13 de agosto de 2020

Uma cultura de privacidade de dados corporativos é essencial para organizar e assegurar os dados de uma empresa, mas você sabe como implementar uma?

cultura de privacidade de dados

Faltam poucos dias para que a LGPD entre em vigor, mas muitas pessoas ainda podem ter dúvidas sobre como tudo irá funcionar daqui pra frente.

Em um artigo anterior, a gente já te falou tudo sobre a Lei Geral de Proteção de Dados, então vale a pena conferir caso ainda restem dúvidas sobre o que é e por que a lei existe.

Falar sobre cultura de privacidade de dados sempre foi importante, pois somente quando existe uma que as empresas estão realmente seguras e atentas ao tipo de dados que circulam em suas redes.

Mas com a chegada da LGPD, isso tornou-se essencial, e para ajudar você a implementar a cultura em sua empresa, preparamos este artigo.

Pré-vigência da LGPD

Este artigo faz parte de uma série especial que coletamos de nossos arquivos para trazer pra você as informações mais relevantes no pré-lançamento da Lei Geral de Proteção de Dados.

Você pode se interessar também:

Um guia de implementação da LGPD

Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.

Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.

Cultura de Privacidade de Dados

O time de TI, o time Comercial, o time de RH, o time de Marketing, o time de Vendas, o time Financeiro, enfim, qualquer um que lide com dados, seja online ou offline, será afetado pela Lei Geral de Proteção de Dados, a LGPD.

De forma geral, isso significa que os fluxos de operação de dados deverão ser mais cuidadosos e transparentes. Mas como garantir a proliferação de um comportamento que priorize a segurança e a privacidade por todos na empresa?

Especialistas defendem o desenvolvimento de um “ecossistema da privacidade”, onde todos os setores que atuam com dados estão plenamente conscientes das orientações da lei.

Para isso, é fundamental a criação de um comitê multidisciplinar de compliance, composto por membros de diferentes setores, bem como treinamentos constantes das equipes para que todos ajam em conformidade.

Encabeçando o projeto de compliance, está o Encarregado, cuja missão é garantir que os fluxos de operação de dados sejam mais cuidadosos e transparentes, de acordo com a lei.

Mas quem é, exatamente, esse profissional?

É uma das respostas que você encontrará por aqui.

O nascimento do DPO na Cultura de Privacidade de Dados

Com a implantação da Lei Geral de Proteção de Dados, entra em cena um novo profissional: o Data Protection Officer (DPO).

Pela lei, ele é o encarregado – o intermediador entre os titulares dos dados, as empresas e a fiscalização. “Importado” da General Data Protection Regulation (GDPR), a ocupação é novidade para a grande maioria das empresas e pode gerar alguma confusão na hora de criar um projeto de compliance.

Acontece que, de acordo com a LGPD, é obrigatório ter um encarregado, mas não é obrigatório que ele seja um DPO (qualificado).

Porém, o profissional que melhor se enquadra no que se exige de um encarregado, considerando os exemplos lá de fora, é o DPO.

Complicado? Pois é. Mas vamos simplificar.

Basicamente, é preciso contar com um profissional designado para administrar todo o fluxo de informações, da coleta e tratamento à exclusão dos dados ao fim da operação ou quando solicitado pelo titular.

Assim, podemos resumir suas funções nos seguintes itens:

  • Administrar o fluxo de dados;
  • Orientar funcionários;
  • Fazer a conexão entre a organização e a ANPD;
  • Fiscalizar as práticas da organização.

Esse profissional deve possuir autonomia o suficiente, pois irá exercer diversas funções que muitas vezes não são desenvolvidas com uma única área de conhecimento. Portanto, o ideal é que ele seja alguém que possua uma boa formação interdisciplinar.

Ele deverá ter ao menos as seguintes características.

  • Conhecimento das novas legislações;
  • Conhecimento de governança e base de dados pessoais;
  • Conhecimento sobre segurança da informação;
  • Habilidade de posicionamento perante a ANPD e os titulares da base de dados;
  • Habilidade de fiscalização;
  • Habilidade em tomar decisões diante de situações de risco;
  • Habilidade no treinamento de funcionários.

A LGPD determina que o controlador – neste caso, a organização – deve indicar um encarregado. Empresas maiores, que seguem modelos internacionais, geralmente encontram em um membro do seu corpo jurídico o profissional mais adequado e já contam com o profissional em plena atuação, sob o título de DPO mesmo. É altamente provável que esse modelo seja replicado para a maioria dos casos.

Mas, para quem tudo é novidade, a complicação é um pouco maior. O DPO, ou o encarregado, não possui uma formação específica elucidada pela lei e, no país, o perfil ainda está em formação. Além disso, é uma função de extrema responsabilidade e nem sempre os profissionais mais indicados vão se sentir confortáveis para assumir esse compromisso.

Alguns perfis têm se destacado no mercado como os mais preparados para assumir a função. Geralmente, eles têm:

  • Formação em riscos
  • Formação em compliance
  • Formação em tecnologia e segurança

Na eventualidade de não haver, na empresa, alguém adequado ao cargo de DPO, mas sendo o encarregado uma função obrigatória para a conformidade com a lei, o serviço pode ser terceirizado para uma consultoria.

Os formatos e modelos ainda serão definidos pelo mercado, porém já existem escritórios de advocacia especializados em direito digital, por exemplo, prestando esse tipo de serviço.

Qual o envolvimento da TI no projeto de cultura de privacidade de dados?

A equipe de Tecnologia da Informação terá um papel fundamental no projeto de compliance, sendo a responsável pela implementação prática da LGPD. Ela vai cuidar da implantação e adequação de sistemas em compliance com a lei, do desenvolvimento dos fluxos de operação e, sobretudo, da segurança dos dados nos ambientes digitais.

Sendo assim, o ideal é que seja fornecido um treinamento em LGPD à equipe de TI, facilitando o alinhamento do setor com a visão do compliance.

Mas qual é o setor da empresa responsável por gerir a LGPD? A TI, o jurídico ou outros?

Tanto o jurídico quanto a TI tem forte tendência a assumir grandes responsabilidades, mas o ideal é que o compliance não se limite a nenhum dos dois. É preciso criar uma Cultura da Privacidade, unindo gestores de variados setores da empresa em um comitê multidisciplinar de conformidade.

O comitê não é obrigatório, no texto da lei, mas pode ser muito mais benéfico para as organizações, uma vez que facilita o alinhamento das equipes em prol de um bem comum.

Jurídico, Governança, TI, Financeiro, Marketing, RH – é importantes que os principais afetados pela lei participem das reuniões de compliance, a fim de que todos sigam sempre pelo mesmo caminho quando o tema for proteção de dados.

Desse modo, evita-se que o time de Marketing e RH, por exemplo, tome decisões que não sigam as orientações do Jurídico – como a utilização de um sistema que não esteja em compliance com a LGPD – o que poderia, futuramente, dificultar o trabalho da TI e do Financeiro, dentre outros cenários prejudiciais à empresa como um todo.

Contudo, para todos os casos teremos o encarregado encabeçando o comitê, seja ele um DPO ou não (verificar tópico anterior), que vai representar a empresa se e quando houver a necessidade de prestar contas para a fiscalização.

A Compugraf te ajuda a colocar a empresa em compliance

Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para o compliance da LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?