Mesmo estando em vigor a mais de dois anos, a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n° 13.709/2018, ainda enfrenta certa resistência e desinformação na hora de ser cumprida. Segundo o levantamento “Privacidade e proteção de dados pessoais” feito pelo Comitê Gestor da Internet no Brasil (CGI.br), apenas 23% das empresas possuem uma área focada em proteção de dados.
A criação de uma área ou equipe dedicada a LGPD é de suma importância, pois a implementação da lei dentro da empresa é apenas o início de uma etapa no processo de adequação. Considerando que a LGPD é detalhada e exige que as empresas alterem ou adaptem seus processos de manipulação de dados. Por isso separamos algumas dicas indispensáveis para que você organize essa rotina de maneira mais prática e eficiente.
Designar um responsável pela proteção de dados
Toda empresa e/ou organização deve nomear um Encarregado dos Dados (DPO) que será responsável pelo tratamento e organização dessas informações, além de reportar diretamente à direção sobre os status de segurança de seus bancos de dados. O DPO também atua como ponte entre a empresa, os titulares dos dados e a ANPD.
Organizar e classificar todos os dados
É extremamente necessário que uma organização tenha conhecimento das informações que possui. Para isso, é preciso conduzir um inventário em que as partes interessadas entendam a qualidade e valor dos dados pelos quais são responsáveis.
Documentar, manter e fazer cumprir as políticas, procedimentos e processos de privacidade
Os mapeamentos e relatórios do fluxo de dados pessoais devem ser atualizados constantemente, de maneira que o DPO tenha as informações sobre quais dados estão sendo tratados, protegidos e qual a base legal do tratamento. Alcançando pessoas, processos e sistemas envolvidos nas atividades, a fim de garantir que sejam cumpridas as normas legais, mantendo os dados protegidos.
Conscientizar funcionários
As políticas de privacidade devem prever o treinamento de funcionários sobre suas responsabilidades para proteger os dados pessoais. Qualquer pessoa que manuseie informações sensíveis deve estar ciente da importância de mantê-las seguras e conhecer os procedimentos e processos relacionados.
Simulação de incidentes
O objetivo dessas simulações é a elaboração de cenários de riscos em ambientes controlados, para que os planos de resposta a incidentes de segurança da informação e o plano de resposta à violação de dados pessoais possam ser testados, preparando as equipes que tratam incidentes para atuarem em casos reais com as lições aprendidas nesses exercícios.
Trabalho de equipe
Importante destacar que a equipe do Encarregado deve ser multidisciplinar e com habilidades distintas em diversas áreas de atuação, para garantir todo o escopo da LGPD e a sua conformidade. Para atuação no processo de gestão de incidentes, essa equipe deve receber os registros de violação de dados pessoais de todas as equipes que tratam incidentes na organização e avaliar as necessidades de comunicação à Autoridade Nacional de Proteção de Dados – ANPD, ao titular ou até mesmo ao controlador, quando for operador.
Não fique exposto. Todas as empresas estão sujeitas a ataques e incidentes cibernéticos. Sua empresa pode evitar o pior construindo um Sistema de Gestão da Privacidade da Informação, que adote e implante controles, medidas técnicas e administrativas que sejam preventivas. Além disso, dispor de um processo claro de resposta a incidentes envolvendo dados pessoais, pois como sabemos, não só demonstra compliance, mas, poderá, em casos concretos, minimizar os riscos de danos aos controladores, danos financeiros e, principalmente, aos titulares de dados.