setembro 30, 2020

[Segurança] A segunda temporada da LGPD: "A Adequação"

Acabamos de assistir o fim da primeira temporada da LGPD, que podemos batizar de "LGPDrama - A data de início", encerrada com o tão aguardado e desesperador início de vigência da lei.

Agora partimos para a segunda temporada: "A Adequação", com as empresas desesperadas para se adaptarem a LGPD, mas ainda repleta de incertezas jurídicas.

Eu já palestrei algumas vezes sugerindo "5 passos para adequação a LGPD". Revisando esse material, acredito que podemos generalizar a jornada em, pelo menos, 7 macro-atividades fundamentais para adequação a LGPD, que incluem os seguintes passos:

  1. Estabelecer o DPO e um grupo de trabalho multidisciplinar (ex: Conselho ou Comitê de Privacidade)
    1. Definir o canal de comunicação com o DPO e publicar no site as informações de contato
  2. Ações de Cultura e Conscientização
    1. Treinamentos e campanhas de conscientização sobre importância da privacidade, a LGPD e boas práticas
  3. Mapeamento / Inventário de dados
    1. Identificar os cenários de uso e armazenamento de dados pessoais
    2. Identificar a necessidade dos dados pessoais e respectiva base legal
    3. Identificar fontes de coleta, necessidade e existência de consentimento
    4. Mapeamento com o ciclo de vida de tratamento dos dados (coleta, uso, guarda, exclusão)
    5. Rastreabilidade de Compartilhamento e transferência de dados (identificar fornecedores e parceiros)
  4. Adequação Jurídica
    1. Revisão dos Termos de Privacidade e termos de uso
    2. Revisão de políticas internas
    3. Revisão de contratos com fornecedores, terceiros, clientes e colaboradores
    4. Elaborar e publicar uma Política de Privacidade
    5. Publicar em seus canais de comunicação um Aviso de Privacidade e Proteção de Dados
    6. Notificar os colaboradores sobre atualizações das políticas internas e sobre o uso de dados pessoais. Solicitar o aceite
  5. Estabelecer canais de comunicação com os titulares de dados
    1. Portal de comunicação para os direitos dos titulares
    2. Disponibilizar informações no site e no Aplicativo
    3. Revisar procedimentos na Central de Atendimento
    4. Definir processo para atendimento de solicitações dos titulares de dados
  6. Adequação de softwares e sistemas corporativos
    1. Incluir os princípios de Privacy by Design e Privacy by Default na concepção de produtos e na esteira de desenvolvimento
    2. Ajustes nos controles de Segurança da Informação e de Compliance
    3. Ajustes em processos, produtos e aplicações
    4. Novas funcionalidades de Privacidade (ex: "Portal de privacidade" no app)
    5. Gestão do consentimento
    6. Revisão dos processos de backup e exclusão dos dados
    7. Identificar cenários em que os dados pessoais possam ser anonimizados
  7. Revisar procedimento de resposta e notificação de incidentes
    1. Cuidado extra no monitoramento de incidentes relacionados a dados pessoais
    2. Estabelecer estratégia de notificação envolvendo os titulares de dados e autoridades (ANPD)
    3. Estabelecer e treinar a estratégia de comunicação pública de incidentes
A lista acima resume, muito superficialmente, um trabalho grandioso de ajustes as exigências e garantias propostos pela LGPD. Esse é um esforço longo e desafiador para qualquer empresa. Portanto, quanto antes as empresas derem início às atividades para se adequarem a lei, melhor!

Não se esqueça:
  • Até que haja uma determinação em contrário, a LGPD se aplica praticamente a qualquer empresa, do salão de beleza a um grande banco. Isso porque ela se aplica a qualquer empresa que colete, receba ou processe dados pessoais, no meio físico ou digital;
  • Mesmo com as sanções só valendo a partir de Agosto de 2021, as empresas já devem se adequar a lei. Em caso de incidentes, o ministério público e clientes podem decidir processar a empresa com base na LGPD;
  • Embora existam muitos pontos de dúvida e incerteza que dependem de decisão e regulação da ANPD, as empresas ainda assim tem que adequar a lei, e muitas vezes recorrem a consultorias ou a experiências de empresas em outros países para ter uma solução provisória de adequação.

Para saber mais:


PS: Post atualizado em 01 e 02/10.
PS/2: Publiquei uma versão desse artigo no LinkedIn: LGPD season 2: "A Adequação"

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.