Estar em conformidade com a LGPD é um desafio que envolve pessoas, processos e tecnologias
Cresce a cada dia a preocupação com a segurança da informação, principalmente depois de grandes vazamentos de dados que temos acompanhado nos últimos anos. Para ser possível garantir a segurança de dados pessoais, estão sendo criadas legislações para definir que as empresas tratem os dados de forma lícita, leal e transparente.
Empresas e usuários que se preocupam com os dados pessoais que são processados não terão interesse em parcerias com empresas que não possuem o mesmo nível de cuidado e transparência. Para que isso aconteça é necessário ter regras unificadas e que sejam claras para empresas e consumidores. Portanto, no Brasil, foi criada a Lei Geral de Proteção de Dados (LGPD), lei nº 13.709, sancionada dia 14 de agosto de 2018, que entrará em vigor em agosto de 2020. Esta lei se baseia em princípios que regulam a proteção dos dados pessoais, garantindo direitos aos cidadãos e estabelecendo regras claras sobre o tratamento de dados realizados por órgãos públicos ou privados.
Estar em conformidade com a LGPD é um desafio que envolve pessoas, processos e tecnologias. Portanto, implantar um projeto de adequação à lei e, mais do que isso, garantir a conformidade não é uma tarefa simples, mas para começar, podemos utilizar metodologias para servir de guia durante todo o processo até atingir maturidade no programa de governança em privacidade e proteção de dados.
Para esta primeira etapa nos preocupamos muito em passar a ideia do impacto positivo que esta lei traz do ponto de vista organizacional e pessoal também. Para a conclusão buscamos executar as seguintes ações:
O comitê de Segurança da Informação se torna simples de ser construído quando os colaboradores compreendem a importância dessa lei. Este comitê é constituído de pelo menos uma pessoa de cada área da empresa e o objetivo é que estes possam trazer questionamentos de suas áreas e que sejam os que vão difundir a cultura de Segurança da Informação dentro da organização. Outro ponto importante é o planejamento das atividades para que seja possível identificar quais são as áreas que tratam dados pessoais e que representam um risco alto levando em consideração a LGPD.
Nesta etapa são realizados os mapeamentos de dados. Para cada contexto deverá ser criado um fluxo demonstrando todo o ciclo de vida do dado. Para a conclusão desta etapa é necessário executar as seguintes ações:
É importante ressaltar que os colaboradores escolhidos deverão ser estratégicos do ponto de vista de conhecimento sobre a sua área de atuação, acesso aos dados e processos internos, para que a atividade de mapeamento seja efetiva.
Nesta etapa é realizada a avaliação dos resultados obtidos através das entrevistas. Além disso é realizada a avaliação de risco para apoiar a definição das prioridades dentro do plano de ação. Para a conclusão desta etapa é necessário executar as seguintes ações:
Com base no Gap Analysis é possível realizar o planejamento considerando o risco de cada área e de cada processo de tratamento de dados e dessa forma priorizar as ações com maior assertividade.
Nesta etapa será realizado o plano de ação, de acordo com a avaliação de risco definida na fase de Avaliação. Para a conclusão desta etapa é necessário executar as seguintes ações:
Nesta etapa será realizada a implementação de guias de procedimentos, melhoria ou criação de processos, incluindo, a definição da estratégia de governança de dados, implementação de controles de segurança da informação, revisão de contratos, e gestão de políticas internas. Todas essas ações devem estar documentadas no programa de governança de privacidade e proteção de dados. Este é um documento vivo que deve ser atualizado constantemente. Para a conclusão desta etapa é necessário executar as seguintes ações:
Esta etapa consiste em garantir que a organização está mantendo a conformidade com a lei geral de proteção de dados. Para a conclusão desta etapa é necessário executar as seguintes ações:
Estes são alguns passos para ajudar que você e a sua empresa consigam colocar em prática um projeto de governança em privacidade e proteção de dados para adequação à LGPD. Nesta quinta-feira, dia 06 de fevereiro, é comemorado o Dia Internacional da Internet Segura. Uma ótima oportunidade para levar o tema para a sua empresa. A iniciativa para adotar estas medidas e se adequar à LGPD não precisa partir necessariamente da área de tecnologia. Você pode ser um agente de transformação na sua companhia e dar o start neste que é um tema tão importante.
Vale lembrar que faltam apenas seis meses para a LGPD entrar em vigor e poucas empresas brasileiras estão totalmente preparadas e adaptadas para seguir as normas e cuidados com os nossos dados.
*Samantha Nunes é analista de Segurança da Informação na Take, empresa brasileira líder no mercado de soluções conversacionais e chatbots da América Latina.
