Os 5 principais erros na estruturação da LGPD
A seguir, os cinco principais erros que possam comprometer um projeto de adequação dos controles exigidos pela LGPD
- Nomear uma única pessoa para ser o DPO, traduzido como Encarregado no Brasil.
- Quanto menor o nível hierárquico deste funcionário, menor será a sua autonomia e quanto maior o seu nível dentro da organização, menos tempo terá para ser o DPO.
- Sugestão: Estruturar um Comitê de Proteção e Privacidade de Dados com uma equipe multidisciplinar para entendimento da LGPD, suas exigências e definição de um plano de ação. Recomendável apoio de terceiros/consultorias especializadas para melhor direcionamento e assertividade das ações.
- Falta de comprometimento e conscientização
- Algumas empresas terão que mudar seus processos internos, sua forma de coletar e processar informações, entre outros; portanto, é crucial que os gestores conheçam a lei, apoiem nas mudanças necessárias e destinem recursos/esforços para realizar as conformidades necessárias.
- Sugestão: Desenvolver workshops com informações relevantes para abordar os três níveis organizacionais (estratégico, tático e o operacional) da empresa.
- Manter um canal aberto para dúvidas e divulgar de forma periódica as ações realizadas, mudanças, etc.
- Os gestores das áreas devem participar e apoiar efetivamente as ações de conformidade dentro de sua área.
- Ausência de mapeamento de dados pessoais (Data Mapping)
- Estruturar as políticas de privacidade e proteção de dados sem antes conhecer quais informações pessoais/sensíveis a empresa possui, de que forma é coletada, quais tratamentos são realizados, de que forma, quem são os operadores, etc. é um erro grave que as empresas podem cometer.
- O mapeamento é fundamental e é a base para o início do projeto, porém, também é recomendável realizar o Relatório de Impacto à Proteção de Dados Pessoais (RPID) ou Data Protection Impact Assessment (DPIA) como é conhecido na #GDPR. Este relatório é necessário para conhecer os principais riscos envolvidos e mapear os gaps atuais, permitindo assim, criar um plano de ação para adequação.
- É recomendável desenvolver o RPID para os principais processos de negócio que tratam dados pessoais.
- Observação: Mesmo não sendo uma exigência da LGPD para realizar o RPID, consta que a Autoridade Nacional de Proteção de Dados (#ANPD) poderá solicitar este relatório. Desta forma, a proatividade da empresa em já ter desenvolvido, demonstra o nível de maturidade e atenção ao tema.
- Ausência de critérios/controles de Segurança da Informação
- No Art. 6º consta uma definição para o tema segurança da informação: “VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.
- Para que as empresas estejam em conformidade com a LGPD, obrigatoriamente terão que estruturar seus processos de segurança da informação, afinal não é possível ter privacidade dos dados sem ter controles para garantir a proteção destes dados.
- No artigo https://www.pdcati.com.br/antes-da-lgpd-os-controles-basicos-de-tic/, contem mais informações sobre o tema.
- Utilizar base legal sem consistência
- Vide exemplo: A empresa utiliza a única base legal de: Art. 7º {I – mediante o fornecimento de consentimento pelo titular} para realizar os seus tratamentos de dados pessoais.
- Pergunta: O que irá acontecer com a empresa se o titular dos dados solicitar no dia/semana/mês seguinte a revogação, com base no Art. 8º “§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado …”?
- O recomendado é que a empresa esteja amparada pelo setor jurídico de qual base legal é a mais aderente para aquele processo.
- Vide exemplo: A empresa utiliza a única base legal de: Art. 7º {I – mediante o fornecimento de consentimento pelo titular} para realizar os seus tratamentos de dados pessoais.
Para finalizar, o objetivo deste artigo foi apresentar de forma inicial e simplificada uma visão dos principais tópicos que possam gerar algum contratempo para as empresas que estão se adequando à #LGPD.
Outros artigos podem ser lidos e comentados em: https://www.pdcati.com.br/blog
Conheça os serviços de LGPD ofertados pela PDCA TI, neste link
Fonte de consulta da LGPD: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art65..
Photo by Helloquence on Unsplash