LGPD na prática: 7 passos para implementar na sua empresa
Entender como implementar a LGPD na prática é uma necessidade para as todas as empresas! A adequação à LGPD e a implementação dos controles exigidos pela legislação está longe de ser um processo simples e rápido. Por isso, separamos 7 passos para implementar a LGPD na sua empresa.
1º passo para colocar a LGPD na prática: Entenda o Contexto da Organização
É preciso colocar a LGPD na prática…Por isso, antes de mais nada, é imprescindível conhecer em profundidade o contexto da organização – o segmento de atuação no mercado, juntamente com suas particularidades e exigências; regras e legislações pertinentes a serem consideradas; obrigações contratuais junto a parceiros comerciais, fornecedores e colaboradores; expectativas de clientes e investidores; organização interna, em termos de procedimentos de trabalho, bem como, a definição de papéis e responsabilidades dos colaboradores.
Este é um passo muito importante, o qual propicia uma visão mais ampla e geral da empresa como um todo, permitindo que prioridades e questões mais urgentes ou necessárias sejam identificadas, para posterior tratamento.
Normalmente neste passo, também se definem estruturas de governança para sustentar o projeto de adequação da organização – comitê executivo, time de privacidade e o encarregado de dados, além de se estabelecer canais de comunicação entre a empresa e os clientes, parceiros, colaboradores e demais partes interessadas.
Recomenda-se que todo o processo de entendimento do contexto da organização seja documentado, com a apresentação e guarda de evidências para posterior rastreabilidade e/ou recuperação dos achados desta etapa.
2º passo: Mapeie os Principais Fluxos de Tratamento de Dados da Organização
Este é o passo mais importante para colocar a LGPD na prática, e, certamente, um dos mais desgastantes de todo o processo de adequação da sua organização à LGPD. Mapear corretamente os fluxos de tratamento de dados pessoais não é fácil! É uma tarefa que demanda organização, conhecimento, engajamento de várias áreas da empresa, e o estabelecimento de um esforço cooperado, contando com a participação de muitas partes distintas.
Antes de mais nada, faz-se necessário identificar os principais processos de negócio da organização, e a partir destes, considerando a (i) criticidade dos processos frente à organização, bem como (ii) o volume e a relevância dos dados pessoais tratados, e o (iii) tipo de dado pessoal tratado – especialmente, ao considerar-se dados pessoais sensíveis, ou ainda, dados de crianças e adolescentes, ou idosos – devemos mapear os fluxos de tratamento de dados pessoais que são realizados a partir dos processos de negócio previamente identificados.
Durante o mapeamento, devemos identificar com clareza, objetividade e precisão:
– agentes de tratamento envolvidos no fluxo de dados: controladores, controladores conjuntos, operadores e o encarregado de dados;
– o fluxo de tratamento de dados pessoais: uma descrição sucinta do tratamento que está sendo mapeado, considerando as atividades de coleta, compartilhamento, armazenamento e exclusão de dados;
– o inventário de dados pessoais que estão sendo tratados, bem como, a finalidade que justifica o tratamento, e a hipótese legal que autoriza aquele tratamento de dados;
– Os meios pelos quais os dados pessoais são coletados, e quais pessoas, documentos ou sistemas participam da coleta;
– Como os dados pessoais são armazenados, com a definição do período de retenção, e quais pessoas, documentos ou sistemas participam do armazenamento;
– Com quem os dados pessoais são compartilhados e por qual motivo, e quais pessoas, documentos ou sistemas participam do compartilhamento;
– Como e quando os dados pessoais são eliminados, e quais pessoas, documentos ou sistemas participam da eliminação;
– Quais medidas técnicas e administrativas de segurança da informação são empregadas durante o tratamento;
Com base na documentação dos fluxos de tratamento de dados pessoais, você deve elaborar e manter atualizado os registros de tratamento de operações de dados pessoais (RoPA), conforme determinação do art. 37 da LGPD.
3º passo: Identifique Não-conformidades Legais e Normativas
Ufa! À medida que vamos mapeando as operações de tratamento de dados pessoais, devemos avaliar se as atividades de tratamento de dados desempenhadas pela organização, estão em conformidade com os requisitos legais estabelecidos pela LGPD, e também, por normas internacionais como é o caso da família ISO 27000 – 27001, 27002, 27005, 27701 (normas relacionadas à segurança da informação e proteção de dados), e assim por diante.
Este é um passo muito importante para colocar a LGPD na prática, e requer que tenhamos um bom entendimento dos requisitos legais e normas internacionais relacionadas a segurança da informação e proteção de dados. Por isso, temos que estudar e aprofundar nossos conhecimentos nestes temas, é essencial!
4º passo: Identifique e Priorize Riscos de Privacidade
Após termos mapeado os fluxos de tratamento de dados pessoais e apontado as principais não-conformidades legais e normativas, o próximo passo é a identificação e priorização de riscos!
A LGPD requer de maneira explicita em seu art.50, que as empresas estabeleçam um programa de governança em privacidade, baseado numa gestão de riscos efetiva. Por isso, recomendamos fortemente que seja utilizada uma boa metodologia para a gestão de riscos, preferencialmente, baseada em normas internacionais ou nas melhores práticas do mercado, como é o caso da ISO 31000, ou o COSO.
Lembre-se que todos os passos devem ser devidamente documentados, visando a geração de provas positivas e a comprovação da boa-fé das empresas (art. 6 LGPD). Assim, mantenha registros claros de como a avaliação dos riscos foi realizada, bem como, quais critérios foram utilizados, indicando com objetividade o método empregado para priorizar os riscos.
5º passo: Defina Planos de Ação
Agora que já conhecemos o contexto da organização e mapeamos as principais operações de tratamento de dados pessoais, tendo identificado as não-conformidades legais ou normativas e priorizado riscos, o próximo passo é associar ações para mitigar ou eliminar os riscos previamente identificados.
Procure apontar as ações necessárias, com a definição de responsáveis, bem como, prazos de entrega e critérios de aceitação. É muito importante acompanhar a execução das ações, visando garantir que todos os riscos mais gravosos para a organização, terão ações associadas, as quais serão devidamente acompanhadas, medidas e aprovadas ao término.
6º passo: Realize treinamentos e capacite os colaboradores
Precisamos manter nossa organização em conformidade com a LGPD de forma continuada – o que certamente vai demandar atenção e apoio de todas as equipes, e mudanças na cultura organizacional.
Todos os colaboradores, prestadores de serviço e parceiros comerciais precisam entender os fundamentos da LGPD, incorporando a prática da proteção de dados pessoais ao dia a dia, em todas as atividades que estiverem envolvidos.
Para tanto, é fundamental investir em treinamentos e conscientização – por meio de medidas simples, como compartilhar textos e postagens sobre a LGPD, ou ainda, com a execução de cursos e workshops.
Recomendamos a você, trazer o aprendizado para o debate interno, e assim, gerar as condições para que a cultura de proteção de dados seja incorporada à sua organização de forma definitiva.
7º passo: Coloque a LGPD na Prática e estabeleça um Programa de Governança em Privacidade
Estar em conformidade com a LGPD não é uma tarefa que se encerra depois que as principais medidas de adequação foram implementadas. É preciso implementar um Programa de Governança em Privacidade efetivo, por meio da adoção de controles que possam ser devidamente acompanhados e monitorados.
Para tanto, recomendamos não apenas a adoção de políticas e processos, mas, principalmente, a designação de um DPO ou de um DPO as a service. É que segundo o art. 41 da LGPD, compete ao Encarregado pelo Tratamento de Dados Pessoais:
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- Receber comunicações da autoridade nacional e adotar providências;
- Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
À luz, contudo, da prática observada em diversas organizações que já deram início à implementação de seus Programas de Governança em Privacidade de Dados, o DPO também exercer inúmeras outras funções, tais como:
- Formular regras de boas práticas para o bom funcionamento do Programa de Governança de Privacidade;
- Garantir a aplicação e a eficácia dos10 princípios da LGPD para o tratamento de dados pessoais;
- Elaborar o mapeamento do ciclo de vida dos dados pessoais;
- Determinar e documentar a base legal utilizada para o tratamento de dados pessoais;
- Avaliar as atividades que geram riscos à organização e aos titulares de dados;
- Entender quais são as normas aplicáveis à empresa;
- Definir as medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais;
- Monitorar a conformidade da organização com a LGPD;
- Elaborar Registros das Operações de Tratamento de Dados Pessoais e Relatórios de Impacto de Proteção de Dados Pessoais;
- Realizar treinamentos e capacitações aos colaboradores;
- Auxiliar na condução de incidentes de segurança da informação.
Por isso, o Encarregado pelo Tratamento de Dados Pessoais torna-se imprescindível para colocar a LGPD na prática e implementar um Programa de Governança em Privacidade efetivo e duradouro.
Conclusão: Conte com a ajuda de uma consultoria especializada para colocar a LGPD na prática
Como você deve ter percebido, o processo de adequação à LGPD é complexo e requer conhecimento especializado. Quanto maior a organização e seus riscos, mais cuidado é necessário no momento de adotar cada um dos passos apresentados.
Por isso, é importante contar com uma consultoria especializada em LGPD, voltada para adequação de forma completa, do início ao fim, atendendo a requisitos legais, de TI e segurança da informação, de compliance e do próprio negócio da organização.
Deixe seu comentário
Atenção: Os comentários abaixo são de inteira responsabilidade de seus respectivos autores e não representam, necessariamente, a opinião da GEP