por Alfredo Martín Cammarota*
O início da vigência da LGPD (Lei Geral de Proteção de Dados Pessoais) pegou muitas empresas de surpresa. Após quase dez anos de discussões, ninguém imaginava que a lei seria sancionada e em meio à pandemia. Com isso, desde setembro, companhias de todos os portes estão correndo contra o tempo para se adequarem às exigências de tratamento de dados pessoais da nova lei.
Apesar
da Autoridade Nacional de Proteção de Dados (ANPD) ainda não fiscalizar as
empresas, outros órgãos, como o Ministério Público, podem mover ações e aplicar
punições baseadas na nova Lei. Portanto, cabe às organizações buscarem o máximo
de eficiência para não errarem nas suas adequações. As dicas abaixo ajudam as
empesas nos principais aspectos neste processo de adequação.
- Evite os atrasos no projeto de LGPD diante da dificuldade de
levantar informações: equipes multidisciplinares devem ser criadas para
trabalhar no levantamento de informações, já que a LGPD não é um projeto
de TI ou de Segurança, mas de toda a empresa. A definição de líderes de
diferentes áreas da empresa acelerará o processo de pesquisa, pois chegará
diretamente aos proprietários dos dados.
- Integre equipes para evitar a falta de liderança entre
os diversos fornecedores do projeto: a equipe de LGPD deve ter um líder
definido que tenha o empoderamento necessário para engajar as áreas
envolvidas, bem como os fornecedores externos. Normalmente, esses projetos
são liderados pela área de Compliance ou pelo DPO (Data Protection
Officer).
- Faça diagnósticos sobre a lei adaptados à realidade do
negócio: a LGPD se aplica a qualquer empresa que lida com informações
entendidas como pessoais, embora seja ainda mais rigorosa naquelas que
processam dados confidenciais. Dado que a lei tenha uma abordagem teórica,
as medidas a serem aplicadas ao negócio devem ser adaptadas de acordo com
uma avaliação de risco específica para cada negócio.
- Garanta uma visão estratégica sobre os dados: a
governança de dados deve ser liderada por um quadro de políticas e
procedimentos alinhados ao direito interno para todo o ciclo de vida das
informações. Isso envolve o estabelecimento de controles internos e canais
externos para o direito de acesso à informação.
- Estabeleça um plano de ação baseado na análise de riscos
e impactos: uma vez que os ativos de informação, classificados e
priorizados, tenham sido identificados, deve-se realizar uma gestão de
risco que avalie, de acordo com cada caso, o impacto e o volume dos dados
afetados. A partir dessa avaliação de risco, os planos de ação podem
ser priorizados para mitigar cada caso. Recomenda-se dar o nível adequado
de tratamento a cada ativo de informação e não estabelecer um plano de
ação geral que possa atrasar o projeto e não priorizar ativos críticos ou
mais sensíveis.
- Monitore o plano para que não haja desvios do modelo
definido: para facilitar o monitoramento, os projetos limitados a cada
ativo devem ser definidos de acordo com a priorização realizada na gestão
de riscos. Dessa forma, os ativos de informação agrupados por sua
criticidade e nível de risco podem ser processados.
- Prepare-se para tratar incidentes do projeto, como o
vazamento de informações: um plano de resposta a incidentes envolvendo as
áreas de tecnologia, jurídico, conformidade e comunicações deve estar em
vigor. Esses planos devem ser testados para que cada equipe saiba qual é o
seu papel e seja capaz de agir rapidamente em caso de incidente, além de
incluírem mitigação e recuperação, bem como comunicação interna e externa.
A
LGPD contém muitos aspectos que devem ser avaliados de acordo com a
particularidade de cada negócio, volume de dados e exposição. O trabalho deve
ser feito para alcançar um nível aceitável de risco para o negócio, já que a
confiança de clientes ou parceiros de negócios é de vital importância e um
incidente de vazamento de informações pessoais pode prejudicar a reputação das
empresas acima de qualquer dano econômico aplicável ou multa.
*Alfredo
Martín Cammarota é diretor de Segurança da Informação do gA, divisão da Globant
que desenvolve e utiliza plataformas para viabilizar inovação e eficiência
operacional em grandes empresas.