Por Anderson Pettirossi Xavier, Data Protection Officer (DPO) da ART IT
Criada para promover a proteção aos dados pessoais de todo cidadão que esteja no Brasil, a Lei Geral de Proteção de Dados (LGPD) altera alguns artigos do Marco Civil da Internet e estabelece novas regras para empresas e órgãos públicos no que diz respeito ao tratamento da privacidade e segurança das informações de usuários e clientes.
A Lei Geral de Proteção de Dados Pessoais estabelece uma série de regras que empresas e outras organizações atuantes no Brasil terão que seguir para permitir que o cidadão tenha mais controle sobre o tratamento que é dado às suas informações pessoais.
Estar 100% pronto para todas as regras definidas/exigidas da Lei Geral de Proteção de Dados (LGPD) não é uma tarefa fácil e nem de curto prazo. Também não existe uma receita pronta, pois cada empresa tem suas particularidades e necessidades.
Por outro lado, existem alguns pontos chave de atenção que podem facilitar a sua implementação: conscientização e treinamento, mapeamento dos dados, análises de gaps, plano de ação e monitoramento.
- Conscientização: todos os colaboradores devem conhecer a LGPD com foco especial no impacto do seu dia a dia, quais itens cada colaborador deve ter maior atenção;
- Mapeamento dos dados: esse, possivelmente, seja o item mais importante – a ideia é ter um diagnóstico de todo o fluxo de dados pessoais – o levantamento deve ser realizado sem filtros justamente para ter a real necessidade de ações nos passos seguintes. A lei obriga o correto tratamento de dados pessoais e toda a cadeia, seja no armazenamento, transmissão, manipulação, entre outros.
- Análises de gaps: após efetuado o mapeamento é preciso analisar os pontos que exigem melhor tratativa, seja mudando processos, implementando criptografia, restringindo acesso, etc. As ações necessária para adequação aparecerão nesta etapa;
- Plano de ação: Com todos os itens que precisarão ser implementados, importante criar um plano de ação com responsável, prazo para ser concluído cada item. Recomendado utilizar a técnica 5W2H;
- Monitoramento: definir períodos de checagem, tanto na fase de implantação quanto após, para garantir que as ações estão sendo implementadas e os dados pessoais protegidos.
Os artigos da LGPD sobre sanções administrativas para quem desrespeitar as regras de tratamento de dados pessoais ainda não estão valendo. Por força da Lei 14.010/20, as sanções entram em vigor a partir de 1º de agosto de 2021. As punições podem chegar até 2% do faturamento até o limite de 50 milhões de reais.
A Lei Geral de Proteção de Dados foi aprovada em agosto de 2018, portanto, ainda há um prazo para que as empresas tenham tempo para se estruturar e conseguir colocar em prática as novas exigências de proteção e transparência no tratamento das informações de seus clientes e usuários.