Faltando menos de um ano para a entrada em vigor da Lei de Proteção de Dados Pessoais (LGPD), muitas pessoas ainda se questionam por onde começar a jornada de adequação à Lei. Pensando nisso, é importante ressaltar as principais tarefas que podem auxiliar neste processo.

Definição do grupo de trabalho

A primeira atividade é a nomeação de um sponsor com voz ativa na diretoria para compartilhar com os demais executivos o andamento e decisões do projeto, eventuais necessidades de investimentos e definição de riscos, por exemplo.

Uma vez nomeado o responsável, é fundamental que seja definido um grupo de trabalho multidisciplinar. Deve-se considerar que, quanto mais representantes de áreas distintas forem reunidos, maiores são as chances de mapear todos os processos onde a empresa trata dados pessoais.

Não existe um número exato de funcionários a ser envolvido, uma vez que vai depender do tamanho da empresa e da quantidade de profissionais que as áreas conseguirão envolver no projeto. É recomendado que existam pessoas dedicadas integralmente, pois, caso contrário, num curto espaço de tempo essas pessoas poderão se envolver em outras prioridades da área e não cumprir as entregas do projeto. Esse é um dos grandes desafios que as empresas podem enfrentar ao iniciar um projeto de adequação à LGPD.

GAP Assessment

Concluída a etapa anterior, com a definição do sponsor e um time dedicado, é hora de mapear as vulnerabilidades existentes e estruturar as atividades para que o time possa começar a trabalhar.

Essas atividades podem ser distribuídas em três grandes pilares: revisão de processos, ferramentas adequadas e atendimento ao titular. Confira as principais ações dentro de cada pilar:
 

  1. Revisão de processos:
    • Mapeamento das políticas de privacidade, termos de uso, contratos de fornecedores, clientes e parceiros. O objetivo é realizar uma revisão geral desses documentos a fim de garantir que a finalidade de uso esteja específica, bem como sobre onde os dados serão armazenados, por quanto tempo serão mantidos, com quem serão compartilhados, dentre outros.

 

    • Garantia da procedência dos dados utilizados pela empresa é uma premissa fundamental. Ainda que existam cláusulas contratuais que visam endereçar esse ponto, é importante considerar que a LGPD prevê a responsabilidade solidária dos agentes envolvidos no tratamento de dados. Por isso, é imprescindível que as empresas adotem medidas proativas junto aos seus fornecedores de dados para mitigar riscos como, por exemplo, solicitar evidências de onde o dado foi coletado, confirmar a existência de políticas internas, certificações, boas práticas de mercado, auditorias e outros.

 

    • Definição de hipóteses de tratamento para cada base que contenha dados pessoais.

 

    • Adoção dos princípios de “Privacy by Default” e “Privacy by Design”, que consistem em revisar todos os processos onde há tratamento de dados para garantir que está sendo utilizado o mínimo necessário para o atingimento da finalidade pretendida e promover uma cultura de proteção de dados para que todos os novos serviços já sejam desenvolvidos considerando a privacidade desde a concepção da ideia até a entrega do produto/serviço.

 

    • Desenvolvimento de relatórios capazes de comprovar à Autoridade Nacional de Proteção de Dados (“ANPD”) o controle sobre os dados tratados pela companhia, os riscos envolvidos nesse tratamento e as respectivas medidas de controle.

 

    • Desenvolvimento de um plano para vazamento de informações que estabeleça regras para notificação da ANPD e dos titulares dos dados sobre eventuais incidentes de segurança da informação que venham a ocorrer.

 

  1. Ferramentas adequadas: 
    • Catalogar todos os dados pessoais, além de ser uma exigência para a prestação de contas à ANPD (Autoridade Nacional de Proteção de Dados), pode permitir que a empresa tome melhores decisões e enquadre corretamente as suas bases de dados nas hipóteses de tratamento. Importante ressaltar que devem constar todos os dados pessoais neste catálogo, inclusive os não comerciais, como informações de portaria, curriculum, cartão de visita, informações relacionadas à planos de saúde, planos odontológicos, vale refeição, alimentação, folha de pagamento, departamento jurídico e muitos outros.

 

    • A construção de um repositório único pode simplificar bastante o cumprimento dos direitos do titular pela empresa. O titular tem diversos direitos perante o controlador, como acesso aos dados, confirmação de existência de tratamento e correção de informações inexatas, incompletas ou desatualizadas.

 

    • A implementação de uma ferramenta robusta de governança de dados permite o gerenciamento dos perfis de acesso, auxílio no controle e na garantia de que os dados estão sendo utilizados para as finalidades as quais foram coletados e que serão deletados ao atingir a sua finalidade ou quando expirar o prazo de tratamento, por exemplo.

 

    • A utilização das melhores práticas de segurança da informação pode ser um diferencial a ser considerado para mitigar alguns riscos. A utilização da criptografia pode ser uma ótima aliada para blindar os dados de acessos indevidos e eventuais incidentes de segurança.

 

  1. Atendimento ao titular 
    • É necessário garantir que existam canais de atendimento com acesso simplificado, imediato e gratuito. Considerar também que existem titulares que moram mais afastados dos grandes centros, que não possuem acesso à internet. Para isso, deve-se considerar a utilização de personas distintas para atingir os diversos públicos.

 

    • É preciso considerar que os titulares poderão solicitar desde a confirmação da existência de tratamento dos dados até a sua revogação. O leque de opções é bastante amplo e, por isso, deve-se construir todas as jornadas de atendimento claras para garantir por onde essas solicitações vão ser recebidas, quais áreas serão responsáveis e como será feita a resposta ao titular.

 

    • A autenticação do titular é um dos maiores desafios para as empresas que querem implementar uma jornada online de atendimento ao titular. É necessário ponderar a melhor forma de realizar a prova de vida para garantir que quem está solicitando o acesso é, de fato, o próprio titular. Uma das saídas possíveis é o procedimento conhecido como “Knowledge based authentication - KBA”, que tem o objetivo de autenticar um titular por meio de perguntas de segurança, muito utilizado pelos bancos. É possível colocar o KBA em prática com bases de dados completas e atualizadas ou por meio de parceiros que forneçam este serviço.

 

  • Por fim, a ampliação do time de backoffice pode ser necessária para garantir atendimento a todas as demandas.

Ao fim de tudo isso, as empresas terão uma lista de atividades bastante robusta para iniciar o projeto de implementação de adequação à LGPD. Além de todos os itens acima, o próximo desafio é o prazo de menos de um ano para a entrada da Lei em vigor.

A proteção dos dados pessoais e o cuidado no tratamento das informações são temas recorrentes na Serasa Experian há 50 anos. Saiba mais sobre a LGPD clicando aqui.

* Por Lucas Oliveira, Gerente de Gestão de Dados da Serasa Experian