A nova lei contém muitos aspectos que devem ser avaliados de acordo com a particularidade de cada negócio, volume de dados e exposição. O trabalho deve ser feito para alcançar um nível aceitável de risco para a organização.
Alfredo Martín Cammarota (*)
O início da vigência da LGPD (Lei Geral de Proteção de Dados Pessoais) pegou muitas empresas de surpresa. Após quase 10 anos de discussões, ninguém imaginava que a lei seria sancionada e em meio à pandemia. Com isso, desde setembro, companhias de todos os portes estão correndo contra o tempo para se adequarem às exigências de tratamento de dados pessoais da nova lei.
Apesar de a Autoridade Nacional de Proteção de Dados (ANPD) ainda não fiscalizar as empresas, outros órgãos, como o Ministério Público, podem mover ações e aplicar punições baseadas na nova Lei. Portanto, cabe às organizações buscarem o máximo de eficiência para não errarem nas suas adequações. As dicas abaixo ajudam as empesas nos principais aspectos neste processo de conformidade.
1- Evite os atrasos no projeto de LGPD diante da dificuldade de levantar informações: equipes multidisciplinares devem ser criadas para trabalhar no levantamento de informações, já que a LGPD não é um projeto de TI ou de Segurança, mas de toda a empresa. A definição de líderes de diferentes áreas da organização acelerará o processo de pesquisa, pois chegará diretamente aos proprietários dos dados;
2- Integre equipes para evitar a falta de liderança entre os diversos fornecedores do projeto: a equipe de LGPD deve ter um líder definido que tenha o empoderamento necessário para engajar as áreas envolvidas, bem como os fornecedores externos. Normalmente, esses projetos são liderados pela área de Compliance ou pelo DPO (Data Protection Officer);
3- Faça diagnósticos sobre a lei adaptados à realidade do negócio: a LGPD se aplica a qualquer empresa que lida com informações entendidas como pessoais, embora seja ainda mais rigorosa naquelas que processam dados confidenciais. Visto que a lei tem uma abordagem teórica, as medidas a serem aplicadas ao negócio devem ser adaptadas de acordo com uma avaliação de risco específica para cada negócio;
4- Garanta uma visão estratégica sobre os dados: a governança de dados deve ser liderada por um quadro de políticas e procedimentos alinhados ao direito interno para todo o ciclo de vida das informações. Isso envolve o estabelecimento de controles internos e canais externos para o direito de acesso à informação;
5- Estabeleça um plano de ação baseado na análise de riscos e impactos: uma vez que os ativos de informação, classificados e priorizados, tenham sido identificados, deve-se realizar uma gestão de risco que avalie, de acordo com cada caso, o impacto e o volume dos dados afetados. A partir dessa avaliação de risco, os planos de ação podem ser priorizados para mitigar cada caso. Recomenda-se dar o nível adequado de tratamento a cada ativo de informação e não estabelecer um plano de ação geral que possa atrasar o projeto e não priorizar ativos críticos ou mais sensíveis;
6- Monitore o plano para que não haja desvios do modelo estabelecido: para facilitar o monitoramento, os projetos limitados a cada ativo devem ser definidos de acordo com a priorização realizada na gestão de riscos. Dessa forma, os ativos de informação agrupados por sua criticidade e nível de risco podem ser processados;
7- Prepare-se para tratar incidentes do projeto, como o vazamento de informações: um plano de resposta a incidentes envolvendo as áreas de tecnologia, jurídica, conformidade e comunicações deve estar em vigor. Esses planos devem ser testados para que cada equipe saiba qual é o seu papel e seja capaz de agir rapidamente em caso de incidente, além de incluírem mitigação e recuperação, bem como comunicação interna e externa.
A LGPD contém muitos aspectos que devem ser avaliados de acordo com a particularidade de cada negócio, volume de dados e exposição. O trabalho deve ser feito para alcançar um nível aceitável de risco para o negócio, já que a confiança de clientes ou parceiros é de vital importância e um incidente de vazamento de informações pessoais pode prejudicar a reputação das empresas acima de qualquer dano econômico aplicável ou multa.
(*) Diretor de Segurança da Informação do gA, divisão da Globant que desenvolve e utiliza plataformas para aprimorar a eficiência operacional em grandes empresas.