LGPD

LGPD: Sua companhia está pronta?

Atualizado em: 07/04/2020

Apesar da dúvida sobre a data para entrada em vigor da LGPD (Lei Geral de Proteção de Dados) – hoje, a norma prevê que a LGPD entrará em vigor no dia 16 de agosto de 2020, mas o projeto de lei 5762/2019, apresentado no final de outubro, sugere a mudança para o ano de 2021 – já é mais do que hora de se adequar aos requisitos da lei.

O maior desafio está em como aproveitar inovadoras tecnologias para coleta de dados e manter a conformidade com a LGPD, já que a relação das marcas com os consumidores tende a ser cada vez mais intuitiva e personalizada e, para que isso seja possível, é preciso conhecê-los cada vez melhor.

As empresas utilizam estas informações para melhorar a experiência de seus clientes, mas é importante que isto seja amplamente comunicado ao público, agregando transparência ao processo e que estas informações sejam armazenadas de forma segura. O primeiro passo, segundo os especialistas da SAP, empresa desenvolvedora de soluções de CX (Customer Experience), da qual somos Silver Partner, é estudar os processos internos de tratamento dos dados pessoais, identificando como, o quê, quem, onde, por que e quando:

  • Como você coleta os dados pessoais?
  • Quais dados pessoais você coleta?
  • Quem tem acesso à sua visualização ou alteração?
  • Onde você os armazena e os usa?
  • Por que você os coleta?
  • Quando você os exclui?

Por isso, é fundamental gerenciar os processos de coleta, consentimento e tratamento dos dados pessoais dos clientes, criando uma experiência do consumidor única, de alto padrão e fácil de usar com a implantação, por exemplo, do Customer Data Cloud, uma nuvem de ferramentas desenvolvida pela SAP que centraliza a gestão de dados dos clientes.

Sem essa centralização, as empresas enfrentam desafios como:

  • fraca visibilidade de exposição ao risco;
  • processos reativos, ineficientes, onerosos ou manuais;
  • enormes exigências de tempo e pessoal para gerenciar eficazmente risco e conformidade,
  • e falta de alinhamento por não ter os processos de risco e conformidade incorporados ao negócio.

Afinal, agora é preciso oferecer autonomia para os clientes gerenciarem as próprias experiências por meio de centros de preferências self-service personalizáveis, no qual eles podem exercer seus direitos de proprietários de dados de acordo com a LGDP. É fundamental assegurar que as preferências, identidades, consentimentos, autenticações e autorizações digitais sejam aplicadas de modo consistente ao longo de todo o ciclo de vida do cliente, em todos os canais, marcas e regiões por meio de orquestração e governança de dados centralizadas, simples e seguras.

As cinco melhores práticas para enfrentar os desafios da gestão de dados com a LGPD

Para evitar sanções regulamentares, perda de dados e criar estratégias para melhorar a experiência do cliente e impulsionar seu crescimento, segundo os analistas do Gartner, os líderes de segurança e gerenciamento de riscos devem adotar melhores práticas para desenvolver e manter um programa eficaz de gestão de dados e de privacidade. São elas:

1 – Escolha de um DPO

A escolha envolve a designação de um profissional da própria empresa ou de terceirizada para gerenciar o programa de gestão de dados e de privacidade. Esse profissional é o Data Protection Officer, ou DPO, e será o seu principal contato. Em uma recente pesquisa realizada com 40 empresas no Brasil, a maioria dos entrevistados declarou que ainda não tinha escolhido um DPO (73%) e ainda tinha dificuldades para determinar a quem essa posição deveria se reportar.

2 – Avaliação de gaps

Desenvolver um Diagnóstico do Estado Atual de Privacidade: uma avaliação de impacto de privacidade após ações exaustivas relativas à descoberta de dados não é apenas uma tarefa necessária por meio da LGPD, mas um dever imperativo no sentido de permitir que a seleção de atividades e recursos baseada em risco esteja de acordo com o regulamento. Os componentes mais importantes de uma avaliação de impacto de privacidade incluem:

  • Um inventário de dados pessoais processados
  • Identificação dos proprietários responsáveis (obrigatórios) pelo processo de negócios
  • Informações quanto à finalidade da coleta de dados

3 – Prazos para retenção de dados

Após uma avaliação inicial de gaps, os esquemas de retenção se conectam aos propósitos do processamento, comparando o esquema com o resultado do exercício de descoberta e mapeamento. Esse processo definirá os dados que podem ser considerados como “dados em excesso” e que, portanto, estão qualificados para exclusão. Organize os resultados, apresente-as aos stakeholders do negócio responsáveis por esses dados e deixo-os verificar, no âmbito jurídico, se há uma razão para continuar processando os dados ou se eles devem ser excluídos assim que possível para eliminar, de forma proativa, o risco. Afinal, os dados sem uma devida finalidade não contribuem nada para a empresa; apenas ficam armazenados e acumulam riscos, já que o tempo representa um fator crítico de sucesso para uma violação de dados.

4 – Governança da privacidade

Os requisitos de responsabilidade e transparência levam à ampliação da documentação (interna) e ao registro dos riscos. O mapeamento de processos e dados pessoais de subsidiárias em holdings deve seguir as regras de privacidade estabelecidas pela empresa controladora (matriz). Lembre-se de que o objetivo do processamento de dados, da qualidade dos dados e da relevância dos dados deve ser definido ao se iniciar uma nova atividade de processamento. Também é uma atitude sensata incorporar um mecanismo interno que ajude a manter a conformidade nas futuras atividades de processamento de dados pessoais.

5 – Desenvolver uma resposta à violação de dados

A Autoridade Nacional responsável pela proteção de dados precisa ser notificada quanto às violações de dados no Brasil da mesma forma que as instituições financeiras precisam notificar o Banco Central sobre incidentes de segurança. Adapte-se e aprenda com os fluxos de trabalho de resposta a incidentes de segurança, mas garanta que haja uma resposta à violação de dados específica (privacidade). Isso será necessário quando ficar claro que os dados pessoais:

  • Não estão disponíveis onde deveriam estar
  • Estão (mesmo que eventualmente) disponíveis onde não deveriam estar