Como a empresa deve se preparar para a conformidade?
Com a LGPD vigente desde 18 de setembro de 2020, a maneira como as empresas tratam a privacidade e a segurança das informações de usuários e clientes começa a ser encarada de outra forma, indo além das boas práticas que se espera ter.
A lei prevê a utilização de medidas técnicas e administrativas que estejam aptas a proteger os dados coletados das pessoas físicas (clientes, funcionários, colaboradores, fornecedores etc.), tornando necessária a existência de uma governança de dados, que inclui:
– A identificação de onde os dados são coletados;
– Qual o fluxo de tratamento (o caminho que os dados irão percorrer dentro da empresa); e
– Como são classificados.
Com o monitoramento e o gerenciamento do uso e do ciclo de vida dos dados, a empresa começa a se proteger de possíveis incidentes ou os famosos “vazamentos” indevidos.
Estruturação em termos de segurança da informação para se adequar à LGPD
Para garantir a adequação à legislação, é importante que as empresas avaliem a conveniência de estruturar desde já um grupo de trabalho multidisciplinar, composto por representantes de todas as linhas de negócios da companhia, sempre com o suporte do Jurídico, de Compliance e da área de Segurança da Informação.
Neste sentido, alguns pilares serão levados em consideração, em especial quatro:
1. Identificação do fluxo dos dados;
2. Gerenciamento dos dados;
3. Proteção dos dados;
4. Monitoramento dos dados.
Para cada um desses pontos será preciso buscar soluções e processos com o objetivo de adequá-los ao que diz a lei.
No pilar da proteção, por exemplo, é importante identificar a classificação dos dados, se é pessoal ou sensível (que são aqueles dados que merecem aquele cuidado especial) e a necessidade de realizar backup´s para a nuvem.
Já no pilar do gerenciamento, é importante garantir que as políticas de acesso e administração dos cookies dos sites e aplicativos da empresa estão adequadas a legislação, visto que, com a vigência da LGPD, tornou-se obrigatório questionar ao o usuário se os cookies podem ser gravados ou não durante e após sua visita ao site ou aplicativo.
Identificação dos pontos em que a empresa está mais exposta
Como primeiro passo, por meio de testes de vulnerabilidades nos sistemas da empresa, podemos ter a identificação de lacunas (gaps), riscos e ameaças existentes no ambiente empresarial, tornando possível a minimização das fragilidades no ambiente, visando alcançar a maturidade desejada pela lei de privacidade.
Definição dos responsáveis na empresa pelo processo de adequação
Para garantir que correrá tudo conforme o esperado, é importante definir internamente quem (ou qual área) será encarregada do trâmite para a adequação dos processos e procedimentos, assim como para conduzir programas de conscientização sobre a LGPD na organização.
Será necessário que o responsável por essa tarefa de implementação esteja atento quanto à necessidade de estabelecer os controles e estruturação de processos de governança e políticas internas de proteção de dados, compondo o que podemos chamar de uma “força tarefa” para implementar e manter a proteção de dados em de acordo com a LGPD.
Ciclo de vida sustentável das informações
É de extrema importância manter a recorrência das atividades que garantem o que podemos denominar como o “um ciclo de vida sustentável” das informações que dizem respeito aos dados pessoais coletados e tratados.
Assim, a empresa precisa ter um processo de gestão continua, com o objetivo de garantir que os processos de tratamento de dados e de segurança das informações sejam mantidos de forma adequada. Isso engloba também a gestão das vulnerabilidades, que inclui a visão das ameaças e fragilidades do ambiente tecnológico da empresa com a rigorosa gestão de identidades dos usuários e dos acessos aos sistemas.
Veja também: o que muda no Marketing com a LGPD?
Para garantir a segurança dos dados, é fundamental que se entenda e que se tenha claro o ciclo de vida da informação e desenvolver uma cultura organizacional que mantenha a empresa em conformidade. Assim, contemplar um fluxo de melhora contínua é, a partir de agora, a melhor estratégia para que, após adotados os programas de segurança, eles permaneçam em compliance com a lei.
Acredite, implementar e manter a cultura do “ciclo de vida sustentável das informações” é a forma mais segura de mitigar as sanções judiciais, administrativas e, melhore mais importante, manter o cliente satisfeito e confiante na sua empresa.
Inclua nos valores da sua empresa a proteção dos dados pessoais!
Cândida Diana Terra
Advogada e Sócia Titular do Terra Sarmento Rocha Advogados.
Especialista em Direito Empresarial pela Universidade Cândido Mendes
Presidente da Comissão de Direito Digital da OAB Niterói.
Membro do Comissão de Proteção de Dados e Privacidade da OAB/RJ
Conselheira Efetiva da Seccional da OAB/RJ.
Membro da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD)
Fernanda Couzzi Velasco
Advogada associada ao Terra Sarmento Rocha Advogados
Atuante na área de Direito Digital, com ênfase em Privacidade e Proteção de Dados Pessoais e LGPD
Pós-graduada em Direito Processual Civil pela Universidade Cândido Mendes/RJ
Master of Laws (LL.M) em Direito: Inovação e Tecnologia pela FGV/RJ
Membro da Comissão de Proteção de Dados e Privacidade da OAB/RJ,
Membro da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD)
