LGPD - gestão de dados - boas práticas

LGPD: Conheça as novas práticas para a gestão de dados

Com a LGPD em vigor, já está mais do que na hora de se adequar aos requisitos da nova legislação. O não seguimento da lei pode acarretar não só no bloqueio de dados como até multas no valor R$50 milhões de reais.

As metodologias de captação de dados tiveram mudanças em seus processos. Hoje a utilização de informações para melhorar a experiência de seus clientes deve ser amplamente comunicada ao público, agregando transparência ao processo e comprovando a segurança do compartilhamento destes dados. Para que este processo seja aplicado em sua companhia, existem alguns passos:

O primeiro passo, segundo os especialistas da SAP, empresa desenvolvedora de soluções de CX (Customer Experience), é estudar os processos internos de tratamento dos dados pessoais, identificando como, o quê, quem, onde, por que e quando:

·        Como você coleta os dados pessoais?

·        Quais dados pessoais você coleta?

·        Quem tem acesso à sua visualização ou alteração?

·        Onde você os armazena e os usa?

·        Por que você os coleta?

·        Quando você os exclui?

Por isso, é fundamental gerenciar os processos de coleta, consentimento e tratamento dos dados pessoais dos clientes, criando uma experiência do consumidor única, de alto padrão e fácil de usar com a implantação, por exemplo, do Customer Data Cloud, uma nuvem de ferramentas desenvolvida pela SAP que centraliza a gestão de dados dos clientes.

Sem essa centralização, as empresas enfrentam desafios como fraca visibilidade de exposição ao risco; processos reativos, ineficientes, onerosos ou manuais; enormes exigências de tempo e pessoal para gerenciar de modo eficaz risco e conformidade, e falta de alinhamento por não ter os processos de risco e conformidade incorporados ao negócio.

Afinal, agora é preciso oferecer autonomia para os clientes gerenciarem as próprias experiências por meio de centros de preferências self-service personalizáveis, no qual eles podem exercer seus direitos de proprietários de dados de acordo com a LGDP.

É fundamental assegurar que as preferências, identidades, consentimentos, autenticações e autorizações digitais sejam aplicadas de modo consistente ao longo de todo o ciclo de vida do cliente, em todos os canais, marcas e regiões por meio de orquestração e governança de dados centralizadas, simples e seguras.

As cinco melhores práticas para enfrentar os desafios da gestão de dados com a LGPD

Para evitar sanções regulamentares, perda de dados e criar estratégias para melhorar a experiência do cliente e impulsionar seu crescimento, segundo os analistas do Gartner, os líderes de segurança e gerenciamento de riscos devem adotar melhores práticas para desenvolver e manter um programa eficaz de gestão de dados e de privacidade. São elas:

1 – Escolha de um DPO

A escolha envolve a designação de um profissional da própria empresa ou de terceirizada para gerenciar o programa de gestão de dados e de privacidade. Esse profissional é o Data Protection Officer, ou DPO, e será o seu principal contato.

Em uma recente pesquisa realizada com 40 empresas no Brasil, a maioria dos entrevistados declarou que ainda não tinha escolhido um DPO (73%) e ainda tinha dificuldades para determinar a quem essa posição deveria se reportar.

2 – Avaliação de gaps

Desenvolver um Diagnóstico do Estado Atual de Privacidade: uma avaliação de impacto de privacidade após ações exaustivas relativas à descoberta de dados não é apenas uma tarefa necessária por meio da LGPD, mas um dever imperativo no sentido de permitir que a seleção de atividades e recursos baseada em risco esteja de acordo com o regulamento. Os componentes mais importantes de uma avaliação de impacto de privacidade incluem:

·        Um inventário de dados pessoais processados

·        Identificação dos proprietários responsáveis (obrigatórios) pelo processo de negócios

·        Informações quanto à finalidade da coleta de dados

3 – Prazos para retenção de dados

Após uma avaliação inicial de gaps, os esquemas de retenção se conectam aos propósitos do processamento, comparando o esquema com o resultado do exercício de descoberta e mapeamento. Esse processo definirá os dados que podem ser considerados como “dados em excesso” e que, portanto, estão qualificados para exclusão.

Organize os resultados, apresente-as aos stakeholders do negócio responsáveis por esses dados e deixo-os verificar, no âmbito jurídico, se há uma razão para continuar processando os dados ou se eles devem ser excluídos assim que possível para eliminar, de forma proativa, o risco. Afinal, os dados sem uma devida finalidade não contribuem nada para a empresa; apenas ficam armazenados e acumulam riscos, já que o tempo representa um fator crítico de sucesso para uma violação de dados.

4 – Governança da privacidade

Os requisitos de responsabilidade e transparência levam à ampliação da documentação (interna) e ao registro dos riscos. O mapeamento de processos e dados pessoais de subsidiárias em holdings deve seguir as regras de privacidade estabelecidas pela empresa controladora (matriz).

Lembre-se de que o objetivo do processamento de dados, da qualidade dos dados e da relevância dos dados deve ser definido ao se iniciar uma nova atividade de processamento. Também é uma atitude sensata incorporar um mecanismo interno que ajude a manter a conformidade nas futuras atividades de processamento de dados pessoais.

5 – Desenvolver uma resposta à violação de dados

A Autoridade Nacional responsável pela proteção de dados precisa ser notificada quanto às violações de dados no Brasil da mesma forma que as instituições financeiras precisam notificar o Banco Central sobre incidentes de segurança. Adapte-se e aprenda com os fluxos de trabalho de resposta a incidentes de segurança, mas garanta que haja uma resposta à violação de dados específica (privacidade). Isso será necessário quando ficar claro que os dados pessoais:

·        Não estão disponíveis onde deveriam estar

·        Estão (mesmo que eventualmente) disponíveis onde não deveriam estar