Como adaptar sua empresa à LGPD em 9 passos
Especialista em Cyber Security da Kroll indica as primeiras medidas a serem tomadas por empresas de todos os portes e segmentos
Ao instituir 28 de janeiro como o Dia Internacional da Privacidade e Proteção de Dados – Data Privacy & Protection Day –, em 2006, o Conselho da Europa teve como objetivo enfatizar a importância do tema e conscientizar a população para a proteção de seus dados pessoais. Após o início da aplicação da General Data Protection Regulation (GDPR) na Europa, em maio do ano passado, e da criação da Lei Geral de Proteção de Dados (LGPD) no Brasil, que entrará em vigor a partir de agosto de 2020, o assunto entrou definitivamente na pauta de empresas de todos os portes e setores e, mais do que isto, de todos os cidadãos.
Tanto a GPDR como a LGPD têm o intuito principal de aumentar a privacidade dos dados pessoais e permitir ao proprietário destes dados maior controle sobre os mesmos ou, em outras palavras, deixar mais equilibrado o arbítrio sobre estes dados entre o proprietário e a empresa que trata seu dado pessoal em seus processos de negócio. E, para nortear as mudanças que as empresas precisam começar a realizar desde já, são indispensáveis o comprometimento da alta administração e das áreas de negócio e a revisão do ciclo de vida destas informações, minimizando a presença de dados pessoais e implementando controles de proteção adequados aos mesmos.
"Apesar de frequentemente realçarmos a complexidade da adequação às definições da lei, a realidade é que a LGPD é uma boa notícia para o nosso ambiente de negócios. A GDPR e a nova lei de privacidade da Califórnia, por exemplo, só permitem o compartilhamento dos dados pessoais, para atividades como uma prestação de serviços ou parceria, com empresas localizadas em países que possuam legislação similar. Desta forma, se a LGPD não fosse aprovada aqui, as empresas brasileiras teriam problemas em suas relações comerciais com diversos países", comenta Dani Dilkin, Associate Managing Director da Kroll e responsável pela área de Cyber para a América Latina.
Dilkin aponta algumas medidas iniciais que podem ser adotadas pelos mais diversos perfis de empresas.
1- Entender como a sua empresa será afetada pela Lei Geral de Proteção de Dados. Dependendo do seu tamanho, o ambiente pode variar em sua complexidade. No caso de uma empresa de grande porte, com bastante relevância no mercado, um ano e meio para fazer as adequações é, na verdade, um espaço de tempo bastante curto. Um trimestre perdido no processo de adaptação, por exemplo, pode fazer falta quando a lei entrar em vigor. Desta forma, o período de adaptação precisa ser iniciado imediatamente. O desafio para se adequar é, em alguns aspectos, menor para empresas de pequeno porte, porém, é necessário ressaltar que a LGPD se aplica de maneira igual para empresas pequenas e grandes.
2- Nomear o DPO (Data Protection Officer). Definir quem será o responsável legal pelos dados é crucial. A função do DPO é responder pela proteção de dados pessoais de uma empresa, principalmente caso ocorra vazamento de dados. Idealmente esta figura precisa estar integrada ao processo desde o princípio do mapeamento de dados de maneira a acompanhar e a influenciar todo este processo.
3- Buscar apoio externo. É muito difícil perceber todas as mudanças necessárias na estrutura da empresa apenas com o olhar interno. Por isso, o ajuste se torna mais efetivo com o acompanhamento de assessorias jurídicas e de proteção de dados, pois ambas se complementam.
4- Criar alianças entre as diversas áreas. Buscar conformidade não é só ofício das áreas de segurança, jurídica e de TI. O esforço não se restringe a estes segmentos, mas também depende da decisão da empresa em adequar o seu processo de negócio e integrar, por exemplo, a participação da alta administração e da área comercial. A criação de um olhar múltiplo para estas mudanças melhora projetos de proteção de dados.
5- Fazer o mapeamento dos dados que a empresa detém. Com a análise de seus processos de dados, distinção da relevância dos dados e localização do banco onde eles se concentram, é possível esquematizar como se dará a otimização. A partir deste mapeamento, se torna possível entender, na especificidade de cada processo de negócio, quais informações precisarão ser tratadas. E, assim, trabalhar com a menor quantidade de dados possível, utilizando apenas o necessário.
6- Avaliar o impacto e o risco à privacidade associados aos dados. Juntamente ao mapeamento, dar prioridade para determinados bancos de dados devido a seu impacto é uma opção para preservar informações importantes, que possuem maior urgência para serem analisadas e protegidas.
7- Planejar os ajustes necessários. Ajustes de contratos e de sistemas, mudanças nos processos, eliminação de dados, revisão de quem pode acessar ou não, capacidade de monitoração e de resposta são algumas das principais medidas.
8- Utilizar referências do que tem sido feito na Europa. Como a GDPR foi criada em 2016 e já está em vigor desde maio de 2018, nos países europeus há uma maior maturidade para lidar com os requisitos da lei e, portanto, um conjunto de documentos que clarificam objetivos e controles associados à lei.
9- Documentar adequadamente o tratamento de dados pessoais. Documentar e manter atualizada a lista dos processos de negócio que tratam dados pessoais, a justificativa para o tratamento destas informações e o inventário de ativos e fluxo de dados, entre outros. Documentação e processos maduros são primordiais para cumprir a lei de maneira sustentável.
Sobre a Kroll
A Kroll é líder global em gestão de riscos e investigações antifraude e anticorrupção. Há mais de 45 anos, ajudamos nossos clientes a tomar decisões sobre negócios, pessoas, transações e ativos, por meio de soluções nos campos de investigação corporativa, due diligence, compliance, prevenção e detecção de fraudes, segurança cibernética, patrimonial e operacional. Para mais informações, visite kroll.com/brasil.
Desde 2018, a Kroll é uma divisão da consultoria global Duff & Phelps, que tem como foco serviços nas áreas de valuation, finanças corporativas, M&A e disputas, assim como temas regulatórios e de governança corporativa. Para mais informações, visite duffandphelps.com.
Juntas, Kroll e Duff & Phelps contam com quase 3.500 profissionais em 28 países ao redor do mundo.
Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
https://www.facebook.com/groups/portalnacional/
<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte... www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. - Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>
Adicionar comentário