Desde que a LGPD (Lei Geral de Proteção de Dados) entrou em vigor em agosto de 2020, as empresas têm buscado se adequar o quanto antes às normas, já que o não cumprimento da diretriz pode ocasionar em penalidades, como multas.
Mas não é fácil: para se encaixar na lei é preciso investir em uma nova estrutura organizacional, que pode ser mais complexa do que se imagina. Foi o que explicou Felix Schultz, CEO da Milvus, empresa do setor de TI. “É importante saber apontar as medidas para minimizar os danos e, acima de tudo, demonstrar que a empresa possui capacidade e profissionais treinados”, afirma.
Eles nos ajudou a elaborar as cinco dicas que se seguem para conseguir adequar corretamente a sua empresa à LGPD.
Como adequar minha empresa à LGDP?
1. Conscientize a equipe
E importante que todas as pessoas de uma empresa conheçam esta lei. Palestras e reuniões periódicas precisam acontecer para que a equipe esteja em constante treinamento e atualizações.
Schultz sugere algo que foi adotado na Milvus. “Aqui implantamos o ‘Momento LGPD’. Acontece uma rápida reunião, que dura cerca de meia hora a cada semana ou a cada 15 dias, para falarmos sobre o assunto. Mas é necessário envolver todos os profissionais, até mesmo a pessoa mais afastada das questões centrais da companhia.”
Segundo ele, essa medida é essencial porque, mesmo sem intenção, uma pessoa pode ter uma atitude que fere a LGPD e isso pode ser prejudicial à empresa.
2. Defina um DPO
Por ser algo relativamente novo, a implementação da LGPD, bem como suas punições e novos cargos, ainda geram muitas dúvidas. Dentro disso, o setor de TI ganha cada vez mais importância, em especial com a figura do DPO (Data Protection Officer, “Diretor de Proteção de Dados”).
Em agosto deste ano, a ANPD abriu uma consulta pública para revisar as regras da LGPD para micro e pequenas empresas (MPEs), startups, pessoas jurídicas sem fins lucrativos e pessoas naturais que também realizem tratamento de dados. A proposta visava livrar os respectivos atores de diversas obrigações previstas na lei, entre elas, a necessidade do DPO.
Schultz lembra da necessidade de se estabelecer esse cargo. É a pessoa que fica responsável diretamente pela proteção de dados, cuida da informação da companhia e zela por sua privacidade, bem como também recebe todas as demandas jurídicas.
3. Defina em que posição hierárquica está o DPO
Entretanto, por ser algo novo no ambiente empresarial, ainda não há um padrão estabelecido a respeito da posição deste profissional na estrutura corporativa (se ele vai responder, por exemplo, ao CEO ou ao CFO).
Da mesma forma, é cedo para falar em um departamento destinado somente para ele. E esta é uma dúvida frequente, já que este trabalho precisa ser compartilhado entre as diversas áreas do ambiente empresarial.
Para isso, segundo Schultz, todos os gestores de área precisam participar das decisões sobre o assunto. “Não consigo ver a implementação da LGPD sem que todos os gerentes da empresa estejam envolvidos. Acredito que seja de grande importância setores como financeiros e recursos humanos participarem desses processos. Esses departamentos tratam de dados sensíveis.”
4. Decida se precisa de um CDO
Em adição ao DPO, há também a função do CDO (Chief Data Officer, Diretor Executivo de Dados, em tradução livre). O CDO é um cargo de alto nível, um executivo responsável por gerenciar informações e definir estratégias a respeito dos dados de uma organização. Em outras palavras, ele é o responsável pela transformação digital na empresa para se adaptar não só à LGPD.
Um levantamento feito em 2019 pela Strategy& apontou que 21% das maiores empresas do mundo já contam com esse profissional. Para comparação, em 2016, apenas 16% das companhias tinham o cargo.
Quanto mais sensível for um dado, maior a necessidade de evitar seu vazamento. Por isso, definir as articulações internas de uma empresa com a presença do CDO torna-se essencial nessa adaptação, com processos rápidos para a implantação a lei.
“Os requisitos exatos e as especificações de trabalho para a função de CDO variam de organização para organização, assim como suas áreas de foco e os problemas urgentes que enfrentam”, afirmou o diretor de dados e análise da Exasol, Peter Jackson, à ZDNet.
Todos os dados armazenados por uma companhia precisam ser tratados como importantes. Se faz necessário avaliar o quão sensível é uma informação e, a partir disso, quais medidas precisam ser tomadas para sua proteção.
5. Evite invasões: não se esqueça do básico
Nem sempre os direitos aos dados das pessoas são violados por decisão da empresa. Pode acontecer por meio de uma invasão. E, nesse caso, a falha pode levar a uma longa batalha judicial para provar que a empresa foi apenas vítima, não relapsa.
“Todos estão sujeitos a uma invasão e roubo de dados. Por isso, dentro do ambiente corporativo é preciso ter uma política séria implementada para evitar esses casos. A avaliação sobre a sensibilidade das informações passa por isso”, explicou Schultz.
O especialista apontou ainda duas medidas para efetivar a proteção de dados, que são a criptografia e as senhas, ambas relacionadas.
No primeiro caso, significa que os dados que são legíveis são transformados em um formato codificado. No segundo, a chave utilizada não pode ser vulnerável (como as senhas 123456) e precisa ser modificada periodicamente. Para ter a possibilidade de diversas senhas geradas, o CEO indica um cofre ou gerador dessas chaves.
“Ainda que existam algumas opções fáceis de geração de senha na internet, é melhor ter uma empresa idônea e bem estruturada para gerenciar essa questão com dispositivos próprios.”
Leia mais:
- Você pode ter seus dados expostos com apenas uma mensagem de texto
- Google pode remover imagens de menores de 18 anos de seus resultados de pesquisa
- Alegando razões de segurança nacional, EUA banem China Telecom, após 20 anos de operações
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
Tags: