[FINAL] Série Dados, Privacidade, Negócios e a Nova LGPD – 10 Passos para implementar a nova lei em sua empresa (e umas dicas a mais…)

[FINAL] Série Dados, Privacidade, Negócios e a Nova LGPD – 10 Passos para implementar a nova lei em sua empresa (e umas dicas a mais…)

15 de julho de 2020 0 Por André Spínola

Nos artigos anteriores falamos um pouco sobre a desproteção e o gigantismo das relações digitais hoje em dia e o grande desafio da nova regulação brasileira para disciplinar essas relações e direitos (AQUI), sobre a amplitude da LGPD e seus princípios de aplicação (AQUI), sobre os aspectos práticos dos dados pessoais, sensíveis e possibilidades do seu tratamento (AQUI) e também sobre o ciclo de vida dos dados nas empresas e o Data Protection Officer (AQUI)

Agora vamos fechar a série com uma visão geral e estratégica do contexto amplo e trazer 10 “grandes” passos para se implementar a LGPD nas empresas, ainda com um conjunto de ações mais operacionais elencados por uma pesquisa da Deloitte.

Obrigado a todos que leram esse e outros 4 artigos, enviaram seus comentários e feedbacks!

Adaptar-se à LGPD é muito mais do que cumprir burocracias.

10 passos para implantar a LGPD
10 passos para implantar a LGPD

Um ser humano médio toma mais de 4000 decisões por dia, de todos os tipos, e 85% são emocionais, vinculadas a vários estímulos recebidos. Essa massa de dados existente e crescente velozmente sobre todos e cada um tem o poder de influenciar diretamente todo o processo de tomada de decisão. Isso tem, sem sombra de dúvidas, um valor quase que infinito. Mas pode ser utilizado de forma incorreta, ilegal, desleal e corrompida, muitas das vezes.

Dados e informações pessoais são de cada um. Fazem parte de sua intimidade e da sua vida privada e só podem ser compartilhados na medida em que seus titulares quiserem.

Assim já dispõe a nossa Constituição Federal, segundo a qual, em seu artigo 5º, “São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”.

Há também proteção da privacidade da população em geral ou de grandes segmentos, nos seguintes diplomas:

  • Código Civil,
  • Código de Defesa do Consumidor,
  • Estatuto da Criança e do Adolescente,
  • Marco Civil da Internet,
  • Lei de Acesso à Informação (12.527/11),
  • Lei de Sigilo Bancário,
  • Lei do Cadastro Positivo,
  • Lei “Carolina Dieckmann”.

Como já dissemos, a LGPD não veio para punir ou burocratizar mais ainda a já complexa dinâmica empresarial, e sim para proteger a privacidade de cada cidadão, beneficiando empresas que lidem com os dados das pessoas de forma segura e ética. Será necessária uma considerável revisão de processos internos, sem a qual não haverá efetividade de entrega de valor na relação com aqueles com que cada empresa se relaciona.

É certo que as empresas somente conseguirão fazer frente à toda a regulação existente, bem como extrair todas as possibilidades de exploração legal desse grande ativo que são os dados, com uma mudança de processos embasada numa mudança de cultura!

E há vários motivos para a adequação à lei, além do mero rito formal, como, por exemplo:

– Destaque nas relações de mercado, seja com seu consumidor, seja com parceiros comerciais;

– Destaque no mercado pelo extremo respeito aos dados;

– Redução do risco de vazamentos e desvios de finalidade;

– Num eventual problema, comprovar que tomou cuidados e cumpriu a lei, pode minimizar muito a responsabilidade.

As capacitações, planejamentos e investimentos devem ser totalmente amparados pela evolução cultural com base no “privacy by design”, onde tudo na empresa seja permeado pelo sentido à privacidade e segurança digital, mesmo nas empresas que não se achem “digitais”. Afinal, estamos na era do machine learning, do big data e da internet das coisas. Todos são medidos e monitorados a todo instante, ativa ou passivamente. E a informação transita pelas amplas cadeias de valor e não em silos.

Os 10 grandes passos para implementar a LGPD em sua empresa

Antes de entrar no check list, fica aí a primeira grande recomendação, mãe de todas as demais que traremos a seguir, que deve ser encarada como um princípio:

A adaptação à LGPD, bem como a observância do que dispõe a legislação em geral em termos de respeito à privacidade, não é assunto para uma área só. Mais do que ser multidisciplinar (envolvendo TI, Jurídico, Compliance) ela deve ser introjetada na cultura de toda a empresa (Vendas, Marketing, RH, Financeiro, etc.). E é claro que, em se falando de mudança de cultura, as lideranças são primordiais no processo.

Nos demais artigos que compõem essa série, vimos o que é necessário para uma empresa se adaptar à LGPD. Vamos agregar mais algumas recomendações para ter um overview completo e:

1- Estudar e entender a LGPD e demais leis que regulamentam o negócio. Nessa jornada, organize um time multidisciplinar que envolva inicialmente alguém com conhecimentos jurídicos, de TI e de gestão da empresa, além de departamentos mais críticos e que gerem maior risco. Na sequência vá envolvendo as demais áreas de negócios. Talvez já seja a hora de pensar na pessoa que fará o papel do Data Protection Officer, lembrando que não é mandatório criar essa função no organograma da empresa;

2- Mapear fontes de coleta de dados, documentação existente, se houver, e os papéis e responsabilidades vigentes. Até aqui já podemos falar na construção de um diagnóstico da empresa;

3- Criar uma política de capacitação e realinhar as políticas e códigos de conduta com vistas a contribuir com a adaptação da cultura da empresa;

4- Realizar o Data Discovery e a identificação do ciclo de vida dos dados;

5- Classificar os dados com os quais a empresa lida e queira lidar no futuro próximo;

6- Realizar a revisão documental (contratos, código de ética e conduta, políticas, disclaimers, termos de consentimento, etc.) que envolvam fornecedores, clientes e outros parceiros de negócios;

7- Criar uma “Política de Privacidade e Gestão de Dados Pessoais”. Lembrem-se do valor que pode ser gerado para o mercado.

8- Garantir o consentimento dos proprietários dos dados, a partir de termos de comprometimento e cláusulas contratuais. Lembrem-se da granularização, da clareza e transparência dessas solicitações e as excepcionalidades;

9- Elaborar um relatório de impacto;

10- Monitorar, avaliar e revisar os processos.

Para agregar e facilitar um pouco mais, trazemos um pequeno trecho da pesquisa “Os Cinco Pilares dos Riscos Empresariais 2019”, da consultoria Deloitte, que sondou as iniciativas já adotadas pelas empresas em relação à Lei Geral de Proteção de Dados. Essa pesquisa traz um rol de aspectos mais operacionais de adaptação:

  • Elaborar/revisar políticas de privacidade
  • Fortalecer o controle de acesso interno
  • Adotar ferramentas de tecnologia da informação adequadas à norma
  • Definir/implementar/avaliar mecanismos de segurança nas bases de dados
  • Alinhar processos internos de acesso e controle de identidade
  • Analisar medidas de segurança para o armazenamento de dados
  • Elaborar/revisar contratos com colaboradores e terceiros que impliquem processamento de dados
  • Investir em governança de banco de dados
  • Adotar ferramentas de controle de acesso
  • Redesenhar aplicações visando a conformidade com a norma
  • Estabelecer e divulgar canais de reporte a incidentes
  • Monitorar periodicamente e-mails, rede interna e estações de trabalho
  • Investir em tecnologias específicas de governança e administração
  • Adequar o processo de due diligence de terceiros
  • Contratar seguro contra vazamentos.
CategoriaDestaques O Poder dos Dados Transformação
TagsDados LGPD Séries

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *