Dono de uma das maiores economias digitais do mundo, o Brasil aprovou a Lei Geral de Proteção de Dados (LGPD) em agosto de 2018, logo depois da promulgação da GDPR na Europa e de outras leis de privacidade de dados em outros países. Produto de muita discussão, o início da vigência da Lei ainda é uma incógnita, uma vez que tramita um projeto de lei que tenta alterar a data de obrigatoriedade da LGPD de agosto de 2020 para o mesmo período em 2022.
De qualquer maneira, a nova regulamentação que já conta com um órgão fiscalizador estruturado — a Autoridade Nacional de Proteção de Dados (ANPD) — trará padrões para coleta, uso e processamento de dados pessoais. Com a Lei prestes a entrar em vigor, diversas organizações já estão buscando soluções para cumprir com as novas determinações.
De início, cabe identificar onde a sua empresa se encaixa dentro da LGPD. Caso encontre dados pessoais de brasileiros em sua operação, independentemente de ser uma empresa global sem filial no País, é altamente provável que você se enquadre no escopo da lei.
Aqui estão nove etapas para o cumprimento adequado da LGPD:
1. Identifique se a empresa está dentro do escopo da LGPD: conduzindo um exercício de mapeamento de dados para identificar que tipo de banco de dados pessoais você possui.
2. Nomeie um oficial de proteção de dados (DPO), que pode ser um especialista ou uma consultoria.
3. Trabalhe com o DPO para criar políticas e procedimentos para o seu programa de privacidade de dados, como políticas para realização de Avaliações de Impacto na Privacidade de Dados e Avaliações de Risco na Privacidade.
4. Aproveite seu exercício de mapeamento de dados para identificar a base legal para o processamento de dados pessoais
5. Crie um processo escalonável para lidar com os direitos de acesso do titular dos dados. Isso precisará ser feito da perspectiva do empregador e da perspectiva do cliente, dependendo de onde sua empresa opera.
6. Verifique se você possui contratos de proteção de dados apropriados com seus fornecedores.
7. Colabore com sua equipe de Segurança da Informação para garantir que a organização esteja implementando os controles técnicos apropriados para proteger dados pessoais.
8. Treine os seus colaboradores para garantir que eles estejam em conformidade com as obrigações relacionadas a LGPD e sempre documente que todos já receberam o treinamento apropriado.
9. Estabeleça uma auditoria periódica e exercícios frequentes de mapeamento dos dados que a empresa possui. A auditoria será a base do programa de conformidade, pois permite identificar quaisquer alterações e rapidamente preencher eventuais lacunas que você possa ter em relação a sua política de privacidade.
O cumprimento da LGPD não é uma tarefa que será feita de uma só vez, pois sempre haverá novos desafios e demandas após o início do programa de conformidade. Inclusive, o trabalho pode implicar em uma mudança da cultura organizacional para garantir que o seu negócio proteja a privacidade dos seus funcionários. Se a sua organização não cumprir com as determinações da LGPD, estará sujeita a multas, ocasionando na perda de confiança por parte dos seus funcionários e clientes.
Não seja uma dessas organizações.
Por Lécio de Paula, Diretor de Data Privacy da KnowBe4