Se existe um tema que tem ocupado a mente da maioria dos empresários brasileiros, além da situação econômica do País, é a Lei Geral de Proteção de Dados Pessoais (LGPD), que entrará em vigor a partir de agosto do ano que vem. Se na teoria ela veio para tornar mais transparente a relação das empresas com seus clientes, na prática é vista como uma missão quase impossível. Isso por que estar em conformidade com todos os requisitos exige um nível de conhecimento dos processos internos e das mais variadas fontes de dados que a empresa possui que vão além dos controles manuais e das planilhas no Excel.
A boa notícia é que ainda dá tempo de se adequar à lei. Para ajudar a vislumbrar um horizonte em meio a tantas discussões, reuni neste artigo o que eu considero serem os 10 principais passos para trilhar esta jornada da LGPD. São eles:
Antes de continuar, saiba tudo que você precisa saber sobre a LGPD
1. Mapeamento dos dados pessoais, riscos de vazamento e forma de mitigação
Nesta etapa a área de TI terá papel fundamental para reunir todas as fontes de dados que a empresa possui. Sejam eles dados de clientes, como é o caso das instituições financeiras, e também dos próprios funcionários. Esse mapeamento tem como objetivo identificar os potenciais riscos de vazamento e traçar as melhores estratégias para preservar esse banco de informações.
2. Adaptar os documentos de comunicação com os clientes internos e externos
Todos os documentos oficiais da empresa deverão atender às normas da nova legislação. Neste sentido, o departamento jurídico irá conduzir a revisão de todos os contratos e outros documentos (impressos e digitais) para a realização de uma atualização e padronização.
3. Criar a política de proteção de dados para que a empresa tenha transparência de suas responsabilidades
Não tem segredo, para que as boas práticas sejam conhecidas por todos, a empresa precisa reunir em um manual todas as diretrizes que deverão ser seguidas com informações e passo a passo para a tratativa dos dados pessoais que incluem o atendimento ao cliente.
4. Criação da Área de governança responsável por verificação da proteção dos dados com a indicação de um DPO com conhecimento jurídico e regulatório
O profissional que irá conduzir todo o processo de implementação da LGPD é chamado de DPO (do inglês Data Protection Officer), mas é importante que a empresa se conscientize da complexidade dessa tarefa e crie um grupo de apoio que pode ser um comitê ou área específica para as discussões do dia a dia durante esse processo.
5. Processo de validação das bases legais aos dados pessoais tratáveis
Tendo mapeada todas as fontes de dados pessoais que a empresa possui, é chegada a hora de validar as bases legais para cada tratativa dessas informações. Essa validação é uma forma da empresa explicar ao governo o motivo de manter os dados e para qual finalidade cada um deles é usado. Vale lembrar que existem muitas formas de validação legal e não apenas o “consentimento ou autorização” que é quando a empresa pergunta ao cliente se ele autoriza usar os dados para determinada finalidade.
6. Criar um processo para gerenciamento dos pedidos dos titulares e dos órgãos reguladores
Nesta etapa é fundamental detalhar o procedimento padrão para os pedidos dos clientes ou dos órgãos reguladores que podem fiscalizar a empresa a qualquer momento e questionar os diversos aspectos legais da LGPD.
7. Treinamento das equipes internas que gerenciam os dados pessoais (internos e externos)
O treinamento dos funcionários é uma etapa muito importante que garante, entre outras coisas, um alinhamento das equipes de trabalho que lidam com os dados pessoais, sejam eles de clientes ou dos próprios funcionários, como é o caso da área de Recursos Humanos, por exemplo.
8. Elaboração de um plano de segurança da informação que tenha como foco proteção dos dados pessoais
Esse passo visa proteger a empresa de futuros problemas com o tratamento desses dados. É recomendável que todas as planilhas sejam automatizadas para facilitar a pesquisa às fontes de informações.
9. Exigir o compliance da proteção de dados de seus fornecedores e parceiros
Não adianta praticar todos os passos anteriores se seus parceiros e fornecedores não estiverem de acordo com a lei. E mesmo que você não lide diretamente com os clientes finais, as empresas pelas quais você presta determinado serviço já estão de olho nesta cláusula contratual.
10. Concepção de novos produtos com o princípio de privacidade de dados — Privacy by design
Com todos os documentos mapeados, fontes de dados seguras e bases legais escolhidas, agora é caminhar para frente. Inclua o tema da privacidade de dados durante o desenvolvimento de novos produtos e serviços para que a LGPD faça parte da cultura organizacional da sua empresa.
E você, já está “surfando” na onda da LGPD? Compartilhe conosco como está o processo de implantação na sua empresa.
1 Comentários
Pingback: LGPD: está com dificuldades no projeto de adequação? Aqui está a provável razão – Neotel Segurança Digital