Os reais e necessários passos para uma empresa adequar-se à LGPD
Uma instituição preparada para cumprir a Lei Geral de Proteção de Dados entrega confiança, estabilidade e solidez no mercado. Conheça os 10 passos que levam à real conformidade da LGPD
Adequar-se à LGPD é um processo que exige empenho e prioridade. A lei, que entrou em vigor em 14 de agosto de 2020, ainda está se solidificando na cultura da sociedade brasileira, mas as empresas, para não sofrerem sanções ou outros prejuízos — como uma imagem comprometida no mercado — precisam entrar, plenamente, em conformidade o quanto antes.
O caminho à adaptação leva alguns meses, a depender da diligência da empresa como um todo. Segundo Amauri Franco, gerente de Projetos LGPD da Flowti, é possível terminar um programa de adequação em quatro meses, embora isso seja difícil acontecer, uma vez que as empresas têm diversos projetos simultâneos. Sem contar que, muitas vezes, o engajamento da liderança não acontece como deveria, o que acaba prolongando essa jornada ainda mais. “O líder tem de dar o exemplo, mas ele nem sempre faz isso. Se ele delega o mapeamento das atividades para outra pessoa da equipe, mas ele mesmo não se envolve, não sai nada”, conta Amauri.
De acordo com o especialista, o programa de adequação à LGPD da Flowti tem uma metodologia em 10 etapas, que auxiliam as empresas a se adequarem de forma gradativa, estruturada e, especialmente, completa, uma vez que muitas companhias encontram-se vulneráveis em termos de orientação e suporte.
-
KickOff
Tudo começa pela definição, por parte da empresa, do seu Encarregado de Dados, também conhecido como DPO (Data Protection Officer), que pode ser um profissional CLT, do corpo de colaboradores, ou um terceiro contratado só para isso. Ele acompanha todo o processo de adequação e continua a atuar mesmo depois da implementação do programa, porque vai cuidar da manutenção da aplicação da lei dentro da organização. Aqui, também é definido quem participa do Comitê LGPD (ou de Privacidade e Proteção de Dados – cada empresa dá o nome que quiser). Deve ser composto por pessoas de diferentes áreas que envolvem dados. Entre as principais, estão o RH, a TI, o jurídico e a alta direção. Mas, também, pode ter representantes de outros setores, como comercial, qualidade, administrativo, financeiro e, no caso, de uma instituição de Saúde, do atendimento ao paciente.
-
Diagnóstico da empresa
Depois de definir as pessoas-chave do processo, avalia-se o momento em que a empresa está com relação à lei. “É um diagnóstico situacional, em que a gente faz uma análise de maturidade do conhecimento dos colaboradores por amostragem, com 20% a 25% da empresa”, conta Amauri. As pessoas selecionadas devem responder a um questionário com 50 perguntas relacionadas à lei, à privacidade e à proteção de dados. “Esse indicador inicial é importante porque isso será repetido a cada seis meses, para avaliar o quanto a empresa está evoluindo na sua maturidade LGPD”, explica o especialista.
Nesta etapa também é avaliada a segurança da informação por meio de um questionário de 188 perguntas com o pessoal da TI. São respostas binárias (sim ou não), sobre o que há em termos de segurança. Mas é preciso ter documentos para dizer se uma ação é ou não feita na instituição. “A LGPD é uma lei de provas. Não adianta, mediante uma fiscalização ou auditoria da Autoridade Nacional de Proteção de Dados (ANPD), por exemplo, só dizer que toma as medidas corretas de segurança. A auditoria vai perguntar onde está a evidência”, alerta Amauri.
-
Treinamento do DPO
Como o Encarregado de Dados é uma profissão nova, criada pela necessidade da legislação, ele precisa receber treinamento prático.
“A lei não estabelece de onde deve vir essa pessoa, qual a formação dela, isso ficou bastante aberto e abrangente, o que é bom. Então, a gente dá um treinamento de uma semana, passa todas as instruções do que deve fazer parte da rotina do DPO, para o que ele deve olhar, o que fazer e as suas responsabilidades", destaca Amauri Franco.
-
Mapeamento de dados
Consiste em descrever os processos e atividades de todas as funções que tratam dados pessoais dentro da organização. É feito internamente, pelos líderes das áreas, como gerente, coordenador ou supervisor. “Tem empresa que faz o programa de adequação e vai pela linha de processo. Mas, o processo é algo muito mais macro e que, dentro dele, há muitos subprocessos, que podem ser definidos como atividades”, conta Amauri. Para ilustrar, ele conta o que acontece no RH:
“Dentro do processo seletivo de um novo colaborador existem várias fases: o recebimento e análise do currículo, a entrevista e outras etapas da seleção. Depois, tem a admissão em si, com a necessidade de documentos. Se eu mapeio tudo isso como um único processo, temos uma única linha nesse mapa e uma única base legal. Mas, ao desdobrar em várias atividades, para cada uma eu posso ter uma base legal diferente. E é isso que a gente quer. A gente precisa que cada atividade tenha a sua base legal.”
Isso acontece porque o cenário muda a cada etapa. Ao receber o currículo, pode ser que haja somente dados comuns. Mas em uma entrevista, se feita por vídeo, muda completamente a base legal. Sem contar que, numa entrevista, são requisitados dados classificados como sensíveis. Então, a abordagem tem de ser outra. “Daí a importância de mapear as atividades sempre por setores.”
-
Foco na TI
Nesta etapa é feito um assessment de segurança na infraestrutura de tecnologia da empresa. O objetivo é checar as vulnerabilidades do ambiente digital, bem como a maturidade dos colaboradores para lidar com os riscos de ataques cibernéticos. Uma das ações é o teste do e-mail Phishing. Os funcionários recebem um e-mail suspeito, com um link supostamente malicioso — mas é apenas uma simulação autorizada pela direção e área de TI. Se o colaborador clicar na URL da mensagem, é redirecionado para uma página que diz que ele caiu no phishing e que deve fazer um treinamento, porque se fosse um e-mail de verdade, estaria colocando a empresa toda em risco. “O alvo de um criminoso não é o equipamento do funcionário em si, mas é, por este computador, entrar na rede corporativa e chegar até os servidores”, explica Amauri.
-
Mapa de riscos
Com os dados recolhidos nas etapas anteriores, é o momento de fazer o Risk Assessment, que é a documentação de todos os riscos que foram mapeados e entregue para a empresa. “É uma atividade que o cliente faz com o comitê e o DPO para avaliar os riscos que foram identificados, gerando ali um grau de probabilidade e impacto. Isso gera um nível de risco e, a partir daí, define-se quais as soluções serão usadas para mitigar os problemas de risco”, diz o especialista.
-
Análise documental
“Essa é uma etapa que a gente trabalha com a assessoria jurídica, que nos apoia para fazer a conformidade documental, ou seja, as políticas dos contratos. A empresa reúne tudo o que tem de contrato — com o colaborador, com os clientes dele, com parceiros que tratam dados pessoais, terceiros, fornecedores — e vai nos enviar. Assim, a assessoria jurídica começa sua análise”, conta Amauri.
-
Conformidade documental
Uma vez que todos os contratos foram avaliados, a empresa recebe uma devolutiva com indicações sobre as principais mudanças de cláusula contratual para ficar adequada à LGPD, os aditivos de contrato, a política de privacidade que deve entrar no site, a política de coleta de cookies, entre outros pontos.
-
Treinamentos
Na reta final, acontece o programa de educação em LGPD, com treinamentos e workshops, para trazer a cultura da privacidade de proteção de dados para dentro da empresa. “Os colaboradores, que são as pessoas que vão realmente lidar com os dados pessoais no dia a dia, precisam estar treinados. Devem saber identificar quando é dado pessoal comum, pessoal direto ou indireto e sensível. Também precisam saber que existe um Encarregado de Dados na empresa e que ele é o ponto central no que diz respeito à LGPD”, conta Amauri.
-
Conclusão do projeto
O último passo é apenas uma conclusão, uma reunião de formalização de entrega do projeto finalizado.