Estamos em conformidade com a LGPD?
Pois é, esta é uma pergunta não tão simples de responder de imediato. Mas podemos explorar um pouco o assunto e avaliar nossa posição em relação a ela (conformidade). Apesar das possíveis alterações que poderão ocorrer nas datas de start na lei, teremos sempre que procurar a adequação, para hoje ou para amanhã. Assim, o exercício é válido em qualquer momento, e… vamos a ele.
O princípio da responsabilidade é fundamental para atender aos requisitos da LGPD, não só cumprindo, mas também demonstrando claramente o seu cumprimento. Os pontos tratados a seguir podem ajudar a conferir e demonstrar o nível da conformidade em sua empresa ou auxiliar no ajuste para chegar a ele.
Prestação de contas e governança
Para que tenhamos conformidade, um dos principais pontos é o comprometimento total da alta administração das empresas, seja qual for o tamanho dela. Os aspectos positivos e negativos da lei devem ser claros para a diretoria, garantindo os recursos necessários para alcançar e manter a conformidade.
Ações:
. mostrar riscos e possibilidades ;
. estabelecer um representante da diretoria como ponto focal;
. criar um projeto de conformidade com a lei;
. criar um item para “proteção de dados” nos controles internos.
Planejamento do Projeto
Identificar quais as áreas da empresa se enquadram no escopo da LGPD e que processos serão afetados por ela.
Ações:
. indicar um gerente de projeto e capacitar um encarregado de Dados (DPO);
. identificar as unidades envolvidas (áreas de negócio, filiais, terceiros etc.);
. estabelecer padrão para a segurança da informação (seguir a estrutura da ISO27701);
. comparar “proteção de dados” com padrões atuais de controles e sistemas;
. traçar um comparativo entre esta lei e leis anteriores sobre o assunto.
Inventário de dados e auditoria de fluxo de dados
Entender quais dados são tratados, como são processados e onde ficam armazenados e por quem são utilizados, garantindo a qualidade e confiabilidade dos mesmos.
Ações:
. avaliar os dados guardados, sua origem e base legal para guarda;
. identificar os caminhos seguidos pelos dados dentro da organização (mapa dos dados);
. usar mapa dos dados para identificar os riscos em sua estrutura de dados;
. criar documentação das fases de tratamento de dados (desde a entrada até a exclusão).
Análise detalhada de riscos
Avaliar fluxos de trabalho, processos e procedimentos atuais, procurando identificar brechas e pontos fracos para ajustar.
Ações:
. auditar conformidade atual contra os requisitos da LGPD;
. verificar todos os pontos que precisam correção.
Criar procedimentos e processos operacionais de proteção de dados
Produzir relatórios das “não conformidades”, indicando formas para correção, criando fórmulas técnicas e operacionais para garantir processamento adequado ás requisições indicadas pela LGPD.
Ações:
. confrontar se as políticas de proteção estejam aderentes à LGPD;
. revisar contratos de funcionários, clientes e fornecedores, ajustando-os se necessário;
. estabelecer uma política de segurança da informação;
. usar estruturas de criptografia e anonimização, quando necessário;
. garantir que políticas de segurança detectem e impeçam violações de dados pessoais.
Treinar a equipe e estimular a comunicação
Garantir que sua equipe entenda exatamente o que deve fazer e por que, para que haja conformidade com a LGPD. Todos os envolvidos devem ser treinados e capacitados para atender aos processos definidos.
Ações:
. permitir comunicações internas entre todas as partes da empresa;
. fazer os funcionários entenderem a importância da proteção de dados;
. executar treinamento em todos os níveis da organização.
Monitorar e manter toda a estrutura
Executar auditorias internas periódicas, atualizar processos de proteção de dados e testar os limites para verificar a possibilidade de falhas e “não conformidades”.
Ações:
. estabelecer auditorias regulares e aleatórias para testar estrutura;
. manter registros do processamento de dados atualizados;
. comunicar à agência de proteção de dados (ANPD) qualquer irregularidade .
Estes são os passos principais para a elaboração, desenvolvimento e manutenção da conformidade com a LGPD. Não é uma tarefa simples, mas nada que não possa ser realizada.
A implantação dos processos de conformidade com a LGPD não é um processo de TI, não é processo jurídico, mas uma junção de todos os processos da organização. Não tem fim: é um trabalho constante de avaliações. O tempo não é nosso aliado. Mas podemos ajudar…