No primeiro Capítulo da Série “LGPD na Prática” ficou claro que a grande maioria das empresas será afetada, direta ou indiretamente, pela nova regulamentação brasileira em virtude dos novos direitos dos usuários titulares de dados, o que fez surgir, por conseguinte, inúmeras obrigações legais a serem respeitadas por essas organizações dentro do prazo estabelecido, ou seja, até 15 de agosto de 2020.
À primeira vista, o prazo legal para adequação à norma pode até parecer elastecido, contudo uma análise mais apurada não só dos encargos legais, mas, principalmente, da realidade das organizações, mostra a necessidade de se iniciar imediatamente um projeto estruturado para harmonização de suas operações às novas regras.
Por tais motivos, destaquei primeiramente a necessidade das empresas de manter uma estrutura de governança de dados, ou seja, certificar de que existem na organização pessoas responsáveis pela privacidade e gestão dos dados e procedimentos para reporte de incidentes.
Para tanto, sugere-se sejam seguidos os seguintes passos:
1. Nomear um Encarregado de Proteção de Dados (DPO – Data Protection Officer), responsável por supervisionar a estratégia e a implementação da proteção de dados para garantir a conformidade com os requisitos não só da LGPD, mas de outras normas internacionais as quais a empresa eventualmente esteja submetida, recebendo, processando e solucionando as reclamações e comunicações dos titulares de dados e da autoridade nacional e orientando colaboradores e terceiros a respeito das melhores práticas no que tange ao tratamento e processamento de dados pessoais. Ou seja, sua função será a de educar sobre os requisitos de conformidade, treinar todos os envolvidos, realizar auditorias regulares de segurança, manter registros abrangentes de todas as atividades e atuar como interface entre a organização, os titulares dos dados e a Agência Nacional de Proteção de Dados (ANPD). A norma não inclui uma lista de credenciais para o DPO, mas recomenda-se fortemente que seja um profissional, ou uma empresa, que tenha conhecimento especializado de leis e práticas de proteção de dados, que esteja alinhado com as operações , a infraestrutura e os sistemas de tecnologia da informação da organização e, principalmente, que conheça os riscos envolvidos neste particular, considerando as especificidades do negócio e da empresa. Idealmente, o DPO deve ter habilidades de gerenciamento e capacidade de interagir com a equipe interna, terceiros, titulares de dados e órgãos oficiais. É necessário que as informações do DPO sejam públicas e fornecidas a todas as agências de supervisão regulatória.
2. Envolver a Alta Administração e a Gerência Sênior da organização, pois assim como em um Programa de Integridade, a adequação à LGPD exige buy-in do corpo diretivo e dos principais líderes, de modo que todos devem compreender os riscos cibernéticos a que qualquer empresa está exposta, além de estarem alinhados às estratégias e objetivos das normas internas relacionadas ao processamento e tratamento de dados . Nesse sentido, recursos suficientes devem ser alocados para desenvolver, implementar, manter e melhorar os respectivos controles internos e sistemas de segurança da informação. A apresentação de reportes periódicos às partes interessadas sobre o status do processo de adequação a LGPD, neste particular, é fundamental. Nesse sentido, sugere-se que o tema seja debatido de forma recorrente em fóruns da alta direção, tais como reuniões do Conselho de Administração ou Diretoria para que se garanta que o órgãos máximos de gestão mantenham supervisão suficiente com linhas de subordinação e prestação de contas clara, a fim de demonstrar conformidade com as normas.
3. Atribuir responsabilidades pela privacidade dos dados em toda a organização. A nomeação de um Encarregado de Dados não o transforma no único responsável pelo tema dentro de uma corporação. É importante entender que existem departamentos que colhem e tratam dados pessoais periodicamente, tais como recursos humanos e marketing, para citar dois dos principais. Deste modo, os gestores dessas áreas devem estar amplamente envolvidos com o cumprimento da política de privacidade de dados e das obrigações legais advindas da LGPD. Recomenda-se, neste particular, que no próprio job description de profissionais dessas e de outras áreas que tenham contato direto com dados pessoais sejam incluídas obrigações relacionadas à observância das normas internas e externas.
4. Implementar processos de comunicação regular entre todos os envolvidos, pois uma das mudanças mais importantes que a LGPD trouxe é a obrigação das organizações de relatar em tempo razoável toda violação de dados. Procedimentos bem definidos de interação entre o Encarregado de Dados e os colaboradores, terceiros que eventualmente prestem serviços de processamento ou tratamento de dados, titulares e autoridades regulatórias devem ser sistematizados em um plano de comunicação de crise, tendo em vista o exíguo tempo para apuração e remediação de tais situações e, principalmente, os riscos reputacionais de vazamento da informação dessa , o que acarreta na imperiosa necessidade de preparar declarações reativas para tratar o assunto, em especial no caso de marcas e empresas conhecidas.
5. Realizar periódicas avaliações de riscos, de modo a criar uma conscientização quanto às possíveis consequências de uma violação e a importância de aprimorar os controles e sistemas de segurança cibernética, políticas e procedimentos de governança de dados. É importante verificar se as medidas técnicas e organizacionais adotadas pela empresa e por terceiros que eventualmente processem ou tratem dados para esta, são suficientes para proteger a confidencialidade, integridade e disponibilidade dos dados. Por isso, testes de penetração regulares de sistemas de TI e de restauração do acesso a dados pessoais no caso de violações, além da revisões das melhores práticas e de novas tecnologias para mitigar o impacto de potenciais problemas, são interessantes ferramentas de auxílio ao aperfeiçoamento das estruturas de salvaguarda. E, se num primeiro momento, as organizações possam vir a assumir que os únicos riscos que enfrentam são de invasões ou roubo de dados, é importante ressaltar a responsabilização das empresas no caso de destruição, perda ou divulgação acidental ou ilegal dos dados o que vai muito além de simples ataques de hackers.
No próximo capítulo, irei analisar a importância de se preservar um inventário de dados pessoais e definir os mecanismos de transferência de dados.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
Comentários