O processo de adequação à Lei Geral de Proteção de Dados (LGPD) em uma empresa pode ser rápido ou demorado. Isso dependerá do status atual da empresa em relação às práticas de segurança e privacidade dos dados e, também, do seu nível de conformidade com as exigências da lei.
TREINAMENTO
Antes de iniciar o diagnóstico é essencial garantir o alinhamento de todos os colaboradores sobre a importância de estarem em conformidade com a lei. Isso é feito, por meio de treinamentos com todos os membros da equipe, inclusive do corpo diretivo da empresa. É de suma importância a conscientização e o engajamento da diretoria sobre a necessidade de adequação à LGPD, principalmente, para motivar os demais colaboradores.
GRUPO DE TRABALHO
Em seguida, forma-se um grupo de trabalho com as lideranças das áreas envolvidas, como tecnologia da informação, recursos humanos, marketing, vendas, jurídico, compliance e qualquer outra área que trate dados de pessoas físicas. Este grupo será o responsável por coordenar os trabalhos. Neste momento, pode-se, também, indicar quem será o encarregado de dados pessoais, o responsável, conforme previsto na lei, para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Neste ponto, inicia-se o diagnóstico, etapa em que é feito o registro da situação atual da empresa.
MAPEAMENTO DOS DADOS
Na primeira parte do diagnóstico, é feito o mapeamento (data mapping) de todos os dados pessoais tratados pela empresa. Aqui é importante entender: Onde estes dados estão armazenados? Em meio físico (exemplo, papel)? Em ambiente offline (como em planilhas na área de trabalho ou no disco de um desktop)? Em pastas de redes ou em ambiente virtual? É muito comum encontrar neste mapeamento, arquivos com dados importantes isolados em diversos equipamentos da empresa, sem que haja o devido cuidado com a segurança destas informações.
Também, neste ponto, é preciso entender os motivos pelos quais os dados estão armazenados, a sua utilidade, quem os manipula, quais os níveis de segurança destas informações, se possuem backup, de quem são estes dados e qual a finalidade de tê-los.
O entendimento do ciclo de vida dos dados é feito em conjunto com o grupo de trabalho, por meio de entrevistas com as áreas que tratam os dados e com o mapeamento dos processos, políticas internas, tecnologias utilizadas, parceiros e terceiros envolvidos no processo.
Ressalta-se que os colaboradores do grupo de trabalho deverão ser estratégicos do ponto de vista de conhecimento sobre a sua área de atuação, acesso aos dados e processos internos, para que a atividade de mapeamento seja efetiva.
AVALIAÇÃO
Nesta etapa são realizadas as avaliações dos resultados colhidos por meio das entrevistas e do mapeamento dos dados. Desta forma, é possível realizar a Gap Analysis, avaliar todos os processos, produtos e serviços que envolvam o tratamento de dados pessoais, identificar todos os pontos que necessitam se ajustar às novas regras e, assim, mitigar os riscos. Uma outra necessidade, se for o caso, será a de elaborar um Relatório de Impacto à Proteção de Dados (RIPD).
PLANEJAMENTO
Após, conscientizar os colaboradores, por meio dos treinamentos, mapear os dados pessoais e avaliar os dados, chega-se à etapa do planejamento do plano de ação de implantação. Para esta etapa, pode-se utilizar o já conhecido PDCA (planejar, desenvolver, controlar e avaliar). Aqui é importante priorizar as atividades de acordo com os riscos observados na Gap Analysis e tratar, prioritariamente, os pontos mais importantes e que estejam mais desajustados.
Assim, com o Plano de implantação pronto, a próxima etapa será a implantação deste Plano. A partir deste ponto que será revistas as políticas de segurança da informação, os códigos de conduta, especialmente, os que regem o uso e tratamento de dados pessoais, os contratos (com clientes, fornecedores, parceiros, terceiros etc.), os termos de uso e de confidencialidade, as políticas de privacidade e todos os instrumentos necessários para operação do negócio.
A Total Privacy é uma consultoria especializada em assessorar as organizações na implantação do plano de adequação à Lei Geral de Proteção de Dados Pessoais. Para mais informações sobre nossos serviços, envie um e-mail para contato@totalprivacy.com.br.
Julio Cesar Segantini
Consultor de Privacidade e Proteção de Dados Pessoais da Total Privacy