A essa altura você já deve saber que a Lei Geral de Proteção de Dados (LGPD) entrará em vigor a partir de agosto do ano que vem. Contudo, isso não é motivo para procrastinação. Muito pelo contrário. Quanto antes estabelecer um plano de ação para adequação das suas operações, mais chances você tem de adaptar-se a legislação sem surpresas desagradáveis.
Essa nova diretriz vai forçar muitos negócios, independentemente de sua área de atuação e serviço, a aderirem a novos hábitos. E muitas companhias afetadas buscarão o auxílio de especialistas e advogados. Agora, reflita: como um escritório será capaz assessorar alguém se seu próprio negócio ainda não aderiu as regras adequadamente? Não há como.
Seja para aproveitar o momento para oferecer um serviço de consultoria, ou para apenas estar de acordo com a lei, agora é o momento de agir. Pensando em ajudar você e outros escritórios que não sabem por onde começar, listamos tudo que precisa saber sobre o LGPD. A ideia é que, ao final deste artigo, comece imediatamente a planejar a melhor estratégia.
Começando planejamento
Para estar em acordo com o LGPD não basta submeter-se a auditorias. Será preciso um investimento para implementação de sistemas que garantem as seguranças dos dados, certificações específicas, prevenção de fraudes etc. Isso significa, que a adaptação irá impactar diretamente no dia a dia da empresa. Um consultoria por período considerável é medida que se tem como certa.
Toda grande mudança deve ser planejada minuciosamente para minimizar ao máximo os impactos negativos. Por isso, antes de sair contratando qualquer sistema às cegas, é importante estabelecer uma estratégia de ação.
Comece formando uma equipe responsável. Dê preferência para um time composto por profissionais variados – consultoria juridica, consultoria TI com foco na LGPD, etc. Feito isso, o próximo passo é mergulhar no tema para entender ao máximo a legislação e todas as normas que a compõe.
Os primeiros passos do LGPD
O planejamento do LGPD começa pela análise de todo o processo operacional da empresa. Esta é a fase onde você avalia as seguintes etapas de trabalho:
o Como você recolhe dados?
o De quem são esses dados?
o Quais informações são coletadas?
o Qual canal utiliza para coleta de dados?
o Este canal é seguro?
o Como são armazenados?
o Como estão protegidos de ataques virtuais?
o Qual é a política de compartilhamento de informações entre os colaboradores da minha empresa?
o Há um controle de acesso íntegro e confiável?
Esses são apenas alguns dos questionamentos que podem ser levados em consideração nessa fase.
As respostas levantadas auxiliarão a achar lacunas em todo o ciclo da informação. Onde estão os pontos de vulnerabilidade da cadeia, que colocam as informações armazenadas em risco? É por aí que você começa a documentar quais ações devem ser colocadas em prática e, até quais ferramentas terá que inserir em sua operação.
O que precisa saber sobre o LGPD
Para colocar em prática um plano de ação, considere os conceitos abaixo:
o Dados pessoais são quaisquer informações que possibilitem encontrar um indivíduo.
o Dados sensíveis são quaisquer informações que indiquem crenças, convicções e ideais de um indivíduo.
o Há permissão de que dados sejam avaliados, classificados, compartilhados e transformados, desde que haja consentimento de tal tratamento.
o Os dados só poderão ser utilizados caso haja consentimento do titular das informações. Tanto a autorização, quanto a finalidade para utilização destas informações, devem ser mostradas de maneira clara e transparente ao usuário.
Os riscos e punições devem ser esclarecidos pela consultoria.
ESTIMATIVAS DE TRABALHO E CUSTOS PARA ADOÇÃO MEDIDAS IMPLEMENTAÇÃO LGPD
A Necessidade da adaptação à LGPD – LEI GERAL DE PROTEÇÃO DE DADOS, envolve comprometimento em equipe, das empresas como um todos, tenha ela a dimensão que seja, e isso envolve a obrigação adaptação a seus termos, onde o tratamento dos dados pessoais como forma de preservar privacidade e segurança da informação, passarão a ter controle rígido.
Isso exigirá conscientização, capacitação e planos de ação, preventivos e repressivos.
Tomando este cuidados, desenvolvemos um trabalho para que essa conexão ocorra de forma menos traumática, e de forma paulatina no dia a dia da empresa.
Abordagem Inicial
Haverá uma capacitação dentre aqueles que a empresa definir que cuidarão do tratamento de dados. São necessárias pelo menos duas pessoas.
Serão dadas explicações e abordagens essenciais sobre o que significa a implementação de política da empresa voltada a tratamento, segurança e privacidade de dados pessoais.
Providências:
1.-DADOS A SEREM TRATADOS:
coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão, extração.
2.- SETORES ENVOLVIDOS (PRINCIPAIS)
Diretoria. Segurança da informação . Transportes. Logística . Jurídico . Tecnologia da informação . Marketing. e-commerce . Manutenção . Departamento de Vendas . Departamento pessoal/RH. Terceirizados. Visitantes
3.-CONTROLE POLITICA DE PRIVACIDADE
Preenchimento de formulário relativo a política de privacidade existente na empresa contemplando como são coletadas quais são as informações contidas nessa coleta. Além disso destacar como é feito o uso da informação pessoal, tanto de pessoas físicas quanto jurídicas.
4.- INFORMAÇÕES
Lista de integrantes da equipe diretiva
Levantamento do número de funcionários registrados e contratados por outra forma.
Relação de fornecedores
Lista de contatos de terceiros de uso frequente que tenham dados registrados na empresa
Lista de outros tipos de pessoas/empresa que mantenham dados armazenados na empresa
Relação de empresas de porte que tenham relação comercial/operacional com a empresa
Lista eventual de consumidores finais que tenham dados armazenados na empresa
5.- SUJEITOS A CADASTRO DE DADOS PESSOAIS ONDE FICAM OS DADOS
Contratos Contas de pessoas
Fichas cadastrais E-mails
E-mails Sistemas
Boletos de pagamento Base de dados em nuvem
Processos Servidores locais
Formulários “on line” Disco rígido de desktops e notebooks
Arquivos de imagem, vídeo e áudio Pen drives
Prontuários médicos CDs - DVDs
Relatórios de toda espécie Backups
6.- DOCUMENTOS OBRIGATÓRIOS PARA LEGITIMAÇÃO DA IMPLEMENTAÇÃO DA LGPD
Código de Ética de Conduta
Trata-se de definição do comportamento esperado dos colaboradores e definição dos valores da empresa
Regulamento Interno de Segurança da Informação (RISI)
Neste ponto a empresa deve definir propriedade e finalidade do equipamento corporativo, atribuindo de forma ordenada responsabidades, direitos, expectativas de acesso, penalidades e criação de cultura de proteção aos sistemas.
Termo de Uso de Sistemas e Informações (TUSI)
Tem a ver com a redução da expectativa de privacidade, com legitimação de controle de atividades, que visam convalidar a prova obtida através de dados, imagens ou voz.
Canal de Denúncias
Forma de incentivo ao controle de irregularidades.
Ata Notarial
Instrumento a ser utilizado para dar fé pública à constatação de incidentes, lavrando-se por tabelião, transcrevendo a prova obtida pelo meio digital, oriundo de e-mails, aplicações, hds, dados de navegação, redes sociais, fotos, imagens, voz ou pontos eletrônicos.
Relatório de Impacto de Coleta de Dados e Data Mapping
Tratam-se de documentos necessários para registro ordenado dos dados que a empresa utiliza.
Forma de Contratação:
Capacitação inicial: R$ 500,00
Etapa de familiarização com os termos da lei, sua aplicação e riscos relativos ao vazamento de dados. Compreende exposição em uma aula através de power point, presencial ou remoto, dos principais pontos da serem desenvolvidos. Etapa obrigatória.
Pacote de 20 horas (R$ 350,00 a hora trabalho) – Contempla análise e desenvolvimento de plano de ação para elaboração de organograma de pessoas responsáveis por cada tarefa e desenvolvimento de critérios para elaboração de relatórios de todas as medidas adotadas para identificar e mitigar riscos. Descrever medidas ou propostas para reparar violação de dados, inclusive para atenuar efeitos negativos. Trabalho a ser desenvolvido em 4 (quatro) semanas.
Envolvem o contido nos itens 1 a 4 acima identificados R$ 7.000,00
Consultoria – contratação por 120 dias (4 meses) – Envolve os trabalhos acima identificados, além da elaboração de acordo com a realidade da empresa do contido nos itens 5 e 6.
à partir
R$ 3.000,00
Elaboração de Relatório de Impacto e Data Mapping
Depende da sintonia com profissional de TI que atenderá os requisitos para elaboração destes dois principais relatórios.
Por guardarem relação com o uso de tecnologia, os dados coletados e objeto de avaliação e adoção de critérios nas fases anteriores, serão catalogados em ferramentas como data mapping, que farão a manutenção do ciclo de vida dos dados, mensurando bases legais necessárias e medidas de segurança adotadas.
REVISÕES E REAJUSTES DO CONTRATO
O processo de adequação passa por um noviciado, onde será comum a revisão de tarefas e ajustes financeiros, havendo previsão no contrato de honorários a ser firmado, disciplinando este assunto.
Att
Luiz Eduardo da Silva
TEMPORINI SILVA SOCIEDADE DE ADVOGADOS