Artigo: "Estamos atrasados para nos adequar à Lei Geral de Proteção de Dados?"

"Quantas informações temos sobre nossos clientes em nossas mesas, pastas físicas, computadores, backups, aplicativos de mensagens e em outros meios? Nossos clientes sabem por que demandamos tudo isso? Será que não temos mais do que necessitamos? Essas informações estão em local seguro? Com quem compartilho essas informações e por quê? Em quantos locais temos armazenado o mesmo dado? O que acontecerá se minha rede for invadida ou um laptop furtado com registros de clientes, fornecedores, parceiros e/ou empregados?

Essas são apenas algumas das perguntas que, mais do que nunca, exigem resposta. Não se trata apenas de preservar a relação de confiança com clientes ou de mantermos sigilo. A efetiva implementação de boas práticas de governança de dados pessoais é, agora, uma obrigação legal, com data marcada para entrar em vigência: 16 de agosto de 2020.

Inspirada diretamente em legislação da União Europeia European General Data Privacy Regulation, foi promulgada, no Brasil, a Lei 13.709/2018 – alterada recentemente pela Lei 13.853. A chamada Lei Geral de Proteção de Dados Pessoais (LGPD) já requer atenção de todos, atingindo-nos como cidadãos e, em muitos casos, como profissionais.

No campo empresarial, será preciso dedicar-se, prioritariamente, a questões de segurança de dados, mesmo que nossa área não seja de tecnologia e segurança da informação. Processos, práticas e políticas organizacionais, técnicas, jurídicas, contábeis, de marketing, RH, entre outros, deverão ser revistos. E isso valerá para o setor privado e para o público, estejam os dados pessoais em meios digitais ou físicos.

O que fazer, no entanto, em um cenário em que tratamento de dados é um conceito legal tão abrangente? Como em qualquer jornada, o primeiro e mais seguro passo é a instrução, seguido por outros que garantam a adequação e a conformidade com a LGPD. Esse trajeto não terá um fim específico, pois mudará a cultura e o comportamento organizacional.

Para avançarmos nessa caminhada, caberá compreendermos o que são dados pessoais, quais as atividades em que usamos esses dados, quais processos adotamos, onde os guardamos e a que riscos estamos expostos.

Traçar um plano de ação não é tarefa simples: exige métodos, planejamento, equipe engajada, investimento em assessoria técnica, em treinamento de colaboradores e, certamente, em mecanismos técnicos de segurança.

Algumas etapas de trabalho serão obrigatórias, embora a ordem de adoção seja adaptada caso a caso:

1. Nomeação da equipe de trabalho e, eventualmente, do encarregado (data protection officer).
2. Mapeamento de dados e levantamento de riscos.
3. Avaliação das legislações aplicáveis (a empresa pode estar sujeita à GDPR, além da LGPD, por exemplo).
4. Desenvolvimento ou ajuste das políticas internas de segurança de dados.
5. Realização de treinamentos internos.
6. Elaboração de políticas de privacidade e de cookies, revisão de contratos, de propostas, das operações de marketing e comunicações externas etc.
7. Implementação de procedimentos e manuais para prevenção de riscos, gestão de eventuais vazamentos de dados, bem como para atendimento aos titulares dos dados.
8. Manutenção de evidências do programa de proteção à privacidade (Autoridade Nacional de Proteção de Dados – ANPD – poderá requerer informações que atestem o cumprimento de boas práticas)."

Saiba mais sobre o tema e sobre o evento:

Lei Geral de Proteção de Dados impactará empresas de serviços contábeis

Em agosto, Lei Geral de Proteção de Dados será tema de palestra no CRCPR

Para se inscrever na palestra do dia 29, clique aqui.

Artigo publicado originalmente em: Gazeta do Povo - Opinião

Imagem: https://www.vexels.com/vetores