Uma cultura de privacidade de dados corporativos é essencial para organizar e assegurar os dados de uma empresa, mas você sabe como implementar uma?
Faltam poucos dias para que a LGPD entre em vigor, mas muitas pessoas ainda podem ter dúvidas sobre como tudo irá funcionar daqui pra frente.
Em um artigo anterior, a gente já te falou tudo sobre a Lei Geral de Proteção de Dados, então vale a pena conferir caso ainda restem dúvidas sobre o que é e por que a lei existe.
Falar sobre cultura de privacidade de dados sempre foi importante, pois somente quando existe uma que as empresas estão realmente seguras e atentas ao tipo de dados que circulam em suas redes.
Mas com a chegada da LGPD, isso tornou-se essencial, e para ajudar você a implementar a cultura em sua empresa, preparamos este artigo.
Pré-vigência da LGPD
Este artigo faz parte de uma série especial que coletamos de nossos arquivos para trazer pra você as informações mais relevantes no pré-lançamento da Lei Geral de Proteção de Dados.
Você pode se interessar também:
- Como entender a jornada da LGPD
- ANPD: Como funcionará a gestão da LGPD
- LGPD e os primeiros passos para entrar em compliance
- Como criar uma cultura de privacidade de dados corporativos <- Você está aqui agora
- Como funcionará o tratamento de dados com a LGPD? Disponível em 14/08
Um guia de implementação da LGPD
Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.
Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.
Cultura de Privacidade de Dados
O time de TI, o time Comercial, o time de RH, o time de Marketing, o time de Vendas, o time Financeiro, enfim, qualquer um que lide com dados, seja online ou offline, será afetado pela Lei Geral de Proteção de Dados, a LGPD.
De forma geral, isso significa que os fluxos de operação de dados deverão ser mais cuidadosos e transparentes. Mas como garantir a proliferação de um comportamento que priorize a segurança e a privacidade por todos na empresa?
Especialistas defendem o desenvolvimento de um “ecossistema da privacidade”, onde todos os setores que atuam com dados estão plenamente conscientes das orientações da lei.
Para isso, é fundamental a criação de um comitê multidisciplinar de compliance, composto por membros de diferentes setores, bem como treinamentos constantes das equipes para que todos ajam em conformidade.
Encabeçando o projeto de compliance, está o Encarregado, cuja missão é garantir que os fluxos de operação de dados sejam mais cuidadosos e transparentes, de acordo com a lei.
Mas quem é, exatamente, esse profissional?
É uma das respostas que você encontrará por aqui.
O nascimento do DPO na Cultura de Privacidade de Dados
Com a implantação da Lei Geral de Proteção de Dados, entra em cena um novo profissional: o Data Protection Officer (DPO).
Pela lei, ele é o encarregado – o intermediador entre os titulares dos dados, as empresas e a fiscalização. “Importado” da General Data Protection Regulation (GDPR), a ocupação é novidade para a grande maioria das empresas e pode gerar alguma confusão na hora de criar um projeto de compliance.
Acontece que, de acordo com a LGPD, é obrigatório ter um encarregado, mas não é obrigatório que ele seja um DPO (qualificado).
Porém, o profissional que melhor se enquadra no que se exige de um encarregado, considerando os exemplos lá de fora, é o DPO.
Complicado? Pois é. Mas vamos simplificar.
Basicamente, é preciso contar com um profissional designado para administrar todo o fluxo de informações, da coleta e tratamento à exclusão dos dados ao fim da operação ou quando solicitado pelo titular.
Assim, podemos resumir suas funções nos seguintes itens:
- Administrar o fluxo de dados;
- Orientar funcionários;
- Fazer a conexão entre a organização e a ANPD;
- Fiscalizar as práticas da organização.
Esse profissional deve possuir autonomia o suficiente, pois irá exercer diversas funções que muitas vezes não são desenvolvidas com uma única área de conhecimento. Portanto, o ideal é que ele seja alguém que possua uma boa formação interdisciplinar.
Ele deverá ter ao menos as seguintes características.
- Conhecimento das novas legislações;
- Conhecimento de governança e base de dados pessoais;
- Conhecimento sobre segurança da informação;
- Habilidade de posicionamento perante a ANPD e os titulares da base de dados;
- Habilidade de fiscalização;
- Habilidade em tomar decisões diante de situações de risco;
- Habilidade no treinamento de funcionários.
A LGPD determina que o controlador – neste caso, a organização – deve indicar um encarregado. Empresas maiores, que seguem modelos internacionais, geralmente encontram em um membro do seu corpo jurídico o profissional mais adequado e já contam com o profissional em plena atuação, sob o título de DPO mesmo. É altamente provável que esse modelo seja replicado para a maioria dos casos.
Mas, para quem tudo é novidade, a complicação é um pouco maior. O DPO, ou o encarregado, não possui uma formação específica elucidada pela lei e, no país, o perfil ainda está em formação. Além disso, é uma função de extrema responsabilidade e nem sempre os profissionais mais indicados vão se sentir confortáveis para assumir esse compromisso.
Alguns perfis têm se destacado no mercado como os mais preparados para assumir a função. Geralmente, eles têm:
- Formação em riscos
- Formação em compliance
- Formação em tecnologia e segurança
Na eventualidade de não haver, na empresa, alguém adequado ao cargo de DPO, mas sendo o encarregado uma função obrigatória para a conformidade com a lei, o serviço pode ser terceirizado para uma consultoria.
Os formatos e modelos ainda serão definidos pelo mercado, porém já existem escritórios de advocacia especializados em direito digital, por exemplo, prestando esse tipo de serviço.
Qual o envolvimento da TI no projeto de cultura de privacidade de dados?
A equipe de Tecnologia da Informação terá um papel fundamental no projeto de compliance, sendo a responsável pela implementação prática da LGPD. Ela vai cuidar da implantação e adequação de sistemas em compliance com a lei, do desenvolvimento dos fluxos de operação e, sobretudo, da segurança dos dados nos ambientes digitais.
Sendo assim, o ideal é que seja fornecido um treinamento em LGPD à equipe de TI, facilitando o alinhamento do setor com a visão do compliance.
Mas qual é o setor da empresa responsável por gerir a LGPD? A TI, o jurídico ou outros?
Tanto o jurídico quanto a TI tem forte tendência a assumir grandes responsabilidades, mas o ideal é que o compliance não se limite a nenhum dos dois. É preciso criar uma Cultura da Privacidade, unindo gestores de variados setores da empresa em um comitê multidisciplinar de conformidade.
O comitê não é obrigatório, no texto da lei, mas pode ser muito mais benéfico para as organizações, uma vez que facilita o alinhamento das equipes em prol de um bem comum.
Jurídico, Governança, TI, Financeiro, Marketing, RH – é importantes que os principais afetados pela lei participem das reuniões de compliance, a fim de que todos sigam sempre pelo mesmo caminho quando o tema for proteção de dados.
Desse modo, evita-se que o time de Marketing e RH, por exemplo, tome decisões que não sigam as orientações do Jurídico – como a utilização de um sistema que não esteja em compliance com a LGPD – o que poderia, futuramente, dificultar o trabalho da TI e do Financeiro, dentre outros cenários prejudiciais à empresa como um todo.
Contudo, para todos os casos teremos o encarregado encabeçando o comitê, seja ele um DPO ou não (verificar tópico anterior), que vai representar a empresa se e quando houver a necessidade de prestar contas para a fiscalização.
A Compugraf te ajuda a colocar a empresa em compliance
Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para o compliance da LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.