No dia 18 de setembro de 2020, a LGPD – Lei Geral de Proteção de Dados – foi sancionada após aproximadamente dois anos de sua aprovação, entrando enfim em vigor no Brasil. Com a sanção, empresas de todos os portes estão “correndo” para ficarem em conformidade com a lei, pois embora as aplicações das sanções previstas tenham sido postergadas para agosto de 2021, as organizações precisam estar preparadas para o atender às novas exigências. A partir deste novo cenário, será necessário avaliar cada processo – interno ou de áreas de negócio – que contenha dados pessoais, bem como cada hipótese de tratamento. O manuseio das informações e sua manutenção farão parte da rotina de todas as instituições.
Seguindo as regras da LGPD
Para identificar se sua empresa está ou não dentro das conformidades exigidas pela LGPD é importante entender, primeiramente, quais tipos de dados são considerados pela lei. Tratam-se de todas as informações capazes de identificar uma pessoa física. A lei regulamenta o uso, a proteção e a transferência de dados, definindo regras para segurança, transparência, confidencialidade, privacidade e proteção das informações pessoais na coleta, armazenamento e tratamento desses dados. São considerados dados pessoais qualquer informação que identifique o indivíduo em particular, obtidos em qualquer tipo de suporte (papel, eletrônico, biométrico, entre outros).
O principal papel da LGPD é tratar de acessos indevidos a dados sensíveis e oferecer a devida proteção a essas informações, bem como nortear sobre penas previstas sob o vazamento desses dados. Processos que envolvem gestão dos bancos de dados, arquivos de rede, recepção de dados via integração em sistemas e todos os diversos cenários que podem compor a realidade da área de tecnologia precisam ser analisados para que haja um mapeamento dessas informações, seguido da análise de quais dados são necessários e se as hipóteses de tratamento estão cobertas pelos consentimentos que foram solicitados aos titulares. Portanto, toda empresa precisa realizar este mapeamento de dados para não se atrasar em relação à adequação e nem se expor aos riscos da não conformidade.
Além do mapeamento de dados, é importante mapear os processos que envolvam dados pessoais, seguido por uma análise de risco que é executada por meio das informações levantadas. A lei é um programa de proteção de dados e não pode ser vista apenas como um projeto, pois trata-se de um processo contínuo de conformidade, o qual precisa ser revisitado constantemente para o seu bom funcionamento. É por isso que a lei prevê a figura de um DPO (Data Protection Officer), responsável justamente por esta manutenção do programa de proteção de dados.
A importância do DPO para a LGPD
Se uma empresa não sabe por onde começar para adequar-se à LGPD, uma das melhores maneiras de iniciar o processo é nomeando um DPO ou Encarregado, ou seja, elencar uma pessoa internamente na empresa para ser responsável pela proteção de dados, além de um comitê interno para auxiliá-lo em suas funções. O DPO deve ser um especialista em proteção de dados e tem a responsabilidade de monitorar a organização para que esteja sempre em conformidade com as regras e as boas práticas, além de intermediar os interesses do titular dos dados e do controlador (empresa).
Um DPO não precisa necessariamente estar atrelado à área de segurança da informação da instituição, mas precisa conseguir trabalhar livremente, com autonomia para olhar para tudo o que ocorre na empresa, identificando e corrigindo assim as discrepâncias. O DPO é a figura que cuida da proteção da empresa, é ele quem consegue fazer as avaliações de risco e quem vai indicar quais medidas precisam ser tomadas para reduzir ou mitigar, de acordo com a lei, todos os riscos de invasão na parte de tratamento e vazamento de dados.
Já o comitê interno responsável por auxiliar o DPO deve ser formado por representantes de todas as áreas que trabalham com dados dentro da empresa. Juntamente com o Encarregado, o comitê fica incumbido de realizar aquele primeiro mapeamento do fluxo de dados da organização, citado anteriormente. Desta forma, é possível avaliar e rever todos os processos internos da empresa e adequá-los à nova realidade proposta pela LGPD.
LGPD em prática
Por fim, para colocar a LGPD em prática e adequar-se totalmente à nova lei é necessário revisitar todo o processo tecnológico da organização. Na fase de execução do Data Mapping, no qual revelam-se mais detalhes sobre processos humanos e tecnológicos que necessitam de mudanças,é importante investir em tecnologias avançadas, como a Inteligência Artificial, caso a empresa tenha esta possibilidade. Esses recursos tecnológicos são capazes de catalogar as informações e gerar um score sobre a relevância e o risco da informação mapeada, possibilitando na sequência, a criação de planos de ação para adequação e a priorização desses planejamentos com base na análise de riscos.
A Digisystem auxilia as empresas na adequação à LGPD desde 2018, quando a lei foi aprovada. Todos as soluções da Digisystem já foram adaptadas para serem executadas com aderência à lei, sendo não apenas os serviços de proteção de dados. Pelo fato de contarem com diversos clientes multinacionais, a Digisystem já estava habituada a atender às rígidas regulamentações da GDPR – General Data Protection Regulation –, antes mesmo da entrada em vigor da LGPD. Clique aqui e saiba como podemos ser o seu melhor parceiro na jornada de adequação à LGPD!