Como fazer, LGPD

A entrada em vigor da LGPD está cada vez mais perto, e profissionais de Compliance estão (ou devem estar) atentos a diversas especificidades da lei. Entre vários termos novos que surgiram no texto da lei e novas funções para a equipe, o Compliance Digital deve ser o centro das atenções em 2020. Abaixo, listamos 10 coisas que você deveria estar fazendo para implementar o Compliance Digital.

1. Contratando um DPO

O Data Protection Officer é Pessoa física ou jurídica nomeada pelo controlador, que vai atuar como um canal de comunicação entre o controlador (a empresa), os titulares dos dados e a autoridade de proteção de dados (que no caso do Brasil é a ANPD).

Esse profissional não é obrigatório para todas as empresas. No entanto, empresas que detêm um grande volume de dados pessoais ou sensíveis precisam sim ter uma pessoa dedicada à proteção desses dados. Se for o seu caso, não demore na contratação, porque ele vai ajudar em diversas etapas da criação do programa de Compliance Digital.

2. Análises de vulnerabilidades

Essa etapa é importante não só para o Compliance Digital, como para o Compliance em geral. A diferença é que quando o assunto é proteção de dados, existe um mundo novo de perigos e vulnerabilidades que eram preocupação específica da TI.

Por isso, é preciso fazer um mapa de riscos novo para esse tipo de risco. Faça perguntas como: existe alguma brecha na segurança do meu banco de dados? Quem são os funcionários que têm acesso a dados sensíveis? Existem profissionais de T.I suficientes para fazer uma boa proteção dos dados?

3. Treinamentos para funcionários

Esse é um outro pilar dos programas de Compliance em geral que precisa ser revisto para o Compliance Digital. Tenha certeza de que você consegue aplicar treinamentos sobre como se proteger de vazamentos ou ataques a todos os funcionários.

Alguns funcionários estão em posição favorável a venda ou vazamentos de dados, por exemplo. É importante também verificar se a sua plataforma de treinamentos consegue aplicar treinamentos específicos para setores mais vulneráveis sobre ética e a importância de manter esses dados seguros.

4. Pensando além da LGPD

Um erro muito comum quando surge uma nova lei é direcionar o mínimo de esforços para cumprir com o mínimo dos requisitos para estar em conformidade. O mesmo se dá em relação à LGPD. Empresas implementam o básico para estar em conformidade, o que resulta em um programa fraco.

O que a Lei Anticorrupção nos mostrou é que a tendência é surgirem novas legislações cada vez mais severas, tanto nacionais quanto internacionais. Isso deve ser ainda mais forte com a proteção de dados. Por isso, aproveite agora para criar uma base sólida para que seu programa de Compliance Digital cresça conforme for preciso e possível.

5. Investindo em tecnologia

É impossível pensar em Compliance Digital e LGPD sem pensar em tecnologia. Para conseguir implementar Compliance e proteção em um ambiente sinônimo de tecnologia, é preciso usar ferramentas à altura.

Hoje em dia existe uma infinidade de ferramentas e soluções disponíveis para suprir as necessidades específicas de cada empresa. Faça uma boa pesquisa e, a partir da sua análise de vulnerabilidades e de conversas com seu DPO e a T.I., escolha a que melhor encaixa na sua empresa.

6. Divulgando a sua segurança

Uma parte importante do programa de Compliance é a divulgação dele e das medidas que estão sendo implementadas. Não só isso aumenta a visibilidade e interesse em seu programa de proteção de dados, ajuda a aumentar a confiança na sua empresa.

Seus funcionários, futuros funcionários, acionistas e organizações de fiscalização vão confiar muito mais em você tendo acesso rápido e fácil ao que você faz no Compliance Digital. Alguns exemplos são colocar seções sobre proteção de dados no seu site, compartilhar os treinamentos dos funcionários, publicar indicadores sobre seu programa, etc.

7. Criando políticas específicas sobre proteção de dados

Políticas corporativas são outro pilar do programa de Compliance, e no Compliance Digital não é diferente. É preciso ter políticas claras e objetivas que detalham normas, procedimentos e processos que devem ser seguidos.

Assim, seus funcionários sabem o que eles precisam fazer para manter dados em segurança e o que pode ou não pode ser feito. Além de diminuir a probabilidade de alguma atitude ilícita ou antiética por parte de funcionários, você tem a segurança e a evidência de que seus funcionários sabem que atos não devem cometer.

8. Formando diálogo entre Compliance e T.I

Esse ponto é um dos mais importantes e vai permear todo o seu programa de Compliance Digital. A partir de hoje, os setores de Compliance e da T.I precisam estar sempre se comunicando e trocando conhecimentos.

É a partir desse diálogo que você vai aprender em que o Compliance precisa direcionar os esforços. Você também vai definir estratégias e processos que funcionários devem tomar no dia a dia, que vai fazer parte das suas políticas e procedimentos internos, dos seus treinamentos, e ainda das suas campanhas de conscientização.

9. Fazendo um Data Protection Impact Assessment (DPIA)

Esse documento é um registro das atividades de tratamento de dados que podem ser de risco aos titulares dos dados. Além disso, detalha a implementação de medidas de mitigação de danos.

Basicamente é um relatório de gestão de riscos que resume a situação da empresa. É um documento muito importante, porque pode ser requerido pela ANPD para comprovar os esforços da sua empresa em proteger dados que ela possui.

Fica claro que a proteção de dados, a adequação à LGPD e o Compliance Digital não são tarefas fáceis. Isso é ainda mais preocupante devido à rápida aproximação da entrada em vigor da LGPD. Por isso, não deixe para depois a execução do seu programa e das suas estratégias.