Blog Nathalia Bastos do Vale

Blog sobre biodireito, propriedade intelectual e sustentabilidade

7 passos básicos para adequação da sua empresa à LGPD

A Lei Geral de Proteção de Dados (LGPD) já está em vigor e mudanças já são visíveis. A adequação à LGPD já uma necessidade para qualquer empreendedor, em qualquer negócio. Muitas são as tarefas que as empresas precisam rever ou adotar para que estejam 100% em compliance com a lei de proteção de dados.

Para isso, é necessário criar um plano de adequação à LGPD. Sem planejamento, é impossível realizar um bom trabalho e deixar a sua empresa em compliance. Neste artigo, vamos abordar alguns dos passos básicos que qualquer empresa precisa seguir para se adequar à LGPD. É necessário pontuar que esse planejamento é complexo e depende de muitas horas de trabalho e também de investimento. Aqui, vamos apenas mostrar quais são as etapas mais básicas.

Fase 1 – Preliminar

A fase preliminar será a base para a implementação da LGPD. Isso porque, na fase preliminar, você fará o levantamento de informações sobre a empresa a ser adequada à LGPD. Nesta fase, é importante determinar:

  • A natureza jurídica da empresa;
  • Segmento de atuação específico;
  • Tamanho da empresa – número de funcionários e setores;
  • Estrutura administrativa;
  • Verificar se existem atos normativos internos;
  • Quais são os controles existentes como políticas internas, política de segurança da informação, etc.;
  • Quais são os parceiros ou fornecedores da empresa.

Nesta fase, é também importante determinar quais as leis, normas e regulações que a empresa se submete. Dependendo da atividade, a empresa estará sujeita a normativas específicas.

Além disso, é importante criar um comitê da LGPD e analisar o nível de maturidade da empresa quanto à privacidade e proteção de dados.

Fase 2 – Conscientização

A 2ª fase da implementação é a conscientização. A conscientização nada mais é do que demonstrar aos funcionários e diretores da empresa a importância da LGPD.

É necessário fazer uma conscientização completa e acessível, abordando conceitos centrais como dado pessoal, privacidade, tratamento de dados, etc. Além disso, é importante demonstrar algumas regras de conduta básicas voltadas para a privacidade e proteção de dados.

O objetivo dessa fase é plantar a semente para o desenvolvimento de uma cultura empresarial voltada à privacidade e proteção de dados. É importante que todos entendam a importância das mudanças e, de fato, comecem a empregar os princípios que regem a proteção de dados no seu trabalho.

A conscientização é um processo contínuo, não deve ser realizada em um único treinamento, mas sim em treinamentos e workshops periódicos durante toda a implementação da LGPD e, também, após.

Fase 3 – Mapeamento de dados

Nesta fase, é feita uma análise de todos os processos da empresa. Como processo, entende-se todas as atividades essenciais de uma empresa. Por exemplo, venda, prospecção de cliente, marketing, etc.

Em cada processo é necessário fazer um inventário de todos os dados pessoais que são utilizados e como são utilizados. É importante analisar os dados em todo o seu ciclo de vida e todo o seu fluxo em cada um dos processos da empresa.

O mapeamento tem como objetivo identificar fragilidades do tratamento de dados existentes.

Nesta etapa, é imprescindível a atuação da equipe, pois através do contato com cada colaborador será possível identificar quais são os dados tratados por cada um. Assim, é possível identificar quais categorias dos dados, por onde entram, onde ficam armazenados, se são compartilhados com terceiros, quem tem acesso, se vão para outros países, como são descartados, etc.

E qual a forma de realização do mapeamento? Bem, o mapeamento pode ser feito utilizando entrevistas, questionários, planilhas, etc.

Toda atividade é catalogada no  Registro das Operações de Tratamento de Dados Pessoais. Ao final do mapeamento é construído um fluxograma de cada área da empresa para entender melhor o ciclo de vida do dado dentro da empresa e poder identificar as fragilidades e propor soluções.

Fase 4 – Gap Analysis

A fase do gap analysis, ou análise de contingências, serve para verificar quais são os pontos em que existe fragilidade na empresa e quais pontos está em desconformidade com a LGPD. O termo em inglês, significa “técnica que permite identificar as diferenças entre o estado atual de um projeto já existente e a performance que se pretende alcançar ao final desse projeto”.

Nesta fase, é importante uma atuação conjunta entre jurídico e a área de Tecnologia da informação.

Fase 5 – Planejamento

Feita a análise de contigências, é possível identificar o risco que a empresa possui com relação à LGPD. Assim, já foi mapeado, apontado e ranqueados todos os problemas e quais as possíveis soluções. Então, nada mais natural que esta fase englobe o planejamento da estratégia de adequação à LGPD.

Será criado um plano de ação, que determinará o que, de fato, será implementado na empresa para solucionar os problemas ou pelo menos minimizar/mitigar os riscos envolvidos. Esse plano de ação deve englobar as especificidades da empresa, além das atividades necessárias e estabelecimento de datas.

Neste momento, a empresa se encontra em uma posição de desconformidade, mas a partir da execução de determinadas ações, ela entrará em acordo com as definições da LGPD.

Fase 6 – Implementação

Nesta fase, serão colocados em prática os passos do planejamento. É necessário o engajamento de todos da empresa, principalmente do comitê de adequação à LGPD.

Na implementação, além de ações que visem reorganizar processos e melhorar a segurança da informação, poderão ser confeccionados alguns documentos, como:

  • Política de Privacidade;
  • Política de segurança da informação;
  • Contratos;
  • Termos de uso;
  • Política interna de requisição de direitos dos titulares;
  • Guias de boas práticas em segurança de dados, etc.
  • Relatório de impacto à proteção de dados;
  • Plano de resposta a incidentes.

Fase 7 – Monitoramento

Após a implementação da LGPD, é necessário realizar o monitoramento das atividades, identificando o que deu certo e o que pode ser melhorado. Além disso, quando se fala em LGPD e segurança da informação, é necessário ter em mente a necessidade de melhoria contínua, já que os processos são dinâmicos e a cada dia surgem novas ameaças de segurança que precisam ser devidamente combatidas.

Assim, é importante sempre realizar workshops sobre privacidade, auditoria de processos e testes de cibersegurança.

O projeto de adequação é demorado e complexo, porém, necessário a qualquer empresa.

Referências

Guia de Boas Práticas – Lei Geral de Proteção de Dados Pessoais (LGPD) – Governo Digital. Acesse aqui.

Nathalia Bastos do Vale

Olá, eu sou a Nathalia, advogada e mestre em Direito Ambiental. Sou apaixonada por direito, sustentabilidade, tecnologia e design. Neste blog pessoal você encontra conteúdos aprofundados e didáticos sobre tudo que envolve o Direito e a inovação.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Voltar ao topo