No dia 18 de Setembro de 2020 a Lei Geral de Proteção de Dados (LGPD) finalmente entrou em vigor. Após a sua aprovação em 2018, as empresas tiveram 2 anos adequar seus processos.
Embora as sanções administrativas nela previstas permaneçam adiadas até agosto de 2021, incluindo as multas, que podem chegar a 50 milhões de reais ou a 2% do faturamento anual das organizações, diversas novas vulnerabilidades já surgiram para as empresas.
Em 02 de Outubro a Cyrela foi condenada pelo Ministério Público de SP a pagar R$ 10 mil a um cliente que teve seus dados compartilhados com parceiros sem autorização.
Para estar em conformidade com as mais de 50 obrigações trazidas pela LGPD existem alguns passos que as organizações precisam seguir em sua jornada de adequação à nova lei, como demonstrado abaixo:
Como qualquer iniciativa dentro da companhia, sem o apoio dos responsáveis por gerir as operações da organização e sem a demonstração explícita de comprometimento dos mesmos aos esforços destinados para a adequação da empresa à LGPD, dificilmente a empresa terá sucesso em sua jornada. É preciso garantir o apoio na mudança de cultura, além da disponibilidade de tempo e recursos.
Um dos principais passos na jornada de adequação de uma organização se dá através de um mergulho em suas operações para que seja possível a identificação de:
Todas essas informações permitem a elaboração de um Inventário de Dados, do Fluxo de Dados da empresa e do Registro das Atividades de Tratamento por ela conduzidas.
A organização deve mapear quais são as regulações e legislações de privacidade aplicáveis à atividade empresarial que desenvolve e avaliar qual seu grau de atendimento aos requisitos trazidos pela LGPD.
Com base no mapeamento das atividades de tratamento de dados pessoais realizada no segundo passo, a organização deve definir qual é a base legal, dentre as dez previstas para dados pessoais e as oito para dados pessoais sensíveis, que autoriza a condução que cada uma das operações de tratamento performadas pela empresa.
As companhias devem identificar os riscos de privacidade dados aos quais estão sujeitas, e, quais os controles necessário para mitigá-los.
Com base nas informações coletadas nos passos anteriores, a organização deve detectar quais são as ações que necessitam ser tomadas para sua adequação às obrigações presentes na LGPD, traças um cronograma para a condução destas ações, e, definir prazos e responsáveis por cada uma delas.
Dentre os possíveis endereçamentos estão a designação de um “encarregado de dados” (DPO), a elaboração das políticas e procedimentos pertinentes como:
O ciclo PDCA é totalmente aplicável a um programa de privacidade. Sua adequação deve ser periodicamente monitorada e os aprimoramentos relevantes continuamente implementados.
Com o início da vigência da LGPD as organizações já estão vulneráveis e a jornada de adequação é longa. Por isso, quanto antes as empresas se movimentarem, mais cedo reduzirão sua vulnerabilidade às consequências do descumprimento das obrigações presentes na LGPD.