06 out LGPD: Conheça as novas práticas para a gestão de dados
Com a LGPD em vigor, já está mais do que na hora de se adequar aos requisitos da nova legislação. O não seguimento da lei pode acarretar não só no bloqueio de dados como até multas no valor R$50 milhões de reais.
As metodologias de captação de dados tiveram mudanças em seus processos. Hoje a utilização de informações para melhorar a experiência de seus clientes deve ser amplamente comunicada ao público, agregando transparência ao processo e comprovando a segurança do compartilhamento destes dados. Para que este processo seja aplicado em sua companhia, existem alguns passos:
O primeiro passo, segundo os especialistas da SAP, empresa desenvolvedora de soluções de CX (Customer Experience), é estudar os processos internos de tratamento dos dados pessoais, identificando como, o quê, quem, onde, por que e quando:
· Como você coleta os dados pessoais?
· Quais dados pessoais você coleta?
· Quem tem acesso à sua visualização ou alteração?
· Onde você os armazena e os usa?
· Por que você os coleta?
· Quando você os exclui?
Por isso, é fundamental gerenciar os processos de coleta, consentimento e tratamento dos dados pessoais dos clientes, criando uma experiência do consumidor única, de alto padrão e fácil de usar com a implantação, por exemplo, do Customer Data Cloud, uma nuvem de ferramentas desenvolvida pela SAP que centraliza a gestão de dados dos clientes.
Sem essa centralização, as empresas enfrentam desafios como fraca visibilidade de exposição ao risco; processos reativos, ineficientes, onerosos ou manuais; enormes exigências de tempo e pessoal para gerenciar de modo eficaz risco e conformidade, e falta de alinhamento por não ter os processos de risco e conformidade incorporados ao negócio.
Afinal, agora é preciso oferecer autonomia para os clientes gerenciarem as próprias experiências por meio de centros de preferências self-service personalizáveis, no qual eles podem exercer seus direitos de proprietários de dados de acordo com a LGDP.
É fundamental assegurar que as preferências, identidades, consentimentos, autenticações e autorizações digitais sejam aplicadas de modo consistente ao longo de todo o ciclo de vida do cliente, em todos os canais, marcas e regiões por meio de orquestração e governança de dados centralizadas, simples e seguras.
As cinco melhores práticas para enfrentar os desafios da gestão de dados com a LGPD
Para evitar sanções regulamentares, perda de dados e criar estratégias para melhorar a experiência do cliente e impulsionar seu crescimento, segundo os analistas do Gartner, os líderes de segurança e gerenciamento de riscos devem adotar melhores práticas para desenvolver e manter um programa eficaz de gestão de dados e de privacidade. São elas:
1 – Escolha de um DPO
A escolha envolve a designação de um profissional da própria empresa ou de terceirizada para gerenciar o programa de gestão de dados e de privacidade. Esse profissional é o Data Protection Officer, ou DPO, e será o seu principal contato.
Em uma recente pesquisa realizada com 40 empresas no Brasil, a maioria dos entrevistados declarou que ainda não tinha escolhido um DPO (73%) e ainda tinha dificuldades para determinar a quem essa posição deveria se reportar.
2 – Avaliação de gaps
Desenvolver um Diagnóstico do Estado Atual de Privacidade: uma avaliação de impacto de privacidade após ações exaustivas relativas à descoberta de dados não é apenas uma tarefa necessária por meio da LGPD, mas um dever imperativo no sentido de permitir que a seleção de atividades e recursos baseada em risco esteja de acordo com o regulamento. Os componentes mais importantes de uma avaliação de impacto de privacidade incluem:
· Um inventário de dados pessoais processados
· Identificação dos proprietários responsáveis (obrigatórios) pelo processo de negócios
· Informações quanto à finalidade da coleta de dados
3 – Prazos para retenção de dados
Após uma avaliação inicial de gaps, os esquemas de retenção se conectam aos propósitos do processamento, comparando o esquema com o resultado do exercício de descoberta e mapeamento. Esse processo definirá os dados que podem ser considerados como “dados em excesso” e que, portanto, estão qualificados para exclusão.
Organize os resultados, apresente-as aos stakeholders do negócio responsáveis por esses dados e deixo-os verificar, no âmbito jurídico, se há uma razão para continuar processando os dados ou se eles devem ser excluídos assim que possível para eliminar, de forma proativa, o risco. Afinal, os dados sem uma devida finalidade não contribuem nada para a empresa; apenas ficam armazenados e acumulam riscos, já que o tempo representa um fator crítico de sucesso para uma violação de dados.
4 – Governança da privacidade
Os requisitos de responsabilidade e transparência levam à ampliação da documentação (interna) e ao registro dos riscos. O mapeamento de processos e dados pessoais de subsidiárias em holdings deve seguir as regras de privacidade estabelecidas pela empresa controladora (matriz).
Lembre-se de que o objetivo do processamento de dados, da qualidade dos dados e da relevância dos dados deve ser definido ao se iniciar uma nova atividade de processamento. Também é uma atitude sensata incorporar um mecanismo interno que ajude a manter a conformidade nas futuras atividades de processamento de dados pessoais.
5 – Desenvolver uma resposta à violação de dados
A Autoridade Nacional responsável pela proteção de dados precisa ser notificada quanto às violações de dados no Brasil da mesma forma que as instituições financeiras precisam notificar o Banco Central sobre incidentes de segurança. Adapte-se e aprenda com os fluxos de trabalho de resposta a incidentes de segurança, mas garanta que haja uma resposta à violação de dados específica (privacidade). Isso será necessário quando ficar claro que os dados pessoais:
· Não estão disponíveis onde deveriam estar
· Estão (mesmo que eventualmente) disponíveis onde não deveriam estar