QUARTA-FEIRA, 28 DE JULHO DE 2021 - Horário 14:36
Especialista dá dicas para descobrir o nível de adequação da empresa à LGPD
Tecnologia / Passando a valer a partir de 1º de agosto e com multas que podem chegar a R$ 50 milhões, muitas empresas ainda não têm conhecimento do atual estágio de maturidade em que se encontram para a adequação?da Lei Geral de Proteção de Dados (LGPD).?Algumas estão em fase de mapeamento de processos e riscos, outras se movimentam para reforçar controles de segurança externa, como o bloqueio de cookies, e há aquelas companhias mais avançadas, que optaram pela figura do?DPO (Data?Protection?Officer) as a Service?como forma de garantir a proteção de dados dos indivíduos, sob os olhos de um profissional especializado.
"Muitas organizações em estágio?progressivo?de governança vivem o dilema de não saberem lidar com o famoso o dia depois de amanhã, que é quando as punições já estão em vigência, mas falta?o?entendimento prático e técnico em manter em dia as atualizações e proteções dos dados", explica Fernando Santos, especialista em?cibersegurança?e?head?de soluções da?Certsys,?empresa especializada em soluções para?Transformação?Digital e inovação.
Pensando nisso, com o objetivo de apoiar companhias de todos os?tamanhos?nas melhores práticas à LGPD, o executivo da?Certsys?elencou as três fases principais que determinam em qual estágio de maturidade as organizações se encontram.??
Fase 1 - LGP: O que é??
São as corporações que sabem da lei, mas não tem conhecimento para iniciar a jornada. Nessa etapa?é interessante indagarcom as seguintes?perguntas:?"Nós sabemos quais os dados são tratados pela minha empresa?";?"Eles são pessoais?"; "São RG, CPF, número da?conta-corrente?do banco. E quais destes dados são sensíveis?". O desafio?aqui?é ter um time multidisciplinar capaz de ter visibilidade sobre todos os dados que são tratados pela empresa, do RH ao financeiro, da portaria até o comercial. Isto precisa ser feito sob a supervisão de um profissional qualificado para entender o risco e?a?necessidade do tratamento?correto?de cada uma das informações. Ações de transparência com o mercado são essenciais nesta fase.?Desconfie se a organização tiver um site que não possibilita ao cliente, ou ao visitante, selecionar a coleta de cookies; que não permite entender a política de privacidade ou entrar em contato com os responsáveis pela privacidade.? Por isso, é importante realizar não só as adequações internas, mas demonstrar o compromisso ético com os dados pessoais utilizados dos clientes e usuários.?
Fase 2 - "Estou tranquilo, já tenho mapeados os processos, tenho um antivírus e minha TI cuida dos dados"?
É a empresa intermediária, que está entre a fase de estruturação e de adequação. Realiza movimentos tímidos e, muitas vezes, opta por soluções caseiras, tanto na acomodação de colaboradores vindos de outras áreas quanto na adesão tecnológica de soluções modulares de segurança. Porém, vez e outra, se pergunta sobre a legitimidade dos dados que circulam nos sistemas da companhia. "Qual a finalidade de uso destes dados? Eu tenho direito de usar esses dados?".
Este é o cenário mais comum?e,?igualmente,?o mais arriscado.?Quando?a companhia?acredita estar pronta?para a LGPD,?mas na prática ainda existem muitas brechas e?trabalho?de conformidade?pela frente.?Não é raro ver empresas designando profissionais da TI ou do departamento jurídico para o papel do DPO sem uma qualificação prévia ou um plano para que estes profissionais saibam como conduzir um projeto de adequação da forma correta. O?comitê de privacidade, junto do DPO, deverá?determinar as ações preventivas com o objetivo de identificar e mitigar possíveis riscos jurídicos e técnicos que podem afetar a empresa como um todo, além de ter um modelo de respostas em caso de questionamentos dos titulares ou até mesmo da autoridade nacional de proteção de dados.?
Nesta fase é importante que a empresa saiba responder alguns questionamentos básicos, de forma clara, segura e objetiva como,?por exemplo:?"Eu sei quais são os dados pessoais que são tratados?";?"Tenho isto documentado?";?"Consigo identificar a localização de um dado pessoal em sistemas e arquivos?";?"Quais medidas foram tomadas para proteger estes dados e quem tem acesso a eles?".?
Se a resposta?for?difícil, é sinal de que ainda tem bastante trabalho pela frente e?possíveis?riscos que ainda não foram sequer identificados.?O?maior problema?nesta fase é?não saber quais?as?reais?vulnerabilidades?que a empresa corre.?
Fase 3 -?02 de agosto: o dia depois de amanhã?
A companhia investiu em estrutura robusta, profissionais especializados em governança de dados e tecnologias capazes de bloquear qualquer vazamento interno ou até mesmo uma má intenção de hackers. Está tudo certo no que tange às regras da LGPD. Porém, os esforços de conscientização não podem se concentrar apenas nos dias que antecederão agosto. É preciso pensar no "pós". Por isso, o responsável precisa revisitar sistemas, mapear riscos e outras ações visadas para assegurar os dados dos usuários. O lema aqui é: prudência nunca é demais.
As mudanças acontecem?de maneira dinâmica,?as áreas de negócios têm cada vez mais autonomia de decidir quais softwares serão utilizados,?os?fornecedores escolhidos e quais serão os?processos criados. Com esta agilidade, também vem o questionamento se todas estas mudanças estão sob os olhares do DPO e do?comitê de privacidade. A aquisição de uma plataforma de marketing ou de um sistema de vendas podem?implicar diretamente no respeito ao direito dos titulares.?É importante saber que a LGPD não é algo nos moldes de "implantado e finalizado".?Pelo contrário, a privacidade aos dados pessoais deve fazer parte da cultura da empresa e ser assunto recorrente?hoje, amanhã e sempre.
Para ter uma ideia de como o consumidor está atento à lei, em menos de um ano de vigência, a LGDP já embasou cerca de 600 sentenças judiciais de cidadãos que questionam o uso de seus dados por empresas. Das 598 decisões já tomadas em todos os tribunais do país de 18 de setembro de 2020, data de sanção da lei, a 25 de junho deste ano, a metade trata diretamente de proteção de dados pessoais e privacidade, conforme?levantamento realizado pela?Juit,?especializada no uso de ferramentas automatizadas para fazer varredura de tribunais.?
Santos finaliza ao dizer?que a visão da LGPD para algumas empresas ainda é limitada. 
Website: http://www.certsys.com.br