ou armazena ou faz backup em nuvem? Se a resposta for sim para uma ou todas as perguntas acima, a empresa realiza transferência internacional de dados. Agora com a LGPD isso tornou-se proibido? O artigo 33 da Lei elenca as hipóteses que pode ocorrer a transferência internacional, tendo como uma possibilidade que os países onde se destinam os dados tenha grau de proteção adequado. Ou seja, sem a LGPD o Brasil não conseguiria responder essa exigência. Por isso que a lei veio principalmente de uma necessidade internacional. A análise de transferência internacional ocorre com preenchimento de documento com objetivo de resguardar e proteger as informações compartilhadas.

Passo 9 – Gerenciamento de violação de dados pessoais

Não consegue acessar o banco de dados da empresa? Os dados foram vazados, e agora? O passo 9 da implementação é gerenciamento de violação de dados pessoais que é quando ocorre um dos exemplos que citei ou qualquer incidente que envolva violação de dados pessoais, como por exemplo, contabilidade teve banco de dados vazado, troca de informações confidenciais em uma conversa na empresa com funcionário que não deveria ter acesso e ele gravou a conversa, dentre outros inúmeros exemplos do cotidiano das empresas que estão ligadas a violação de dados pessoais e que podem passar despercebidos, ocasionando prejuízos para a empresa envolvendo sua reputação perante o mercado.

A questão não é somente sobre prevenir para que nenhuma das hipóteses citadas aconteça. Trata-se de tomar medidas que buscam evita-las, quais ações precisam ser tomadas de maneira rápida, eficaz e que cause menor impacto possível na empresa. Quando eu falo de impacto, estou falando de credibilidade no mercado, confiança com quem se relaciona com sua empresa. Mas, principalmente clientes, funcionários, parceiros e, também, impactos financeiros.

Passo 10 – Confecção/Revisão de políticas de Segurança da Informação

Para todo esforço, engajamento da empresa e da equipe valer, agora é momento de consolidar na empresa a cultura da proteção de dados e privacidade. Engenharia social é um dos pontos de maior vulnerabilidade. Quando falamos de engenharia social, falamos de pessoas. Aquele funcionário que recebe um e-mail e clica no link que é um vírus. Ou ainda aquela conversa estritamente confidencial em um café, ou aquele wi-fi grátis, reuniões on-line em locais públicos, não aplicar política de mesa limpa e vários outros exemplos que precisam de conscientização e constante manutenção.

Passo 11 – Revisão e fechamento do Projeto

Linha de chegada cruzada com sucesso. Parabéns! Momento de encerrar merece uma celebração, afinal a dedicação de todos contou muito para finalização.

Vale rever os passos, analisar o ponto de partida e aonde a empresa está agora e, aproveitar para criar estratégias de manutenção do projeto.

EXIGÊNCIA DO ENCARREGADO DE DADOS (DPO)

Toda empresa deverá indicar um Encarregado de Dados ou DPO, que será responsável por implantar a cultura de proteção de dados pessoais na organização. Além disso, ele vai servir de elo entre o controlador, a Autoridade Nacional de Proteção de Dados, os titulares de dados, dentre outras funções.

A nomeação do encarregado é essencial para empresa demonstrar conformidade com a Lei. Este profissional precisa ser qualificado para atender as necessidades da empresa e do mercado garantindo segurança para o negócio. A nomeação pode ocorrer em qualquer etapa, no entanto, a orientação que seja logo no início para que o encarregado/DPO possa fazer seu trabalho de maneira efetiva, transparente e independente.

Minha pergunta é: A sua empresa está buscando entender mais sobre a LGPD e como se adequar?

Posts Relacionados