Implementar as regras da Lei Geral de Proteção de Dados (LGPD) não é tarefa fácil ou de curto prazo, nem possui receita pronta, já que cada empresa é única. No entanto, listamos seis passos, que bem definidos, podem facilitar essa operação, quais sejam: conscientização, mapeamento, gap analysis, planejamento, implementação e monitoramento das ações.
O objetivo da lei é a proteção da privacidade dos dados pessoais, portanto quanto mais a empresa realizar etapas eficientes associadas a esse objetivo, menos risco correrá no futuro.
A LGPD apresenta diversos conceitos, diretrizes de boas práticas de segurança da informação e de governança de dados, bem como parâmetros para mitigação das sanções. Além disso, a lei estabelece as dez bases legais que autorizam o tratamento dos dados pessoais, sendo uma delas a necessidade de consentimento do titular dos dados pessoais. A LGPD também aborda dez princípios que orientam a aplicação da lei, somados à proposta de uma atuação norteada pela boa-fé.
Aqui, seguem seis passos que podem auxiliar na implementação da LGPD nas empresas:
1º passo: a conscientização – A empresa e seus colaboradores devem conhecer a legislação, verificando quais diretrizes se aplicam às suas atividades.
2º passo: mapeamento – O objetivo é fazer um diagnóstico do fluxo de dados pessoais da empresa, mapeando quais atividades e procedimentos usam dados pessoais, uma vez que a lei obriga o correto tratamento dessas informações, desde o momento da coleta até o descarte.
3º passo: gap analysis – Após levantar e mapear os dados, é preciso analisar os gaps, ou seja, as atividades e os procedimentos da empresa que não estão em conformidade com a legislação.
“Nessa etapa você conseguirá identificar as ações que serão prioritárias na atuação de implementação, e a partir desse momento, mitigar os seus riscos em relação à aplicação da LGPD”, ensina Ana Torres, coordenadora da Divisão de Compliance da Firjan.
4º passo: planejamento – Após passar pela conscientização, mapeamento e gap analysis, chega o momento do planejamento, no qual é necessário implementar o ciclo PDCA (planejar, desenvolver, controlar e avaliar).
5º passo: implementação – É a hora de colocar em prática o que foi planejado.
6º passo: monitoramento das ações – Por fim, após o mapeamento dos riscos e da implementação das ações para adequação às diretrizes legais, é necessário realizar o monitoramento contínuo para garantir a proteção dos dados pessoais bem como identificar pontos que serão melhorados.
Ana Torres explica que as pesquisas hoje demonstram que o principal fator que ocasiona o vazamento de dados pessoais nas empresas é a falha humana. Por essa razão é imprescindível que as empresas busquem conscientizar e capacitar seus profissionais sobre a temática.
De igual forma, a Firjan se encontra em fase de implementação da LGPD, de acordo com os seis passos sugeridos. Até o momento, a instituição capacitou mais de mil colaboradores, realizou questionário de data mapping – com cerca de 60 perguntas –, que resultou em mais de 1.100 respostas, que foram compiladas e encaminhadas para a fase do gap analysis.