194 views 5 mins

Adequação à LGPD: o que fazer e o que não fazer

em Tecnologia
quarta-feira, 25 de agosto de 2021

A LGPD (Lei Geral de Proteção de Dados Pessoais) é um dos desafios empresariais da transformação digital, afinal, dados pessoais são um dos principais ativos da atualidade. Para estarem em compliance, as empresas terão que considerar a privacidade de seus funcionários e clientes, além de adequarem seus sistemas e processos a essa nova cultura.

A empresa pode começar a sua preparação reforçando a segurança da informação dos principais sistemas que tratam dados pessoais, reduzindo, dessa forma, o risco de vazamento. Com essa prevenção, será garantida a harmonia com os princípios da segurança e prevenção, presentes na LGPD. Vale lembrar que é necessário construir, em paralelo, um procedimento de gestão de incidentes para cumprir obrigações e mitigar impactos com rapidez.

Por outro lado, é importante disponibilizar políticas, avisos de privacidade e um canal de atendimento para que os titulares se informem e solicitem correções, deleção dos dados e exerçam outros direitos. Seja em sites ou formulários institucionais, tudo precisa ser transmitido de forma objetiva. A LGPD elenca a transparência como um princípio chave para a conformidade e isso se reflete em dar às pessoas as informações e o acesso.

Um dos principais desafios é garantir aos possíveis clientes a opção de gerenciar as suas preferências e, ao mesmo tempo, o controle do uso de seus dados. A depender do volume de titulares envolvidos e do segmento de negócio, é recomendado avaliar a utilização de um software de privacidade para apoiar a gestão do consentimento de ações de marketing e comunicação. Nesse sentido, a LGPD é um marco para as empresas fortalecerem um relacionamento de confiança e respeito, sendo essencial uma comunicação que não invada a privacidade das pessoas.

Outro ponto a considerar nessa jornada é a inclusão da privacidade e proteção de dados no monitoramento corporativo de riscos. Só em 2020 foram registradas no Brasil mais de 8,4 bilhões de tentativas de ataques cibernéticos, segundo relatório divulgado pelo FortiGuard Labs e, já em 2021, presenciamos casos de mega vazamentos de dados pessoais, números que ressaltam a importância de monitorar os riscos de privacidade, pois descuidar disso pode acarretar danos contratuais e reputacionais, além de penalidades financeiras e administrativas aplicáveis a partir de primeiro de agosto de 2021 pelo órgão administrativo ANPD (Autoridade Nacional de Proteção de Dados).

Parte desse risco pode estar relacionado ao compartilhamento de dados com terceiros e parceiros comerciais. Por isso, identificar com clareza quais terceiros tratam dados pessoais, ajustando contratos e acordos, garante proteção e limitação de finalidade e uso dessas informações, evitando que os riscos se materializem. Como sugestão, pode-se optar pela criação de um procedimento específico para realização de due diligence.

Além de aplicar as medidas mencionadas, é preciso se atentar para o que não deve ser feito, como, por exemplo, pensar na privacidade como algo passageiro. A proteção de dados é um desdobramento da virtualização dos negócios, ou seja, deve-se pensar na privacidade como parte da governança. Quando a empresa deixa de atribuir papéis e responsabilidades de privacidade para as principais áreas de negócio e não nomeia um encarregado de dados, os impactos podem ser consideráveis na confiança e sustentabilidade da organização a curto e médio prazos.

Nesse sentido, montar equipes multidisciplinares para tratar o tema e avaliar a contratação de uma consultoria especializada pode ser um grande diferencial. Ver a necessidade de adequação à LGPD como uma oportunidade de rever processos, aperfeiçoar tecnologias, mapear riscos e endereçar soluções é uma forma de construir um futuro a partir de uma obrigação do presente.

(Fontes: Bruno dos Santos é gerente e Tainã Dias da Silva é especialista, ambos da área de Data Privacy da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados).