Nos últimos meses, participei de diversas reuniões e apresentações sobre a LGPD (Lei Geral de Proteção de Dados), onde percebi que várias consultorias e escritórios de advocacia se tornaram especialistas do dia para a noite.
Nestas reuniões, muito se fala sobre a interpretação da lei, porém, não são apresentadas abordagens práticas – ou seja, como de fato implantar a LGPD nas organizações. Caso você se faça esta pergunta, a famosa resposta “depende” se aplica, pois cada organização tem um modelo diferente.
Para saber se a LGPD é aplicável à sua empresa, responda às seguintes perguntas:
· A empresa tem estabelecimento no Brasil?
· Oferecem serviços ao mercado/consumidor brasileiro?
· Coletam, tratam ou armazenam dados de pessoas localizadas no País?
Caso uma das respostas seja sim, você terá que aplicar os controles da lei em questão.
Com o intuito de colaborar com a comunidade de Segurança, resolvi escrever este artigo para fornecer um direcionamento com pontos relevantes a serem considerados.
Sendo assim, explico abaixo 4 passos que podem ser muito úteis para as organizações que desejam implantar a LGPD de forma prática:
1. Criação de um comitê multidisciplinar: dificilmente uma equipe única poderá avaliar todos os aspectos da lei. Assim, um dos primeiros aspectos que sugiro é a criação de um comitê multidisciplinar envolvendo, no mínimo, as seguintes equipes: Negócios, Jurídico, RH, Segurança, Infraestrutura e Desenvolvimento.
2. Assessment do ambiente: Para ter visibilidade de todo ecossistema da organização e suas efetivas aplicabilidades perante a lei, um assessment poderá ajudar a visualizar melhor onde deve-se aplicar os esforços, baseado na sua criticidade. Lembrando que os membros do comitê serão extremamente úteis para apoiar nesta fase, visto que os mesmos serão os pontos focais dentro de cada área para a realização do assessment.
3. Desenho dos processos: com base em todas as informações coletadas e mapeadas, este é o momento de direcionar os esforços. O comitê ajudará muito nesta etapa, considerando que todos deverão atuar em conjunto para que as atividades possam ser realizadas em paralelo.
4. Implantação dos controles: Após o mapeamento e desenho de todos os processos, tecnologias e pessoas que serão afetados pela adequação à LGPD, chegou a hora de colocar a mão na massa e seguir com a implantação do planejamento.
Com base nos pontos apresentados acima, as empresas poderão desenvolver uma jornada para cumprimento da lei que será possível somente com muita dedicação de todos os envolvidos. Visto que as atividades ocorrerão em paralelo, será necessária uma mudança de cultura na organização, para que todas as áreas passem a trabalhar dentro das normas da LGPD.
Bom, amigos, espero que este artigo tenha colaborado, pelo menos de forma macro, para que a sua jornada da Lei Geral de Proteção de Dados se inicie. Este será um grande desafio para diversas empresas do Brasil.
Sucesso a todos!
Alex Amorim é Superintendente de Cyber Security na Conductor Meios de Pagamentos