Etapas de uma adequação à LGPD
Não há uma fórmula exata para estar adequado à LGPD, cada empresa deve verificar suas rotinas, seu mapeamento de dados, processos internos, ambiente tecnológico e jurídico, a fim de cumprir integralmente a legislação. Entretanto, algumas etapas são comuns na grande maioria das adequações, passemos a elas.
Definição do Encarregado (DPO), Diagnóstico Inicial, Mapeamento de Riscos, Mapeamento de Dados, Análise de vulnerabilidades tecnológicas e reforço em segurança da informação, Revisão do site e redes socais, Criação do Portal do Titular, Redesenho de Processos Internos, Revisão Contratual e de termos de consentimento se necessário, Criação de Políticas internas de proteção de dados, Treinamentos, Fortalecimento de Cultura em Proteção de Dados.
Mapeamento e monitoramento
Esta etapa consiste na identificação de riscos das atividades da empresa em relação à LGPD. Pode ser baseada em uma matriz probabilidade x impacto, considerando fatores como a forma de utilização de dados e a regulamentação específica do setor.
É importante realizar um desenho de implementação progressiva de medidas de mitigação dos riscos identificados, conforme prioridades estabelecidas, gerando alternativas seguras e sustentáveis sem prejudicar o andamento dos negócios. Para iniciar, a empresa pode criar um comitê de LGPD, com eleição dos integrantes, distribuição de funções, treinamento e monitoramento de atividades, tendo como principal atribuição garantir o cumprimento da política de proteção de dados da companhia.
Mapeamento fluxo de dados
Nesta etapa, a empresa deve mapear todas as entradas de dados pessoais e qual seu fluxo de tratamento interno e externo. Em todas as entradas, devem ser criados os termos de consentimento se necessário. Lembrando que o consentimento pode ser dispensado sempre que o tratamento do dado for motivado pelo cumprimento de obrigações contratuais ou legais. Após identificar os principais riscos a que a empresa está exposta e adequar o fluxo visando a redução de riscos de vazamento/má-utilização de dados pessoais, é preciso definir restrições de acesso e aprimorando à segurança do trânsito das informações. Neste momento, a empresa deve estabelecer as funções e realizar os treinamentos necessários para que o Comitê de LGPD propicie governança adequada de dados na empresa, promovendo a segurança e o cumprimento da política de dados pela companhia, seus colaboradores e terceiros.
Portal do titular
Uma etapa imprescindível no projeto é a abertura de um canal de comunicação entre a empresa e os titulares de dados, com o objetivo de proporcionar a estes a possibilidade de questionar quais dados a empresa detém, forma de tratamento e utilização, bem como solicitar alterações/remoções. Para estar preparada, a empresa pode elaborar um plano de resposta a incidentes, minutas padrão para respostas de titulares de dados e autoridades. É recomendável a realização de treinamentos para os funcionários da empresa, interno ou externo, quanto à forma de resposta destas solicitações, e imprescindível que a empresa tenha o DPO para o suporte nesta etapa e para as sugestões, orientações da empresa.
DPO/Encarregado
Todas as empresas deverão ter um encarregado, ou seja, uma pessoa responsável pelo cumprimento da LGPD da empresa. Esta pessoa pode ser física ou jurídica, ela fica responsável pelo trabalho de implementação, atualização e monitoramento de todos os dados da empresa.
