A Lei Geral de Proteção de Dados (LGPD) brasileira é uma legislação que estabelece regras sobre o tratamento de dados de dado pessoais, tendo como base 10 princípios, que objetivam proteger a privacidade e garantir direitos as titulares.
Sua implantação precisa ser vista não mais como uma burocracia, uma obrigação legal, mas como um programa capaz de trazer inúmeros benefícios à marca e ao negócio, ao abrir espaço para a inovação, entregar maior eficiência operacional, melhorar a gestão e impactar na confiança dos consumidores sobre a marca.
Para facilitar o seu entendimento sobre como funciona o processo de implementação, a HSBS trouxe uma analogia diretamente do mundo dos negócios, de qualidade: imagine o processo de implementação da LGPD nas empresas como um ciclo PDCA (Plan, Do, Check, Act, ou em português, Planejar, Fazer, Verificar e Agir) com 5 etapas centrais: Definir, Educar, Identificar, Proteger, Evoluir.
Vamos conhecer melhor cada um deles?
Se preferir, ouça esse conteúdo:
Se preferir, ouça esse conteúdo:
Para finalizar, lembre-se de ter em mente sempre que a consistência é um passo muito importante do seu projeto. A empresa tem que ter uma consistência em tudo que faz. E, quando você aplica essa privacidade, você dorme tranquilo. O gestor pode que dormir tranquilo, sabendo que pode vir qualquer fiscalização e ele está adequado; sabendo que está conseguindo atender às necessidades dos titulares de dados, os seus funcionários, os seus clientes, os seus fornecedores. E você está contribuindo para uma sociedade melhor. Você está transformando a sociedade visando melhorar o futuro.
Quando começamos a pensar na necessidade de adequação de uma empresa à LGPD, o primeiro passo é uma ação que utilizamos para grandes projetos na vida: o planejamento, nós precisamos definir as ações que nos farão alcançar determinado objetivo.
Você já se perguntou por que os cursos de informática possuem uma disciplina chamada “Engenharia de Software”? É porque vamos lá na engenharia buscar o conceito da construção de projeto, de levantar os requisitos, os recursos, as fases, o caso, as obrigações legais. Então, como vamos fazer o projeto de um software, chamamos de engenharia de software.
Sendo assim, quando nós vamos pensar em um processo, um projeto, de adequação à LGPD, a gente primeiro define as necessidades, os recursos e os requisitos.
Porque tudo que é planejado, é mais fácil. Flui melhor, as coisas funcionam.
Na jornada de adequação à LGPD é necessário incluir a educação das pessoas que fazem parte da Na jornada de adequação à LGPD é necessário incluir a educação das pessoas que fazem parte da empresa sobre o tema, até para que elas entendam a importância e engajem no projeto.
E essa educação deve começar pela alta gestão. Aqui na HSBS, por exemplo, uma das nossas primeiras ações é uma reunião com a diretoria das empresas, que serve para conscientizar aquelas pessoas que são, vamos dizer, as peças-chaves dentro da empresa; as que vão fazer o projeto fluir.
E essa não é uma estratégia nova, quem trabalhou com a implantação das ISOs há vinte, trinta anos, já possuía esse método. Porque se a alta gestão não cobrar, não exigir e não acompanhar, o projeto não vai ter sucesso.
O segundo passo dentro desse tópico de educação é criar um grupo que vai disseminar, que vai propagar o tema dentro da empresa que a gente chama, na maior parte das vezes, de Comitê da Privacidade. Ele é composto por pessoas que operam os dados pessoais dentro da empresa, pessoas que conhecem os processos da empresa.
As pessoas que compõem o comitê tornam-se embaixadores da privacidade, e são eles que participam de seminários, com oficinas e trabalhos práticos, para que entendam o conceito da Lei Geral de Proteção de Dados e possam disseminar isso para os demais colaboradores da empresa.
É fundamental que todos os funcionários da empresa estejam cientes das políticas de privacidade e dos procedimentos de segurança da informação adotados pela empresa.
Todos nós somos atores e público. Todos nós somos titulares de dados dentro de uma empresa, dentro de uma sociedade. E dentro da empresa, nós somos também controladores e operadores. Nós estamos dos dois lados. Dessa forma você se identifica com essa jornada da privacidade e se apaixona pelo tema.
Identificar é como fazer uma radiografia.
Mais do que em uma fotografia, em que você vê apenas o que está aparente, o que está por fora, sua camisa, se está com barba, sem barba. Quando você tira uma radiografia, você vai olhar lá dentro do pulmão. Então o que fazemos é uma radiografia da empresa.
E quem nos apoia nessa etapa do processo é justamente o Comitê de Privacidade. É nessa fase que ocorrem as entrevistas com os setores dentro da empresa para que seja possível para nós, consultores, identificar em quais procedimentos há manipulação de dados pessoais e como esse dado é tratado.
Vamos deixar claro: coletar, armazenar ou até descartar dados, tudo isso é considerado um tratamento de dados para a LGPD. O que chamamos de “Comitê da Privacidade” ajuda a descrever como cada processo é feito, identificando os riscos ou inadequações.
A partir desse processo de identificação é feita uma análise de risco, o que chamamos de gap.
Gaps são aqueles pontos que não estão de acordo com o que a lei pede. E é a partir dele que é gerado o plano de ação, com a descrição de atividades e medidas que devem ser executadas para corrigir o que não está de acordo com a LGPD.
O plano de ação é a implantação dessas mudanças na empresa, ou seja, dos equipamentos, dos processos e dos termos jurídicos, dos acordos, para que ele fique adequado com a lei e tratem os dados das pessoas com responsabilidade, com segurança. E, o mais importante, a mudança na cultura da empresa.
É nessa etapa que passamos por medidas importantes, tais como:
– Revisão das políticas de privacidade: revisar as políticas de privacidade para que elas expliquem claramente quais dados pessoais são coletados, como são usados e como são protegidos é fundamental no processo de adequação à LGPD;
– Designação de um encarregado de proteção de dados (DPO): é obrigatório ter um DPO responsável por garantir que a empresa esteja em conformidade com a LGPD. O DPO deve ser um profissional capacitado para lidar com questões de privacidade e proteção de dados;
– Implementação de medidas de segurança: a empresa deve adotar medidas de segurança para proteger os dados pessoais dos titulares, tais como criptografia, backups regulares, controle de acesso aos dados e monitoramento de incidentes de segurança.
A jornada de adequação à LGPD não passa apenas pelo técnico ou pelo jurídico, mas por todas as pessoas da empresa que fazem o processo acontecer.
Entenda que a LGPD é uma jornada com começo e sem fim. Ela não termina, está sempre melhorando. E quando a gente fala em sempre melhorar, a gente se lembra do PDCA, criado pelo William Edwards Deming, que nos traz os conceitos de qualidade total.
Então nós definimos, educamos, identificamos, criamos o plano de ação e agimos; agora é hora de verificar em que pontos ainda é possível melhorar. É um processo.
Para finalizar, vale lembrar que a Lei Geral de Proteção de Dados protege sua empresa de possíveis invasões e coloca o negócio em um patamar elevado de credibilidade. Uma vez que a privacidade esteja estabelecida, multas e sanções não afetaram o empreendimento.
Para trilhar essa jornada de adequação, conte com a HSBS para entregar uma consultoria que atende a multidisciplinaridade da Lei, que exige conhecimento jurídico, processual e de Tecnologia da Informação para que a avaliação dos processos seja realizada corretamente.
Aprenda mais: Minicurso de Introdução à LGPD
Cadastre-se e receba mais informações sobre LGPD diretamente na sua caixa de entrada: