A Lei Geral de Proteção dos Dados (LGPD) entrará em vigor em agosto de 2020, e vai influenciar qualquer organização que coleta ou processa dados do Brasil ou de residentes brasileiros.
Daqui até lá faltam menos de doze meses. Preparamos uma lista rápida das questões sobre as quais você deve refletir para verificar até que ponto seu negócio está se moldando à LGPD. Vamos lá?
1. A gerência entende a importância da LGPD?
A LGPD pode custar até 2% do faturamento ou R$50 milhões, a depender da infração. Além da multa, os danos causados à imagem e reputação do negócio podem ser irreversíveis, provocando até o encerramento das atividades.
A LGPD afeta e depende de todos na organização, motivo pelo qual a gestão precisa levá-la a sério e se responsabilizar pela conscientização e educação de todas as camadas da empresa.
2. Você sabe onde estão seus dados hoje?
O regulamento cobre todos os dados existentes previamente, bem como novos dados coletados depois que ele entrar em vigor. Então, é melhor descobrir onde todos os seus dados atuais estão hospedados, os tipos que estão sendo mantidos e os processos de acesso, armazenamento seguro, backup e controle.
Além disso, é preciso se perguntar se todos os dados armazenados pela empresa hoje são realmente necessários. É mais fácil cuidar e segurar volumes menores de dados.
3. Você tem um processo para fornecer os dados que forem pedidos?
A LGPD oferece aos usuários (titulares) o direito de exigir que os controladores (as organizações que os detêm) forneçam seus dados de volta, em formato legível por máquina. Você está pronto para responder a solicitações, coletar os dados de todas as fontes sobre os indivíduos e devolvê-los?
A nossa dica é digitalizar todos os dados existentes (como fichas de cadastro, por exemplo) e concentrá-los em um único banco de dados.
4. Você tem um processo para excluir dados se exigido?
Os titulares de dados podem exigir que seus dados sejam excluídos do seu armazenamento e o tratamento seja interrompido. Sua empresa é capaz de excluir e comprovar a exclusão dos dados tratados hoje?
Assim como no item anterior, facilita muito se todos os dados estiverem armazenados em um mesmo local.
5. Você entende as regras de consentimento?
Todos os dados armazenados e tratados pelo controlador (sua empresa) devem ter sido coletados com consentimento expresso do usuário. Mesmo os dados coletados há muito tempo devem ter essa autorização atualizada.
Em uma auditoria, você precisa ser capaz de responder onde conseguiu os dados e como o sujeito dos dados concordou com a coleta.
6. Você sabe quais terceirizados têm acesso aos dados?
Supondo que seja um controlador de dados, você é responsável pela manutenção segura desses, independentemente de quem estiver lidando com eles. Você tem certeza de suas políticas, procedimentos e tecnologias para manter essas informações seguras?
É importante identificar os pontos de vulnerabilidade nos seus processos e, assim, definir as prioridades na hora de reforçar a segurança.
7. Tem certeza de que pode detectar violações de dados?
Você não quer ser informado de um incidente de perda de dados pelos próprios usuários ou pela autoridade de proteção. Você tem tecnologia que possa detectar violações ocorridas para investigar como os dados foram perdidos (ou alterados)?
Algumas ferramentas, como o Office 365, oferecem registro completo de usuários, que identifica quando e por quem alterações e exclusões foram feitas nos documentos.
8. Todos os processos e fluxos de dados foram documentados?
Se ocorrer uma violação ou o regulador investigar a organização, é preciso ter documentos para explicar os fluxos de dados completos. Você está pronto para responder a essas perguntas? O nível das multas levará em consideração os processos, a tecnologia e a documentação que descrevem os sistemas e o fluxo de dados.
9. Seus contratos já foram revistos?
Quando se fala em Lei Geral de Proteção de Dados, também é preciso prestar atenção em parceiros, funcionários, clientes e fornecedores. Por isso, a revisão dos contratos – inclusive os de trabalho – deve ser feita de forma a resguardar a empresa em caso de infrações de terceiros que tenham vínculo com o seu negócio.
Essas são as principais questões para refletir até que a LGPD entre em vigor. Se elas foram fáceis de responder, ótimo! Você está no caminho certo. Se não, é hora de repensar a forma como você gerencia e armazena dados pessoais. Deixar para a última hora é uma péssima ideia, pode confiar.
Gostou do nosso post? Assine a newsletter da BHS e receba muito mais dicas como essa diretamente no seu e-mail!