O principal objetivo da LGPD é tornar as pessoas de fato proprietárias dos seus dados e informações pessoais, bem como resguardar os direitos de liberdade e privacidade.
O assunto é bastante complexo e o tratamento dos dados em conformidade com a regulamentação exige cautela e maturidade.
O checklist sugerido abaixo não é imposto pela lei! Porém, aconselhamos que seja seguido a fim de evitar complicações futuras, sempre contando com o auxílio de consultorias e empresas especializadas em governança corporativa e compliance.
- Estrutura de governança de dados:
- Nomeie um encarregado pela proteção de dados;
- Envolva toda a liderança no cumprimento da política de privacidade de dados;
- Defina com os envolvidos um processo de comunicação para cumprir a lei no que diz respeito à apresentação de toda violação de dados;
- Implemente uma auditoria interna periódica.
- Inventário de dados e mecanismos de transferência:
Deverá ser realizada auditoria de descobrimento em servidores, redes sociais e nuvens públicas e privadas, para saber:
- Onde estão os dados armazenados;
- Como são coletados;
- Para onde são enviados;
- Tempo e formato de retenção;
- Quem tem acesso e como o estão utilizando; e
- Qual a relevância dessas informações.
E então aplicar as seguintes ações:
- Descartar dados irrelevantes, obsoletos ou redundantes;
- Categorizar os dados em “dado pessoal”, “dado pessoal sensível” e “dado anônimo”, conforme a lei;
- Garantir que os dados restantes (importantes e relevantes) sejam acessados apenas por pessoas que tenham permissão para isso;
- Aplicar ações de proteção desses dados para evitar o seu vazamento, como criptografia ou Data Loss Prevention (DLP);
- Assegurar que todos os documentos estejam em conformidade com a LGPD e a respeitarão, revendo:
- a) Contratos com terceiros;
- b) Códigos de conduta e outras políticas corporativas;
- c) Termos de consentimento dos titulares dos dados.
- Política de Privacidade de Dados:
Especificar em documento:
- Quais os dados coletados e para que servem;
- Se são processados dados sensíveis;
- Como as informações são utilizadas;
- Qual o sistema de segurança;
- Por quanto tempo são mantidos;
- Se há compartilhamento desses dados e com quem;
- Como é coletado o consentimento do titular;
- Como o titular pode acessar e editar os dados;
- De que maneira é possível remover as informações da base de dados;
- Se os sites e aplicativos utilizam cookies; e
- Se são transferidos para o exterior.
- Revisar essa política periodicamente.
- Adequando as operações:
Aplicar a política de privacidade ao tratar os dados no trabalho interno, principalmente nas seguintes tarefas:
- Uso de cookies e mecanismos de rastreamento;
- Práticas de marketing e publicidade digital;
- Contratação de empregados;
- Segurança patrimonial.
- Controle de fraudes:
- Colocar um cronograma de treinamentos em ação;
- Gerenciar riscos relacionados à segurança da informação;
- Administrar riscos de terceiros;
- Responder o quanto antes às solicitações e reclamações de usuários;
- Analisar novas operações; e
- Apurar e corrigir violações de privacidade.
- Análise e mensuração:
- Controlar a efetividade de todos os processos; e
- Empregar mudanças estruturais necessárias para manter o tratamento de dados sempre em evolução.
Reiteramos a importância de seguir estas etapas! A Lei Geral de Proteção de Dados chegou para lidarmos com as informações das pessoas com maior responsabilidade.
Essa revolução provavelmente tomará mais tempo do que você imagina, por isso nós recomendamos começar a implementação o quanto antes e, para isso, a equipe Domingues e Herold, com o auxílio de parceiros especializados no assunto, está à sua disposição!