[FINAL] Série Dados, Privacidade, Negócios e a Nova LGPD – 10 Passos para implementar a nova lei em sua empresa (e umas dicas a mais...)



Nos artigos anteriores falamos um pouco sobre a desproteção e o gigantismo das relações digitais hoje em dia e o grande desafio da nova regulação brasileira para disciplinar essas relações e direitos (AQUI), sobre a amplitude da LGPD e seus princípios de aplicação (AQUI), sobre os aspectos práticos dos dados pessoais, sensíveis e possibilidades do seu tratamento (AQUI) e também sobre o ciclo de vida dos dados nas empresas e o Data Protection Officer (AQUI)
Agora vamos fechar a série com uma visão geral e estratégica do contexto amplo e trazer 10 “grandes” passo para se implementar a LGPD nas empresas, ainda com um conjunto de ações mais operacionais elencados por uma pesquisa da Deloitte.
Obrigado a todos que leram esse e outros 4 artigos, enviaram seus comentários e feedbacks!
Adaptar-se à LGPD é muito mais do que cumprir burocracias.
Um ser humano médio toma mais de 4000 decisões por dia, de todos os tipos, e 85% são emocionais, vinculadas a vários estímulos recebidos. Essa massa de dados existente e crescente velozmente sobre todos e cada um tem o poder de influenciar diretamente todo o processo de tomada de decisão. Isso tem, sem sombra de dúvidas, um valor quase que infinito. Mas pode ser utilizado de forma incorreta, ilegal, desleal e corrompida, muitas das vezes.
Dados e informações pessoais são de cada um. Fazem parte de sua intimidade e da sua vida privada e só podem ser compartilhados na medida em que seus titulares quiserem.
Assim já dispõe a nossa Constituição Federal, segundo a qual, em seu artigo 5º, “São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”.
Há também proteção da privacidade da população em geral ou de grandes segmentos, nos seguintes diplomas:
  • Código Civil,
  • Código de Defesa do Consumidor,
  • Estatuto da Criança e do Adolescente,
  • Marco Civil da Internet,
  • Lei de Acesso à Informação (12.527/11),
  • Lei de Sigilo Bancário,
  • Lei do Cadastro Positivo,
  • Lei “Carolina Dieckmann".
A adaptação à LGPD, bem como a observância do que dispõe a legislação em geral em termos de respeito à privacidade, não é assunto para uma área só. Mais do que ser multidisciplinar (envolvendo TI, Jurídico, Compliance) ela deve ser introjetada na cultura de toda a empresa (Vendas, Marketing, RH, Financeiro, etc.). E é claro que, em se falando de mudança de cultura, as lideranças são primordiais no processo.
  • Elaborar/revisar políticas de privacidade
  • Fortalecer o controle de acesso interno
  • Adotar ferramentas de tecnologia da informação adequadas à norma
  • Definir/implementar/avaliar mecanismos de segurança nas bases de dados
  • Alinhar processos internos de acesso e controle de identidade
  • Analisar medidas de segurança para o armazenamento de dados
  • Elaborar/revisar contratos com colaboradores e terceiros que impliquem processamento de dados
  • Investir em governança de banco de dados
  • Adotar ferramentas de controle de acesso
  • Redesenhar aplicações visando a conformidade com a norma
  • Estabelecer e divulgar canais de reporte a incidentes
  • Monitorar periodicamente e-mails, rede interna e estações de trabalho
  • Investir em tecnologias específicas de governança e administração
  • Adequar o processo de due diligence de terceiros
  • Contratar seguro contra vazamentos.

Como já dissemos, a LGPD não veio para punir ou burocratizar mais ainda a já complexa dinâmica empresarial, e sim para proteger a privacidade de cada cidadão, beneficiando empresas que lidem com os dados das pessoas de forma segura e ética. Será necessária uma considerável revisão de processos internos, sem a qual não haverá efetividade de entrega de valor na relação com aqueles com que cada empresa se relaciona.
É certo que as empresas somente conseguirão fazer frente à toda a regulação existente, bem como extrair todas as possibilidades de exploração legal desse grande ativo que são os dados, com uma mudança de processos embasada numa mudança de cultura!
E há vários motivos para a adequação à lei, além do mero rito formal, como, por exemplo:
- Destaque nas relações de mercado, seja com seu consumidor, seja com parceiros comerciais;
- Destaque no mercado pelo extremo respeito aos dados;
- Redução do risco de vazamentos e desvios de finalidade;
- Num eventual problema, comprovar que tomou cuidados e cumpriu a lei, pode minimizar muito a responsabilidade.
As capacitações, planejamentos e investimentos devem ser totalmente amparados pela evolução cultural com base no “privacy by design”, onde tudo na empresa seja permeado pelo sentido à privacidade e segurança digital, mesmo nas empresas que não se achem “digitais”. Afinal, estamos na era do machine learning, do big data e da internet das coisas. Todos são medidos e monitorados a todo instante, ativa ou passivamente. E a informação transita pelas amplas cadeias de valor e não em silos.
Os 10 grandes passos para implementar a LGPD em sua empresa
Antes de entrar no check list, fica aí a primeira grande recomendação, mãe de todas as demais que traremos a seguir, que deve ser encarada como um princípio:
Nos demais artigos que compõem essa série, vimos o que é necessário para uma empresa se adaptar à LGPD. Vamos agregar mais algumas recomendações para ter um overview completo e:
1- Estudar e entender a LGPD e demais leis que regulamentam o negócio. Nessa jornada, organize um time multidisciplinar que envolva inicialmente alguém com conhecimentos jurídicos, de TI e de gestão da empresa, além de departamentos mais críticos e que gerem maior risco. Na sequência vá envolvendo as demais áreas de negócios. Talvez já seja a hora de pensar na pessoa que fará o papel do Data Protection Officer, lembrando que não é mandatório criar essa função no organograma da empresa;
2- Mapear fontes de coleta de dados, documentação existente, se houver, e os papéis e responsabilidades vigentes. Até aqui já podemos falar na construção de um diagnóstico da empresa;
3- Criar uma política de capacitação e realinhar as políticas e códigos de conduta com vistas a contribuir com a adaptação da cultura da empresa;
4- Realizar o Data Discovery e a identificação do ciclo de vida dos dados;
5- Classificar os dados com os quais a empresa lida e queira lidar no futuro próximo;
6- Realizar a revisão documental (contratos, código de ética e conduta, políticas, disclaimers, termos de consentimento, etc.) que envolvam fornecedores, clientes e outros parceiros de negócios;
7- Criar uma “Política de Privacidade e Gestão de Dados Pessoais”. Lembrem-se do valor que pode ser gerado para o mercado.
8- Garantir o consentimento dos proprietários dos dados, a partir de termos de comprometimento e cláusulas contratuais. Lembrem-se da granularização, da clareza e transparência dessas solicitações e as excepcionalidades;
9- Elaborar um relatório de impacto;
10- Monitorar, avaliar e revisar os processos.
Para agregar e facilitar um pouco mais, trazemos um pequeno trecho da pesquisa “Os Cinco Pilares dos Riscos Empresariais 2019”, da consultoria Deloitte, que sondou as iniciativas já adotadas pelas empresas em relação à Lei Geral de Proteção de Dados. Essa pesquisa traz um rol de aspectos mais operacionais de adaptação:



Comentários

Postagens mais visitadas deste blog

O auxílio doença e o Empreendedor Individual/MEI

Planilhas gratuitas para auxiliar uma boa gestão financeira

Bens reais como garantia bancária e a necessidade de informações confiáveis