Principais erros na estruturação dos controles exigidos pela Lei Geral de Proteção de Dados Pessoais – LGPD

A seguir, os cinco principais erros que possam comprometer um projeto de adequação dos controles exigidos pela #LGPD

  1. Nomear uma única pessoa para ser o #DPO, traduzido como #Encarregado no Brasil.
    1. Quanto menor o nível hierárquico deste funcionário, menor será a sua autonomia e quanto maior o seu nível dentro da organização, menos tempo terá para ser o DPO.
    2. Sugestão: Estruturar um Comitê de Proteção e Privacidade de Dados com uma equipe multidisciplinar para entendimento da LGPD, suas exigências e definição de um plano de ação. Recomendável apoio de terceiros/consultorias especializadas para melhor direcionamento e assertividade das ações.
  2. Falta de comprometimento e conscientização
    1. Algumas empresas terão que mudar seus processos internos, sua forma de coletar e processar informações, entre outros; portanto, é crucial que os gestores conheçam a lei, apoiem nas mudanças necessárias e destinem recursos/esforços para realizar as conformidades necessárias.
    2. Sugestão: Desenvolver workshops com informações relevantes para abordar os três níveis organizacionais (estratégico, tático e o operacional) da empresa.
      1. Manter um canal aberto para dúvidas e divulgar de forma periódica as ações realizadas, mudanças, etc.
      2. Os gestores das áreas devem participar e apoiar efetivamente as ações de conformidade dentro de sua área.
  3. Ausência de mapeamento de dados pessoais (Data Mapping)
    1. Estruturar as políticas de privacidade e proteção de dados sem antes conhecer quais informações pessoais/sensíveis a empresa possui, de que forma é coletada, quais tratamentos são realizados, de que forma, quem são os operadores, etc. é um erro grave que as empresas podem cometer.
    2. O mapeamento é fundamental e é a base para o início do projeto, porém, também é recomendável realizar o Relatório de Impacto à Proteção de Dados Pessoais (RPID) ou Data Protection Impact Assessment (DPIA) como é conhecido na #GDPR. Este relatório é necessário para conhecer os principais riscos envolvidos e mapear os gaps atuais, permitindo assim, criar um plano de ação para adequação.
      1. É recomendável desenvolver o RPID para os principais processos de negócio que tratam dados pessoais.
      2. Observação: Mesmo não sendo uma exigência da LGPD para realizar o RPID, consta que a Autoridade Nacional de Proteção de Dados (#ANPD) poderá solicitar este relatório. Desta forma, a proatividade da empresa em já ter desenvolvido, demonstra o nível de maturidade e atenção ao tema.
  4. Ausência de critérios/controles de Segurança da Informação
    1. No Art. 6º consta uma definição para o tema segurança da informação: “VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.
    2. Para que as empresas estejam em conformidade com a LGPD, obrigatoriamente terão que estruturar seus processos de segurança da informação, afinal não é possível ter privacidade dos dados sem ter controles para garantir a proteção destes dados.
    3. No artigo https://www.pdcati.com.br/antes-da-lgpd-os-controles-basicos-de-tic/, contem mais informações sobre o tema.
  5. Utilizar somente uma base legal para o tratamento de dados
    1. Vide exemplo: A empresa utiliza a única base legal de: Art. 7º {I – mediante o fornecimento de consentimento pelo titular} para realizar os seus tratamentos de dados pessoais.
      1. Pergunta: O que irá acontecer com a empresa se o titular dos dados solicitar no dia/semana/mês seguinte a revogação, com base no Art. 8º “§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado …”?
    2. O recomendado é que a empresa esteja amparada por duas ou mais bases legais para realizar os Tratamentos de Dados Pessoais.

Para finalizar, o objetivo deste artigo foi apresentar de forma inicial e simplificada uma visão dos principais tópicos que possam gerar algum contratempo para as empresas que estão se adequando à  #LGPD.

Outros artigos podem ser lidos e comentados em: https://www.pdcati.com.br/blog-noticias/

Fonte de consulta da LGPD: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art65..

Photo by Helloquence on Unsplash

Posted in Sem categoria and tagged , , , , , , .

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *