4 dicas de conformidade com a LGPD
Já se passou quase um ano desde que a Lei Geral de Proteção de Dados (LGPD) entrou em vigor. Isso aconteceu em 18 de setembro de 2020, mas está claro que, para uma boa parte das empresas, ainda há muito trabalho a ser feito.
É o que mostra a ABES (Associação Brasileira das Empresas de Software), que desenvolveu, em parceria com a Consultoria EY (Ernest Young), o Índice LGPD ABES, que permite o diagnóstico de empresas em relação à sua adequação à nova legislação.
Dentre as mais de 2.050 empresas de diversos segmentos, que responderam o questionário, apenas 39,45% estão em conformidade com as exigências legais.
Estar em conformidade com lei é um desafio de todos os segmentos e áreas de uma empresa, como recursos humanos, vendas, marketing, financeiro, administrativo, e, principalmente, o jurídico e a TI, que precisam assegurar a existência de processos claros e recursos adequados para prevenir o uso inadequado dos dados e evitar vazamentos de informações e ataques de cibercriminosos.
4 dicas de conformidade com a LGPD para agilizar os processos de TI
A dificuldade encontrada pelas empresas em se adequar a nova legislação, mesmo após um ano desde que ela entrou em vigor no país, deixa claro que a estratégia da LGPD certamente não é um tipo de processo no estilo “configure e esqueça”.
As empresas devem, no mínimo, monitorar e atualizar continuamente seus processos para permanecerem em conformidade.
1 – Conheça seus dados
A dica número 1 da lista de conformidade com a LGPD é conhecer seus dados. Na era digital, a informação é um ativo comercial, fluido que está sendo constantemente compartilhado, alterado e movido. Isso torna um inventário de dados vital para a estratégia de proteção e privacidade de dados.
Além de um inventário, também é preciso incluir diagramas de fluxo de dados para saber aonde as informações estão indo e como estão sendo processadas.
Responder perguntas como quais dados a empresa possui, como são coletados, o que exatamente é feito com eles e por quanto tempo são mantidos, ajudará muito no cumprimento da LGPD.
Se respondermos essas perguntas, teremos uma grande compreensão do ciclo de vida da informação, desde a coleta até sua destruição. Dessa forma também identificaremos nossas responsabilidades de custódia ao longo do caminho.
2 – Pense na aplicação da LGPD como um investimento
As empresas que estão atrasadas devem começar a considerar opções de longo prazo que mostrem a “boa fé” para melhorar a prontidão para conformidade com a legislação. Também é importante que as empresas pensem na LGPD não como um custo, mas como um investimento empresarial.
A conformidade com a lei obviamente abordará o risco regulatório e de gerenciamento de dados, mas também oferece uma oportunidade para os líderes de negócios aproveitarem a conformidade com a privacidade e bloquearem o gerenciamento de informações como um componente de negócios discriminatório.
Para ajudar a cumprir a LGPD, muitas empresas estão aumentando os orçamentos para tecnologia de privacidade, como mapas de dados. Essas tecnologias estão ajudando as empresas a automatizar processos essenciais para atender aos requisitos da legislação.
De fato, a tecnologia é uma oportunidade para a organização estabelecer e gerenciar os fluxos de trabalho de que precisam para ter um programa de conformidade sustentável.
3 – Utilize uma estrutura objetiva de controle
Do ponto de vista da segurança, não há muitos requisitos específicos na LGPD, mas certamente há elementos de práticas recomendadas de segurança cibernética em seus requisitos.
Estratégias de segurança cibernética e proteção de dados ajudarão a atender os requisitos para manter a privacidade das informações, para evitar a exposição acidental e fornecer notificações de acompanhamento quando ocorre um incidente.
As empresas precisam saber como implementar um bom programa de segurança e aplicar os controles técnicos, compensatórios e de procedimentos apropriados para fazer a devida diligência para proteger a privacidade das informações que ela possui.
Certifique-se de ter uma cobertura abrangente de todos os aspectos da segurança de TI: gerenciamento de vulnerabilidade, gerenciamento de configuração e correções, bem como a detecção apropriada e controles preventivos.
Implementar boas práticas de segurança é fundamental para estar em conformidade.
4 – Revise seus contratos com fornecedores
O gerenciamento de risco do fornecedor é um grande componente estratégico para a lei de proteção e privacidade dedados, e, como resultado, as empresas devem garantir que seus contratos tenham força.
A conformidade também pode exigir revisões nos contratos do fornecedor para incluir a adesão aos requisitos da LGPD, incluindo auditorias periódicas, estatísticas de configuração e evidências de controle de processo.
As expectativas sobre os controles que os fornecedores têm em vigor e para que eles comprovem evidências desses controles são componentes essenciais dos contratos em relação à LGPD.
É vital que as empresas acompanhem regularmente e verifiquem se os fornecedores estão de fato implementando esses controles específicos para manter a conformidade com a lei de proteção de dados.
O gerenciamento do ciclo de vida de ponta a ponta do risco do fornecedor é realmente crítico para aplicar a LGPD. No final você é o responsável!