Se existe um tema que tem ocupado a mente da maioria dos empresários brasileiros, além da situação econômica do País, é a Lei Geral de Proteção de Dados Pessoais (LGPD), que entrará em vigor a partir de agosto do ano que vem. Se na teoria ela veio para tornar mais transparente a relação das empresas com seus clientes, na prática é vista como uma missão quase impossível. Isso porque estar em conformidade com todos os requisitos exige um nível de conhecimento dos processos internos e das mais variadas fontes de dados que a empresa possui que vão além dos controles manuais e das planilhas no Excel.
A boa notícia é que ainda dá tempo de se adequar à lei. Para ajudar a vislumbrar um horizonte em meio a tantas discussões, reuni neste artigo o que eu considero serem os 10 principais passos para trilhar esta jornada da LGPD. São eles:
- Mapeamento dos dados pessoais, riscos de vazamento e forma de mitigação
Nesta etapa a área de TI terá papel fundamental para reunir todas as fontes de dados que a empresa possui. Sejam eles dados de clientes, como é o caso das instituições financeiras, e também dos próprios funcionários. Esse mapeamento tem como objetivo identificar os potenciais riscos de vazamento e traçar as melhores estratégias para preservar esse banco de informações.
- Adaptar os documentos de comunicação com os clientes internos e externos
Todos os documentos oficiais da empresa deverão atender às normas da nova legislação. Neste sentido, o departamento jurídico irá conduzir a revisão de todos os contratos e outros documentos (impressos e digitais) para a realização de uma atualização e padronização.
- Criar a política de proteção de dados para que a empresa tenha transparência de suas responsabilidades
Não tem segredo, para que as boas práticas sejam conhecidas por todos, a empresa precisa reunir em um manual todas as diretrizes que deverão ser seguidas com informações e passo a passo para a tratativa dos dados pessoais que incluem o atendimento ao cliente.
- Criação da Área de governança responsável por verificação da proteção dos dados com a indicação de um DPO com conhecimento jurídico e regulatório.
O profissional que irá conduzir todo o processo de implementação da LGPD é chamado de DPO (do inglês Data Protection Officer), mas é importante que a empresa se conscientize da complexidade dessa tarefa e crie um grupo de apoio que pode ser um comitê ou área específica para as discussões do dia a dia durante esse processo.
- Processo de validação das bases legais aos dados pessoais tratáveis
Tendo mapeada todas as fontes de dados pessoais que a empresa possui, é chegada a hora de validar as bases legais para cada tratativa dessas informações. Essa validação é uma forma da empresa explicar ao governo o motivo de manter os dados e para qual finalidade cada um deles é usado. Vale lembrar que existem muitas formas de validação legal e não apenas o "consentimento ou autorização" que é quando a empresa pergunta ao cliente se ele autoriza usar os dados para determinada finalidade.
- Criar um processo para gerenciamento dos pedidos dos titulares e dos órgãos reguladores
Nesta etapa é fundamental detalhar o procedimento padrão para os pedidos dos clientes ou dos órgãos reguladores que podem fiscalizar a empresa a qualquer momento e questionar os diversos aspectos legais da LGPD.
- Treinamento das equipes internas que gerenciam os dados pessoais (internos e externos)
O treinamento dos funcionários é uma etapa muito importante que garante, entre outras coisas, um alinhamento das equipes de trabalho que lidam com os dados pessoais, sejam eles de clientes ou dos próprios funcionários, como é o caso da área de Recursos Humanos, por exemplo.
- Elaboração de um plano de segurança da informação que tenha como foco proteção dos dados pessoais
Esse passo visa proteger a empresa de futuros problemas com o tratamento desses dados. É recomendável que todas as planilhas sejam automatizadas para facilitar a pesquisa às fontes de informações.
- Exigir o compliance da proteção de dados de seus fornecedores e parceiros
Não adianta praticar todos os passos anteriores se seus parceiros e fornecedores não estiverem de acordo com a lei. E mesmo que você não lide diretamente com os clientes finais, as empresas pelas quais você presta determinado serviço já estão de olho nesta cláusula contratual.
- Concepção de novos produtos com o princípio de privacidade de dados — Privacy by design
Com todos os documentos mapeados, fontes de dados seguras e bases legais escolhidas, agora é caminhar para frente. Inclua o tema da privacidade de dados durante o desenvolvimento de novos produtos e serviços para que a LGPD faça parte da cultura organizacional da sua empresa.
Fabio Braz, vice-presidente de Negócios da Mandic Cloud Solutions.