Proteção de dados pessoais na prática

Todo mundo fala muito sobre proteção de dados pessoais e como é importante com a LGPD. No entanto, às vezes ainda ficamos com dúvidas sobre coisas que o compliance pode fazer na prática.

O conceito de proteção de dados, a Lei e a de repente necessidade de implementação deixou pouco tempo para pesquisa e elaboração de uma estratégia. Por isso, listamos abaixo algumas práticas reais e de fácil implementação que o compliance pode realizar.

1) Mapear entrada e saída de dados pessoais

Um exercício importante para o profissional de compliance entender melhor a parte técnica da proteção de dados, e ainda criar uma estratégia para o compliance, é mapear a entrada e saída de dados pessoais da empresa.

Isso significa documentar todos os pontos em que dados entram, como por exemplo:

• Inscrições em campanhas de marketing
• Coleta de cookies no site da empresa
• Coleta de informações sobre clientes
• Pesquisas de mercado

Além disso, é preciso mapear os pontos de saída, como por exemplo:

• Compartilhamento com distribuidores (endereços, telefone, etc.)
• Transferência internacional
• Inserção em ferramentas terceirizadas*

O clickCompliance, por exemplo, está desenvolvendo uma ferramenta de anonimização de dados. No entanto, deixamos claro que ninguém da nossa equipe tem qualquer contato com os dados, nem os armazenamos. É importante checar se as suas ferramentas também fazem isso.

É claro que as entradas e saídas podem ser infinitas, depende da atuação da empresa. Por isso, não se atenha a esses exemplos.

2) Mapear o tratamento dos dados e os riscos

O próximo passo é pegar esses dados e mapear como eles são tratados entre a entrada e a saída. Você terá que conversar com as diversas áreas envolvidas nesse tratamento, mesmo que seja com um terceiro.

Esse relatório também é conhecido como o ROPA (Record of Processing Activities ou Registro de operações).

Aqui, você deve documentar, por exemplo:

• Quem trata os dados (a área, e até a pessoa ou função específica)
• Quais ferramentas são usadas no tratamento
• Com que frequência os dados são tratados
• Para quais finalidades os dados pessoais são tratados

Lembre-se de que esses são alguns exemplos, mas o tratamento varia muito de empresa para empresa. Procure saber em detalhes como funciona na sua.

3) Categorizar os dados tratados pela empresa

Agora, chegou a hora de categorizar os dados que são tratados. Isso é importante porque você vai entender quais precisam de mais cuidado e vai ajudar na hora de criar políticas, criar o relatório de impacto, etc.

Alguns exemplos de categorizações são:

• Pessoais
• Sensíveis
• Anonimizados
• Diretos
• Indiretos
• De criança ou adolescente

4) Elaborar o relatório de impacto

O relatório de impacto à proteção de dados pessoais (RIPD) ou Data Protection Impact Assessment (DPIA) é um documento feito sobre dados considerados de risco. Por isso é importante fazer a categorização na etapa anterior.

Esse relatório deve conter:

• O motivo da coleta desses dados sensíveis
• Como os dados serão tratados (no mesmo modelo do ROPA)
• Explicar porque esse tratamento é compatível com o motivo da coleta
• As medidas e os processos da empresa para redução e mitigação dos riscos
• As medidas colocadas em prática de proteção de dados

5) Criar políticas corporativas sobre proteção de dados

Depois de tudo isso, é o momento da criação de políticas corporativas sobre proteção de dados pessoais. Ou seja, esses documentos vão especificar a visão da empresa e as exigências dela em relação a dados pessoais.

Elas serão referentes às áreas que foram estabelecidas no início do mapeamento. Ou seja, aquelas que fazem coleta, distribuição ou tratamento de dados considerados de risco.

Essas políticas devem ser feitas de forma clara e direta, apresentando exatamente qual o procedimento para se lidar com os dados para cada área.

Detalhe o que pode ser feito, o que não pode ser feito, outros documentos que precisam ser preenchidos na hora do registro ou tratamento de dados, etc.

Depois, é preciso distribuir essas políticas para aprovação de toda a hierarquia competente, e depois as áreas e pessoas que precisam ler e aceitar.

6) Fazer treinamentos sobre proteção de dados

Um bom complemento para essas políticas é fazer treinamentos de compliance que explicam de forma mais didática o que está nas políticas.

Ou seja, explique de forma mais completa e explicada, dando exemplos práticos, de como seguir os processos da empresa na hora de lidar com dados.

Esses treinamentos podem ser gerais, como para evitar vazamento de dados, ou específicos, como para o departamento de marketing e o que não pode mais com a LGPD.

Procure aplicar algumas boas práticas nesses treinamentos:

• Usar exemplos e situações reais
• Fazer treinamentos periodicamente para estarem atualizados
• Use conteúdos multimídia para manter funcionários engajados
• Tenha relatórios de presença, desempenho, e outros do treinamento
  
  

7) Exigir compliance de dados de terceiros

A sua empresa pode ter a melhor estratégia proteção de dados pessoais. No entanto, de nada adianta se os seus terceiros não estiverem em conformidade também, já que sua empresa pode ser responsabilizada por ações deles também.

Por isso, é preciso solicitar aos terceiros esses mesmos documentos e relatórios detalhados anteriormente. Além disso, inclua terceiros nos treinamentos sobre a proteção de dados na sua empresa.

Além disso, faça políticas direcionadas especificamente para terceiros. Deixe claro o que a sua empresa espera desses terceiros em todos os aspectos da proteção de dados.