Não há uma receita de bolo para adequar o seu negócio às normas trazidas pela LGPD, mas listamos abaixo 8 itens essenciais a demonstrar a conformidade que a sua organização precisa ter para cumprir com as exigências da LGPD:

1. Estabelecer uma estrutura de prestação de contas e governança – é essencial que o “dono do negócio” esteja ciente de todas as implicações, positivas e negativas, da Lei, pois ao final deverá  incorporar os riscos de proteção de dados na estrutura corporativa e nos controles internos do negócio.

2. Escopo e planejamento do projeto – será necessário descobrir quais áreas do seu negócio precisam ser adequadas a LGPD, considerando para tanto a nomeação do Encarregado de Dados (DPO) e a avaliação dos padrões de estrutura do negócio e demais legislações pertinentes.

3. Realizar um inventário de dados e uma auditoria de fluxo de dados – é impossível cumprir os requisitos da LGPD sem a identificação dos dados que seu negócio processa e a forma como  processa. Por isso,é importante avaliar as categorias de dados, mapear os fluxos,identificar os erros da atividade,realizar uma análise de impacto na proteção de dados (DPIA) e criar o registro de atividade no processamento de dados. 

4. Realizar uma análise detalhada de brechas – avaliar criteriosamente os seus próprios fluxos de trabalho,processos e procedimentos, faz com que vocês mesmo identifique as lacunas do seu negócio e classifique o que consegue preencher com recursos próprios e o que exige recursos externos para ser eliminada.

5. Desenvolver políticas, procedimentos e processos operacionais – depois do relatório com as lacunas “brechas” do negócio é importante garantir que as políticas de proteção de dados, segurança da informação, complice, código de ética/conduta e avisos de privacidade estejam todos em alinhamento. Revisar contratos de funcionários, clientes e fornecedores e adequá-los se necessário. Planejar como será contato e tempo de resposta com os titulares de dados e analisar se os mecanismos de transferência de dados externos estão compatíveis com a proteção interna, são práticas recomendadas. 

6. Proteger os dados pessoais por meio de medidas processuais e técnicas – a Lei exige que os negócios implementem medidas técnicas e organizacionais apropriadas para garantir que os dados pessoais sejam processados de forma apropriada. Isso significa ter uma políticas de privacidade de dados e de segurança da informação compartilhada e assinada por todos os colaboradores, implementar sistemas de criptografia, anonimização e pseudoanonimização para os casos exigidos em lei, além de garantir políticas e procedimentos para detectar, relatar, investigar e responder a possíveis violações de dados pessoais, são processos básicos de adequação do negócio.

7. Comunicação – manter a conformidade com a LGPD depende muito de sua equipe entender corretamente o que deve fazer e o porquê fazer, visto que todos os envolvidos devem ser adequadamente capacitados e treinados para seguir processos e procedimentos definidos. Estabelecer uma comunicação interna eficaz é essencial, pois proporciona que todos entendam a importância da proteção de dados diante dos ditames da Lei.

8. Monitorar e auditar a conformidade – por tratar-se de um projeto dinâmico o ideal é executar auditorias periódicas e atualizar os processos de proteção de dados, incluindo a verificação de registros de atividades (login de acesso), mecanismos de consentimento, testes de controle da segurança da informação e análises de impacto na privacidade.  

A aplicação deste checklist dependerá exclusivamente da maturidade do seu negócio em relação a proteção de dados e cumpre apenas o objetivo de nortear a adequação com alguns dos pontos que julgamos seremos os mais importantes nesse processo de implantação e adequação às exigências da LGPD.

ALERTA – durante a coleta de dados, especialmente se for realizada em fichas de papel, ou no momento da impressão de documentos sem o devido bloqueio da tela do computador, uma vez que o acesso a estes dados por pessoas não autorizadas que possam fotografar ou manuseá-los de forma inadequada pode ser considerado um vazamento de dados e estar sujeito às sanções da LGPD.

DICA – se o seu negócio possui processo de coleta de dados redobre a atenção durante o atendimento do titular dos dados, principalmente se  os dados coletados são dados sensíveis, treine e capacite sua equipe a deixá-los ciente dos riscos de incidentes e vazamentos. Lembre-se que ações simples são capazes de minimizar grandes riscos.

Se interessou pelo tema, contate a CMNA.