Em um mundo onde a informação tem muito valor, cuidar e proteger dos dados tornou-se essencial, deixar para última hora a adequação da empresa a Lei Geral de Proteção de Dados pode ser um problema, vale ressaltar que entrada em vigor da lei exige das empresas, não só os custos da implementação, mas também gastos com a manutenção. O investimento inicial é, portanto, apenas parte do que as empresas vão precisar destinar para cumprir as exigências da lei, ao longo do tempo.
Para falar mais sobre esse assunto, entrevistamos Ramon Ito, sócio e responsável pela área de LGPD e GRC da Safeway Consultoria.
Minha empresa ainda não começou a adequação a lei. Qual o primeiro passo?
Essa é uma dúvida bem recorrente, praticamente todas as empresas que estão na etapa inicial tem essa dúvida. O recomendado é começar é fazer uma primeira pergunta “Você já começou a estudar sobre esse assunto, sabe o que é LGPD?”, se a resposta for não, é recomendado que comece por aí, estudando, pesquisando, faça uma leitura da lei. Depois, buscar cursos, principalmente agora que estamos em uma pandemia, em home office, facilmente se encontra vários cursos online gratuitos e muita informação nas redes sociais.
Caso seja algum tema mais específico, que não se encontra facilmente na internet, sugerimos que faça uma pesquisa em inglês que você irá encontrar algo relacionado à sua busca, pois provavelmente deve haver conteúdo da Europa, pois a GDPR já entrou em vigência há dois anos, então estão bem mais adiantados. Feito esse estudo inicial, faça o diagnóstico para identificar quais ações a sua empresa irá necessitar para se adequar a Lei Geral de Proteção de Dados Pessoais. Nesse diagnóstico é feito uma correlação, com uma consulta médica que você vai até o médico, faz o diagnóstico para ver qual é o problema, o médico faz alguns questionamentos, pede alguns exames e te dá o diagnóstico do problema que você está tendo com a sua saúde. A LGPD é a mesma coisa, nós entendemos os processos, dos dados pessoais, o fluxo dos dados, como são coletados, como são processados, como são armazenados e como é feito o descarte. Com essas etapas mapeadas, a Safeway já consegue entender quais ações deve-se tomar para que a empresa se adeque a lei.
Soluções de segurança aplicáveis a proteção de dados, são uteis durante e após o processo de adequação?
Existem diversas soluções de segurança da informação que não são uteis para LGPD, mas são uteis para você garantir a proteção dos seus dados. Existem soluções básicas como o antivírus, anti malware, SIEM para fazer um monitoramento a correlação dos blogs e ativos de rede, soluções de gestão de acessos, tendo em vista que a LGPD trata de dados pessoais, então você tem que garantir que os seus funcionários/colaboradores, tenham acesso ao que é realmente necessário, sem acessos indevidos, soluções como IAM conseguem garantir que os acessos estejam corretos.
Devo criar uma equipe específica para atuar no processo de adequação?
Dependendo do tipo de empresa, por exemplo, um grande banco varejista e de grande porte, lá eles criaram uma equipe específica para tratar do assunto, mas não necessariamente essa equipe vai tratar de todos os assuntos relacionados a LGPD, até porque, é uma lei que todas as áreas estarão envolvidas, todas as áreas da empresa tem acesso a um dado pessoal. Então sugerido, até para empresas de menor porte que não tem condições de criar uma equipe específica para tratar desse assunto, é que criem uma estrutura organizacional, um comitê, onde você defina o encarregado da proteção de dados, essa pessoa que será o DPO, definir um cronograma para essas reuniões para tratar desses assuntos. Nesse comitê o ideal seria envolver pessoas chave das áreas mais importantes, das áreas de segurança da informação, jurídico, TI, RH, entre outros.
Essa área ficaria sobre responsabilidade do jurídico ou da área de segurança?
Essa é uma dúvida comum entre os clientes, geralmente são essas duas áreas que buscam mais para saber sobre o assunto, que tem mais dúvidas, porque já estão mais aprofundados no tema e as equipes que foram designadas a ter essa responsabilidade dentro da empresa. Não tem certo ou errado, se seria o jurídico, a área de segurança da informação ou uma área de compliance, para tocar esse assunto dentro da empresa. O ideal é que de fato tenha esse comitê, que será multidisciplinar e que essas áreas estejam envolvidas independentes da área que será responsável a essa frente ou não.
Quem é o DPO e qual o perfil mais adequado para esse profissional?
O DPO tem esse nome por conta da GDPR por ser o Data Protetion Office, e aqui no Brasil na LGPD, ele é chamado de encarregado de proteção de dados. A função desse encarregado de proteção de dados ainda não está muito definida em relação ao que vai executar, precisamos aguardar a ANPD dar essas diretrizes. Mas o recomendado são três pontos: não necessariamente essa pessoa precisa ser um gerente ou diretor, mas o ideal é que essa pessoa tivesse livre acesso aos executivos da empresa e tenha autonomia para executar os seus trabalhos, ser uma pessoa que não tenha dependência com outras áreas, até porque não faria sentido um DPO precisar decidir entre proteger os dados dos titulares, ou ter que divulgar algum vazamento de dados que aconteceu por alguma falha que tenha cometido, ou algum contrato que ele acabou não escrevendo. Então ter independência entre as áreas, ter conhecimento sobre a empresa e vivência, pode ser uma pessoa física ou jurídica, o recomendado é que seja uma pessoa que conheça essa empresa, conheça as pessoas e os processos, tenha participado desde o começo da adequação dos requisitos da lei, e outro ponto importante, a lei permite que esse DPO seja nomeado pelo grupo, mas o ideal seria ter o conhecimento do idioma português para conseguir interagir com a ANPD, pois não faria sentido, por exemplo, um DPO de um grupo francês com empresa no Brasil, que só fale francês, ele não conseguiria interagir com autoridade e com os titulares, então o idioma também é um fator importante.
Qual a importância do envolvimento da área de TI ou de segurança na adequação da LGPD?
De extrema importância que tenha participação dessas duas áreas mais técnicas, até porque você não consegue ter privacidade dos dados se eles não estão protegidos, então de fato essas áreas darão todo o suporte para proteger os dados e informações da empresa.
Gostou deste artigo? Continue acompanhando nossos conteúdos e webinars. Se inscreva em nossa newsletter:
Você também pode se interessar por: