Faltam menos de 30 dias para que a Lei nº 13.709/2018 – A Lei Geral de Proteção de Dados Pessoais passe a vigorar, e embora algumas empresas já até tenham feito o mapeamento de dados e estejam bem avançadas no processo de adaptação, muitas delas sequer iniciaram qualquer ação nesse sentido. Se este é o seu caso, preparamos esse artigo no intuito de ajudá-lo a refletir por onde começar e guiá-lo nos seus primeiros passos.
O primeiro ponto é entender o porquê da criação da lei e o seu escopo: os dados pessoais na internet trouxeram inúmeras facilidade para os usuários, porém, um revés da sua utilização é que ele se tornou também uma mercadoria. O problema não é utilizar os dados pessoais de um indivíduo, mas sim sem o consentimento dele e no intuito de manipular suas decisões.
Depois entender o quanto a lei impacta na sua organização, e isso vale para aqueles que usam, manipulam, armazenam e compartilham dados pessoais e/ou sensíveis do usuário, com certeza você entenderá a importância de se adequar. Atente-se que por dados, compreende-se dados dos clientes, colaboradores, ex colaboradores, futuros colaboradores visitantes, etc.
Entendida a lei, seu escopo e impactos, vamos ao trabalho:
#1 Defina uma estratégia
O objetivo dessa etapa é definir um plano inicial de trabalho. Um deles é se a questão será resolvida internamente, ou se será contratada uma consultoria para realizar um workshop inicial de sensibilização. Além disso, é necessário ter um orçamento, um responsável para articular o tema dentro da organização, realizar um assessment para obter um cenário inicial e ter um plano do programa para dar início às próximas etapas.
Dica dessa etapa: além de sensibilizar a alta gestão e definir um responsável, como se trata de um trabalho multidisciplinar, defina bem os papéis e responsabilidades. Outro ponto importante é que não dá pra falar sobre LGPD sem considerar a maturidade em Segurança da Informação da sua empresa, uma vez que são conceitos mutuamente dependentes.
#2 mapeie o ciclo de vida dos dados
Do inglês data mapping ou também chamado de inventário de dados pessoais, é nessa etapa que a organização irá descobrir os titulares dos dados que capta, usa, trata e armazena. Além disso, terá outras informações como o local de armazenamento, de que forma está protegido e quem tem acesso.
Como fazer? Pode-se utilizar o modelo padrão de mapeamento de processos, com a ajuda do clássico excel, ou se pode sofisticar o processo com formulários online. Existem também ferramentas de data mapping que ajudam no levantamento de dados estruturados e não estruturados, lembrando-se que o mapeamento deve abranger ainda os dados analógicos.
Uma dica importante no mapeamento, além dos contratos, é levantar os fornecedores e os projetos correspondentes. O inventário é algo vivo e deve-se mantê-lo atualizado sempre! Se a sua organização for grande, você pode e deve definir, além do DPO, alguns líderes locais de privacidade de dados, que possam apoiar o DPO ou o gerente do programa, caso a sua organização ainda não tenha definido um encarregado.
#3 priorize e defina um plano de ação
Com o mapa feito, identifique os gaps de coleta, processamento e armazenamento dos dados pessoais. Agora é a hora de priorizar as ações, definindo os critérios de priorização e riscos. No final dessa atividade, você terá um grande mapa de riscos e uma considerável lista de ações. Algumas ações se repetirão para mais de um processo, a essas nós chamamos de cross.
Uma dica importante nessa etapa será a ação coletiva de vários setores, ou seja: o negócio, TI, segurança da informação, compliance, fornecedor (se for o caso), enfim todos os envolvidos nos processos.
#4 estruture governança de privacidade
Esta é a cereja do bolo do processo. É aqui que se diz como se dará o modus operandi. Comece definindo as diretrizes e políticas de Privacidade, revise a política de Segurança da informação, defina os processos de gestão dos dados pessoais e sensíveis, revise o código de conduta. É uma etapa de muita escrita e definição das políticas e processos.
Dica: existe um modelo internacional: o Nymity Privacy Framework. Confira, pode ser útil
#5 plano de comunicação
A esta etapa eu gosto de chamar de 5Cs, porque envolve: comunicar, conscientizar, capacitar, colaborar e (a)culturar. Você deve criar um plano, definindo todos os públicos (que podem variar), use os canais já existentes na organização (sites, gestão a vista, reuniões, road shows, redes sociais, etc), busque as áreas parceiras (RH, Comunicação, Suprimentos, Marketing, etc). Cada público pode ter abordagens diferentes, então a periodicidade também pode variar, tenha muita atenção aos detalhes, com isso você terá uma Jornada da Proteção na sua organização.
Dica: não negligencie essa etapa, faça das pessoas o elo forte do processo!
#6 implemente os processos
Lembra os gaps levantados e a governança de privacidade? Então, agora é hora de colocar isso em prática. Esta fase terá muito ajuste em processos de coleta (incluir consentimento), processamento (podem mudar responsabilidades de acessos), retenção (tempo de cada dado), compartilhamento, remoção, anonimização…
Dica: defina os data owner e capacite com a visão de riscos para que eles deixem os processos simples e efetivos
#7 implemente tecnologia
Antes de sair adquirindo ferramentas, a etapa 2 e 3 são pré requisitos para essa. Com o plano de ação definido você saberá quais são as tecnologias necessárias. Defina uma arquitetura estratégica de segurança e privacidade, com isso em mãos, faça as RFPs e vá ao mercado! As ferramentas de tecnologias essenciais serão: blindagem de dados, anonimizadores, gestão de identidades, cofres de senhas, portal de privacidade e Gestão de consentimentos.
Dica: faça benchs com empresas para as soluções e negocie em grupos, com certeza essa é a etapa mais cara e que envolverá mais especialistas. Uma boa fonte para esta fase é esta:
https://www.iso.org/obp/ui/#iso:std:iso-iec:27701:ed-1:v1:en
#8 monitore
Depois das 7 etapas concluídas, é hora de verificar se os controles definidos na etapa de governança (4) estão em compliance. No primeiro momento ainda terão muitos ajustes de processos e com certeza o cobertor será curto e algo terá ficado de fora, por isso essa etapa é essencial. Diferentemente de uma implantação de um ERP, que em pós produção vai se ajeitando, aqui o mais assertivo significa o menos arriscado e com menor exposição. Caso os itens não estejam em compliance retorne às etapas anteriores.
Dica: desde a etapa 1 documente tudo! E valide com o jurídico, com isso você garante um processo maduro, com o mínimo de risco e sem negligência.
Este texto foi escrito e colaborado por Vanessa Matos