9 passos para a sua empresas se adaptar à lei de proteção de dados

A Lei Geral de Proteção de Dados vai mudar a rotina da sua empresa. Mas como se adaptar a essa legislação? Separamos 9 dicas de como se preparar para a LGPD

Por: - 5 meses atrás

Crédito: Unsplash

A Lei Geral de Proteção de Dados (LGPD) entra em vigor apenas em agosto de 2020, mas ela está dando o que falar dentro do ambiente corporativo. Em linhas gerais, o objetivo da nova legislação é aumentar a privacidade e também o controle dos dados pessoais em benefício dos seus verdadeiros proprietários – se o assunto for a relação de consumo, o dono é o consumidor.

Dani Dilkin, Associate Managing Director da Kroll (empresa de gestão de riscos e investigações antifraude e anticorrupção) e responsável pela área de Cyber para a América Latina, produziu 9 dicas importantes para que as empresas se adaptem à LGPD. Veja:

Entenda a lei

É preciso entender como a LGPD vai afetar a sua empresa. O tamanho, por exemplo, pode ser um fator de variação da complexidade de compliance com a lei. No caso de uma empresa de grande porte, com bastante relevância no mercado, um ano e meio para fazer as adequações é, na verdade, um espaço de tempo bastante curto. Um trimestre perdido no processo de adaptação, por exemplo, pode fazer falta quando a lei entrar em vigor. Desta forma, o período de adaptação deve começar imediatamente. O desafio para se adequar é, em alguns aspectos, menor para empresas de pequeno porte. No entanto, é necessário ressaltar que a LGPD se aplica de maneira igual para empresas pequenas e grandes.

Nomeie um DPO

Guarde esse nome: DPO ou Data Protection Officer. Ele será o responsável legal pelos dados e será crucial para as empresas. A função do DPO é responder pela proteção de dados pessoais de uma empresa, principalmente caso ocorra um vazamento de dados. Esse profissional precisa estar integrado ao processo desde o mapeamento, acompanhamento e até exercendo influência sobre o processo de tratamento de dados.

Peça a ajuda de um terceiro

É difícil perceber todas as mudanças necessárias na estrutura da empresa apenas com o olhar interno. Por isso, o ajuste se torna mais efetivo com o acompanhamento de assessorias jurídicas e de proteção de dados, pois ambas se complementam.

Crie  elos dentro da empresa

É preciso criar alianças entre as diversas áreas da empresa. É preciso que a empresa tenha a seguinte consciência: buscar a conformidade com a lei não será um ofício apenas das áreas de segurança, jurídica e de TI. Isso é um esforço de toda a empresa no sentido de adequar o seu processo de negócio, integrando inclusive a participação da alta administração e também da área comercial. A criação de um olhar multifacetado para essas mudanças pode contribuir no aprimoramento dos projetos de proteção de dados.

Mapeamento dos dados

Com a análise dos processos de tratamento de dados, a distinção da relevância dos dados e localização do banco onde eles se concentram, é possível esquematizar como se dará a otimização do gerenciamento dessas informações. A partir deste mapeamento, torna-se possível entender, na especificidade de cada processo de negócio, quais informações precisarão ser tratadas. Dessa forma, é possível trabalhar com a menor quantidade de dados possível, utilizando apenas a informação necessária.

Avaliação de impacto e risco

Avalie o impacto e o risco à privacidade associados aos dados. Juntamente com o mapeamento da jornada de tratamento de dados, dar prioridade para determinados bancos de dados devido a seu impacto é uma opção para preservar informações importantes, que possuem maior urgência para serem analisadas e protegidas.

Planejar os ajustes necessários

Ajustes de contratos e de sistemas, mudanças nos processos, eliminação de dados, revisão de quem pode acessar ou não, capacidade de monitoração e de resposta são algumas das principais medidas.

Utilizar referências europeias na proteção de dados

A GDPR (lei europeia de proteção de dados) foi criada em 2016 e já está em vigor desde maio de 2018. No Velho Continente, há uma maior maturidade para lidar com os requisitos da lei e, portanto, um conjunto de documentos que clarificam objetivos e controles associados à lei.

Documentar adequadamente o tratamento de dados pessoais

É preciso documentar e manter atualizada a lista dos processos de negócio que tratam dados pessoais. E não apenas isso. É preciso ainda justificar o tratamento dessas informações, inventariar ativos e fluxo de dados, entre outras ações. Documentações e processos maduros são primordiais para cumprir a lei de maneira sustentável.