Quando a entrada em vigor da lei ainda estava planejada para daqui a poucos meses, o mercado já apontava uma séria deficiência nos preparativos das empresas para estar em conformidade com a LGPD.
De acordo com uma pesquisa da Associação Brasileira das Empresas de Software (ABES) em parceria com a EY, apenas 38% das empresas estão de acordo com as exigências da lei.
Inclusive, a falta de preparação é tão assustadora que foi um dos argumentos para o adiamento da entrada em vigor antes da pandemia do Coronavírus.
O grande medo agora é que as empresas cometam o mesmo erro e pensem na prorrogação da LGPD como um motivo para prorrogar colocar medidas para estar em compliance com a LGPD na prática.
Mas começar a se adequar à nova lei pode acontecer gradualmente, começando por alguns passos cruciais que vão construir uma base para que seja mais fácil adotar outras medidas de proteção de dados no futuro. Continue lendo para entender esses passos mais importantes.
Escolher um DPO
O Data Protection Officer (DPO) é uma ótima forma de começar porque é um profissional especializado no assunto. Esse profissional trabalha junto com o compliance para construir um diálogo entre os titulares dos dados, o compliance e autoridades nacionais.Devido ao profundo conhecimento do tema e das necessidades da empresa de acordo com a lei, a seleção desse profissional é um bom primeiro passo na adequação à LGPD na prática.
No entanto, é importante lembrar que esse profissional só é obrigatório em empresas grandes ou com grande quantidade de dados pessoais. São essas que têm processos de tratamento e proteção de dados mais complexos.
Empresas menores normalmente não precisam investir nesse profissional, porque é possível fazer os seus processos dentro do próprio compliance e com os profissionais de T.I.
Fazer relatórios de impacto e mapeamento
Fazer relatórios de impacto e de mapeamento são umas das tarefas básicas mais trabalhosas. No entanto, são extremamente básicos e importantes para a adequação à LGPD. O lado bom é que esses relatórios são basicamente mapeamentos de riscos, uma ferramenta bem conhecida dos profissionais de compliance.Existem dois relatórios mais importantes que são citados na LGPD e na GDPR. São o ROPA e o RIPD.
Record of Processing Activities ou Registro de operações (ROPA): Esse relatório é um registro de todos os detalhes mais importantes do tratamento de dados na empresa. Exige pesquisa extensiva do tratamento de diferentes dados em diferentes setores.
Alguns exemplos de dados (que podem variar de acordo com a empresa) são:
- Quem trata os dados
- Quais ferramentas são usadas no tratamento
- Com que frequência os dados são tratados
- Para quais finalidades os dados pessoais são tratados
Relatório de impacto à proteção de dados pessoais ou Data Protection Impact Assessment (RIPD/DPIA): Esse relatório é parecido com o ROPA, mas é um pouco mais elaborado. Nele o compliance deve focar em riscos presentes no tratamento.
Ao mapear esses riscos, esse relatório também deve apresentar os meios empregados pela empresa para minimizar esses riscos e dar justificativas para a coleta e o tratamento dos dados pessoais.
Alguns exemplos de tópicos nesse relatório são:
- O motivo da coleta desses dados sensíveis
- Como os dados serão tratados (no mesmo modelo do ROPA)
- Explicar por que esse tratamento é compatível com o motivo da coleta
- As medidas e os processos da empresa para redução e mitigação dos riscos
- As medidas colocadas em prática de proteção de dados
Fazer esses relatórios pode não parecer muito “básico” devido ao trabalho necessário para fazer a pesquisa e montar o documento. No entanto, não é muito diferente do mapeamento de riscos que o compliance já deveria estar fazendo em outros setores.
Além disso, se feito de início e corretamente, vai direcionar com muito mais facilidade e organização as próximas atividades do compliance quanto à proteção de dados, tornando o trabalho do compliance mais tranquilo a longo prazo.
Fazer a anonimização de dados
Os dados que empresas coletam são certamente um ativo muito valioso, e realmente ajudam a tornar experiências de usuários melhores e a tomar importantes decisões estratégicas na empresa.Porém, muitas vezes supervalorizamos a importância de termos dados pessoais, ou seja, que identificam o titular do dado. São esses os que a LGPD regulamenta e que ferem a privacidade de cidadãos.
Se for realmente importante tratar dados pessoais, as justificativas podem ser explicadas no ROPA, por exemplo. Mas e se não houver uma boa justificativa? E se o dado pessoal não for necessário para o tratamento que você quer fazer?
Um bom exemplo disso são denúncias em um canal de denúncias. Dados que possam identificar pessoas não só não são necessários para a investigação da denúncia, como um risco para a objetividade do processo de investigação.
Como fazer a anonimização?
A solução para isso são as ferramentas de anonimização. Esse processo oculta de algum texto os dados pessoais, como nomes, endereços e outros. A recomendação é integrar uma ferramenta dessas com os pontos de entrada dos dados.Assim, a empresa não terá nem que começar a manusear dados pessoais, e por isso também não terá que aplicar diversos procedimentos de proteção de dados como os recomendados pela LGPD.
Essa é uma forma simples de implementar a LGPD na prática, e que vai diminuir muito o tempo desperdiçado em procedimentos e justificativas para o tratamento de dados que nem precisavam ser pessoais.
0