21 de outubro de 2019

A elaboração de um projeto de compliance é uma urgência para negócios que desejam operar em conformidade com a lei quando ela entrar em vigor, em agosto de 2020. Mais do que isso: é uma necessidade para se manterem idôneas no mercado.

Não é tarefa fácil, porém, reestruturar os processos da empresa para assegurar que todos operem seguindo os requisitos da LGPD. As nuances são muitas e os desafios, diversos. 

Conhecendo os percalços, o time de compliance da Compugraf, formado por especialistas em proteção de dados, estruturou um passo a passo comentado, que tem como objetivo auxiliar empresas na construção de um programa de conformidade que cumpra tanto com as necessidades da empresa quanto com os requisitos da lei.

Ele faz parte do Ebook Guia de Implementação da LGPD: Passo a Passo Para Adequar Sua Empresa, no qual você entende melhor as implicações da LGPD – da teoria à prática -, para adequar sua empresa à lei.

É só clicar neste link para fazer o download do Guia. Não deixe de conferir!


Como estar em compliance com a LGPD: passo a passo para adequar sua empresa 

Passo 1: Montar um comitê de compliance

O time Jurídico, o time de TI, o time Comercial, o time de RH, o time de Marketing, o time de Vendas, o time Financeiro, enfim, qualquer um que lide com dados, seja online ou offline, será afetado pela LGPD. 

De forma geral, a lei determina que os fluxos de operação de dados deverão ser mais cuidadosos e transparentes. Mas como garantir a proliferação de um comportamento que priorize a segurança e a privacidade por todos na empresa?

O primeiro passo é montar um comitê de compliance com profissionais especializados tanto nos aspectos jurídicos quanto nos diversos setores da empresa que serão afetados pela lei. Ele será responsável pelas avaliações de risco e definição de códigos de conduta conforme as diretrizes da LGPD. 

Seu trabalho, basicamente, é garantir que a empresa esteja operando dentro dos requisitos legais e de modo a atender os princípios impostos pela lei. Logo, a formação do comitê é imprescindível para que os próximos passos sejam permeados em conformidade com a LGPD.

Passo 2: Definir o Encarregado (DPO)

Com a implantação da Lei Geral de Proteção de Dados, entra em cena um novo profissional: o Data Protection Officer (DPO). 

Pela lei, ele é a pessoa física que representa o Encarregado – o intermediador entre os titulares dos dados, as empresas e a fiscalização. “Importado” da General Data Protection Regulation (GDPR), a ocupação é novidade para a grande maioria das empresas brasileiras. 

De acordo com o comitê de compliance da Compugraf:

“A partir do momento que a empresa está com o comitê formado, pode-se, desde já, nomear o Encarregado: o DPO (Data Protection Officer).”

Esse profissional vai exercer diversas funções que muitas vezes não são desenvolvidas com uma única área de conhecimento. Portanto, o ideal é que ele seja alguém que possua uma boa formação interdisciplinar.

Conforme a previsão legal, as atividades do DPO são:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.

Ou seja: o DPO é a pessoa responsável por comandar as atividades de proteção de dados dentro da empresa e estar ciente e totalmente integrado com todas e quaisquer informações que tratem os dados pessoais.

Contudo, na prática, é cedo para definir totalmente suas atividades, uma vez que a ANPD ainda não foi formada. 

“É importante ressaltar que a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do Encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”, atenta o comitê de compliance da Compugraf.

Mas, em empresas maiores, muito provavelmente ele será indispensável. 

No caso de pessoa jurídica, é possível terceirizar a missão do para um escritório especializado em Direito Digital, por exemplo, que será nomeado como Encarregado.

ATENÇÃO! 

De acordo com a Lei, a identidade e as informações de contato do Encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no website do Controlador. 

Passo 3: Avaliar os gaps da empresa em relação à privacidade de dados

Com o comitê formado e o Encarregado nomeado, é hora de olhar criticamente para a empresa e dar o primeiro passo em sua Jornada da LGPD. 

“A primeira atividade do comitê deve ser elencar e rever todos os processos da empresa, para que possam ser detectados os dados pessoais que estão sendo tratados e onde sua ocorrência está prevista”, sugere o comitê de compliance da Compugraf.

Com uma ferramenta de data mapping, é possível elaborar os questionários necessários para as áreas da empresa, a fim de se conseguir uma “fotografia” de sua operação.

De acordo com Aparecido Anastácio, Product Engineer da Compugraf, algumas perguntas fundamentais para o questionário são:

  • Qual o volume de dados tratados?
  • Que tipos de dados estão sendo tratados?
  • Quem é o responsável pelos dados?
  • Por que os dados foram coletados?
  • Qual a razão legal para continuidade do tratamento dos dados?
  • Até quando os dados ficarão na base da empresa?

É importante usar o bom senso para fazer perguntas criteriosas e objetivas, a fim de se obter um apanhado preciso do atual estado da empresa em relação à LGPD.

Assim, já se inicia o processo de averiguação dos dados e a empresa começa a rever o que deve manter, por qual finalidade e base legal e por quanto tempo.

Passo 4: Adequar os processos para que estejam em compliance com a LGPD

O tratamento dos dados pessoais somente poderá ser realizado nas hipóteses previstas pelo artigo 7º da Lei: 

 

  1. Mediante fornecimento de consentimento do titular
  2. Para cumprimento de obrigação legal ou regulatória pelo Controlador
  3. Pela administração pública, para tratamento e uso compartilhado de dados necessários à execução de políticas públicas
  4. Para estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais
  5. Quando necessário para execução de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados
  6. Para exercício regular de direitos em processo judicial, administrativo ou arbitral
  7. Para proteção da vida ou da incolumidade física do titular ou terceiro
  8. Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária
  9. Quando necessário atender interesses legítimos do Controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam proteção dos dados pessoais
  10. Para proteção do crédito

Ao rever os processos de cada área na empresa, é importante embasar corretamente os dados, uma vez que o tratamento deve estar fundamentado nos itens acima. 

“A partir do momento que a empresa for utilizar a coleta de algum dado pessoal, deve se ter em mente o ‘privacy by design’ – ou seja – a privacidade deve ser um pilar exercido desde a concepção de cada produto/serviço”, alerta o comitê da Compugraf.

Além da finalidade bem definida e a justificativa pela base legal correta, o ciclo de vida do dado também precisa estar claramente definido. 

E o tratamento de dados não estruturados? Como fazer?

Os dados não estruturados representam um grande desafio na jornada da LGPD, pois 

são gerados a partir fontes diversas – como sites, mídias sociais, imagens digitais, vídeos, PDFs, wearables (tecnologias vestíveis), dentre outras tantas – e estão, muitas vezes, fragmentados em mais de um arquivo e/ou em mais de um local.

“Em geral há grande risco associado a tratamento de dados com base em informações não estruturadas, pois dependem de ações manuais e este tipo de processo tende a incorrer em erros de forma recorrente”, comenta o comitê de compliance da Compugraf.

O mapeamento destes dados se dará por meio de entrevistas e checklists, por exemplo. Existem ferramentas que são capazes de apoiar a descoberta destes dados, mas o resultado muitas vezes é mais demorado e mais complexo do que se espera. 

É muito importante a empresa derivar o risco associado a cada atividade tratada desta forma, pois são processos vulneráveis que podem ser foco de vazamento de dados.

Pode-se fazer uso de ferramentas de DLP para assegurar que esse tipo de informação não seja vazado, mas a implantação desse processo também não é trivial. A recomendação, portanto, é repensar os procedimentos, para que a empresa passe a tratar esses dados de forma estruturada.

Dados não estruturados podem ser considerados dados anonimizados?

Um dado não estruturado não é um dado anonimizado. 

Na verdade, anonimização é um processo pelo qual se transforma um dado pessoal em um conjunto de informações que não permite a identificação de uma pessoa. Logo, a anonimização de dados não estruturados é muito desafiadora, pois o dado pode estar disposto de forma que a ferramenta não o identifique, acarretando em uma anonimização parcial – ou seja, a informação vai continuar sendo pessoal. 

“Também é importante ressaltar que dado criptografado não é um dado anonimizado”, alerta o comitê da Compugraf.

Estes casos devem ser tratados com excepcional cautela, uma vez que representam focos de vulnerabilidade.

Como operar os sistemas da empresa em compliance com a LGPD?

Recursos em nuvem, ERPs, CRMs, aplicativos – são muitas as soluções que os colaboradores utilizam diariamente e que, em maior ou menor escala, armazenam dados. Também eles devem ser esquadrinhados.

“Em todos os sistema que uma empresa utiliza, será necessário identificar quais atividades de tratamento de dados tais ferramentas apoiam e depois verificar, normalmente, por meio de assessments, qual a base legal pertinente, tempo de retenção dos dados, medidas de segurança, dados pessoais envolvidos, dentre outros”, elucida o comitê de compliance da Compugraf. 

Vale contar com o apoio de um sistema de gerenciamento de privacidade de dados para facilitar o trabalho, uma vez que será preciso realizar um inventário da empresa para que se possa identificar como cada atividade de tratamento de dados é realizada, quais sistemas apoiam tais atividades, quais parceiros e fornecedores participam delas, elencar os riscos associados e, finalmente, definir um ou mais planos de ação para adequar a atividade de tratamento. 

Passo 5: Fazer a manutenção da proteção dos dados

“O compliance não é obrigação de uma área da empresa. É uma obrigação da empresa inteira.” – José Aparecido Anastácio, Product Engineer da Compugraf

Para o pleno andamento do projeto de conformidade, será necessário avaliar do ponto de vista de segurança, do ponto de vista de infra-estrutura e do ponto de vista de sistemas quais medidas deverão ser tomadas para atender às recomendações legais. 

Permeando as ações, estarão sempre as recomendações do jurídico, cujo principal papel é avaliar se as atividades de tratamento de dados estão respeitando os princípios da LGPD. 

“A participação de uma equipe multidisciplinar no projeto é fundamental para que seja possível observar de vários pontos de vista cada item requerido pela lei. Assim, as soluções tendem a serem mais eficazes”, orienta o comitê de compliance da Compugraf. 

É um esforço coletivo. Mais do que um compromisso, a proteção dos dados deve ser um novo valor para as empresas, respeitado e promovido por todos.

Para ter acesso ao Guia de Implementação da LGPD, basta clicar neste link ou na imagem abaixo. Boa leitura!

guia-de-implementacao-da-lgpd-compugraf

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?