Blog

Cinco estruturas necessárias para estar em conformidade com a LGPD.

img_artigo0612

Entenda o que sua empresa precisa para não se prejudicar com a LGPD.

Em conversas com as empresas sobre o tema LGPD sempre tenho encontrado uma grande preocupação com as ações de tecnologia e foco na proteção dos dados. Realmente, como controladores dos dados, as empresas são responsáveis por protegê-los. Entretanto, a grande maioria ainda não enxerga completamente a extensão das ações necessárias para estar em conformidade com a lei.

Ferramentas de Proteção, Discovery, Segurança Cibernética, Criptografia, entre outras, se tornaram bens valiosos para diminuir a vulnerabilidade das empresas em relação à LGPD ou até livrá-las das penalidades. De fato, as estruturas de tecnologia são fundamentais para proteger as empresas de potenciais ataques, mas LGPD não é só isso!

“A mulher de César não basta ser honesta, deve parecer honesta”. Conta a lenda que essa frase foi dita pelo imperador romano Caio Júlio Cesar sobre o comportamento de sua esposa Pompeia. E qual a razão para colocar esta frase neste artigo? Muito simples! No que se refere à LGPD, não basta proteger os dados, é necessário ter todas as evidências de que a lei está sendo cumprida à risca.

Alguns procedimentos são fundamentais para que sua empresa esteja realmente protegida e para que a relação com seus clientes seja preservada. Trago aqui cinco deles:

1) Mapear o risco e os processos de sua empresa
A LGPD especifica diversas estruturas onde a proteção de dados se faz necessária. Entretanto, nem todos os parágrafos da lei afetam a todas as empresas da mesma forma. Por exemplo, o mercado de segurança patrimonial utiliza amplamente sistemas de CFTV (Circuito Fechado de TV) como instrumento de monitoramento. A partir do momento em que uma pessoa atinge o alcance da câmera, dados são coletados, correto? Portanto, está sujeito à ação da lei.

A LGPD define em seu artigo 7º que o tratamento de dados pessoais somente poderá ser realizado, entre outras hipóteses, para a proteção da vida ou da incolumidade física do titular ou de terceiros. Ou seja, está previsto o tratamento de dados provenientes de imagens. Evidentemente, se eu não tenho CFTV na minha empresa, este inciso não me afeta.

Portanto, o ponto de partida para qualquer processo de conformidade na LGPD passa, necessariamente, pela análise minuciosa de todos os processos da empresa, onde dados de terceiros são utilizados e manuseados. Mapear estes processos e efetuar uma análise ampla dos riscos inerentes a cada processo é fundamental.

2) Implementar um sistema de monitoração dos riscos
Toda empresa é uma entidade viva e em evolução. Ao longo da sua vida, a empresa se transforma, modifica seus canais de comunicação com o mercado, amplia sua forma de interação com o cliente e, desta maneira, passa a coletar e utilizar mais e mais dados. Com o advento da LGPD, o governo não só ordena a forma como os dados são manuseados, como, principalmente, empodera o titular do dado e traz mais responsabilidades ao controlador do dado, no caso sua empresa.

A responsabilidade e, consequentemente, o risco não são estanques. Ao implementarmos as estruturas de proteção dos dados, nossa responsabilidade pela proteção não acaba. Muito pelo contrário, conforme a tecnologia vai caminhando e as ferramentas de comunicação com o mercado evoluindo, a forma como tratamos e protegemos os dados também precisa evoluir e estar em constante monitoramento.

É essencial que a empresa implemente um sistema que permita a análise em tempo real das condições de proteção de dados, riscos inerentes, riscos residuais, tudo para, em primeiro lugar, garantir o direito do titular do dado (seu cliente) e minimizar potenciais ações judiciais

3) Constituir uma estrutura formal de tratamento das demandas do titular dos dados
A LGPD deixa claro que os dados são de propriedade do titular e que o controlador do dado possui diversas responsabilidades e obrigações que poderão ser demandadas a qualquer momento pelo titular. Um exemplo de demanda pode ser a exclusão dos dados e aqui começa uma grande discussão. Quando o titular do dado solicita a exclusão, será que apenas efetuá-la é suficiente?

A resposta é não! A empresa precisa ter um processo bem estabelecido e documentado para efetivar a tal exclusão, por exemplo, abrir um “ticket” com as datas de solicitação e exclusão e enviar uma confirmação ao titular de que a exclusão foi efetivada com sucesso.

Em outras palavras, é necessário que sejam geradas todas as evidências que comprovem que a empresa efetuou a solicitação do titular do dado e que tudo foi feito segundo um processo formal.

4) Desenvolver um sistema de gestão de documentos
O processo para garantir a conformidade em relação à LGPD demanda a revisão de contratos, emissão de certificados, manuais e procedimentos, entre outros documentos. Quando avaliamos as empresas que recorrem a nós, imediatamente vemos que cada área mapeada acaba por fazer uma “gestão” dos seus próprios documentos. Sabe o que isso significa? Múltiplos bancos de dados, com versões desatualizadas de documentos, uso de documentos errados e, o que é pior, a possibilidade de envio de documentos errados em situações críticas, como um processo de auditoria ou uma ação judicial. Isso pode custar muita dor de cabeça e dinheiro. Portanto, é de suma importância que sua empresa possua um sistema de gestão de documentos em um banco de dados centralizado e de fácil acesso.

5) Crie uma estrutura de rastreamento amplo
Como disse anteriormente, não basta proteger o dado. É necessário possuir um processo amplo de mapeamento de risco, ter um sistema de monitoramento, desenvolver um processo claro de tratamento e proteção do dado e, sumamente importante, constituir um instrumento amplo de rastreabilidade das atividades de proteção, especialmente no que se refere às solicitações demandadas pelo titular do dado.

Os gestores e responsáveis pela proteção de dados precisam ter uma forma de rastrear continuamente as atividades em cada área / departamento da empresa. Tudo isso visando mitigar os riscos inerentes à própria LGPD.

Imagine a quantidade de dados pela qual sua empresa é responsável neste momento! São dados sensíveis, dados de menores de idade, imagens, tudo isso demandando gestão em um cenário de constante mudança. Dá para entender que é algo sumamente complexo e com alto risco associado, não é?

Portanto, as empresas precisam ter uma forma de rastrear, até graficamente, qual o tamanho do risco, quais ações efetivas em curso, quantos tickets têm sido abertos, quais os riscos inerentes e residuais existentes e ainda visualizar as mudanças no processo que possam colocar a empresa em risco.

Evidentemente, muitas são as formas de construir tais estruturas e existem inúmeras ferramentas capazes de ajudar as empresas. Mas cuidado para não virar uma colcha de retalhos! Utilizar uma única ferramenta de gestão de proteção de dados que proporcione a sua empresa todas estas estruturas, reduza os custos associados à LGPD e ainda automatize as atividades de proteção de dados pode ser o melhor caminho e o mais seguro para a conformidade.

*Edvaldo Almeida, diretor comercial da MarketTrends, especialista em vendas complexas, master coach pelo Center for Advanced Coaching dos EUA e mentor pela Universidade GE.

Fonte: digitalks.com.br


A Lopes, Machado Auditores não se responsabiliza, nem de forma individual, nem de forma solidária, pelas opiniões, ideias e conceitos emitidos nos textos, por serem de inteira responsabilidade de seu(s) autor(es).