Separamos cinco melhores práticas que irão lhe ajudar a entrar em conformidade com a LGPD, continue lendo e confira.
1. Escolha de um DPO A escolha envolve a designação de um profissional da própria empresa ou de terceirizada para gerenciar o programa de gestão de privacidade. Esse profissional é o Data Protection Officer, ou DPO, e será o seu principal contato. Em uma recente pesquisa realizada com 40 clientes do Gartner no Brasil durante um webinar, a maioria dos entrevistados declarou que ainda não tinha escolhido um DPO (73%) e ainda tinha dificuldades para determinar a quem essa posição deveria se reportar.
2. Avaliação de gaps Desenvolver um Diagnóstico do Estado Atual de Privacidade: uma avaliação de impacto de privacidade após ações exaustivas relativas à descoberta de dados não é apenas uma tarefa necessária por meio da LGPD, mas um dever imperativo no sentido de permitir que a seleção de atividades e recursos baseada em risco esteja de acordo com o regulamento. Os componentes mais importantes de uma avaliação de impacto de privacidade incluem:
- Um inventário de dados pessoais processados
- Identificação dos proprietários responsáveis (obrigatórios) pelo processo de negócios
3. Informações quanto à finalidade da coleta de dados. 3. Prazos para retenção de dados Após uma avaliação inicial de gaps, os esquemas de retenção se conectam aos propósitos do processamento, comparando o esquema com o resultado do exercício de descoberta e mapeamento. Esse processo definirá os dados que podem ser considerados como “dados em excesso” e que, portanto, estão qualificados para exclusão. Organize os resultados, apresente-as aos stakeholders do negócio responsáveis por esses dados e deixo-os verificar, no âmbito jurídico, se há uma razão para continuar processando os dados ou se eles devem ser excluídos assim que possível para eliminar, de forma proativa, o risco. Afinal, os dados sem uma devida finalidade não contribuem nada para a empresa; apenas ficam armazenados e acumulam riscos, já que o tempo representa um fator crítico de sucesso para uma violação de dados.
4. Governança da privacidade Os requisitos de responsabilidade e transparência levam à ampliação da documentação (interna) e ao registro dos riscos. O mapeamento de processos e dados pessoais de subsidiárias em holdings deve seguir as regras de privacidade estabelecidas pela empresa controladora (matriz). Lembre-se de que o objetivo do processamento de dados, da qualidade dos dados e da relevância dos dados deve ser definido ao se iniciar uma nova atividade de processamento. Também é uma atitude sensata incorporar um mecanismo interno que ajude a manter a conformidade nas futuras atividades de processamento de dados pessoais.
5. Desenvolver uma resposta à violação de dados A autoridade nacional responsável pela proteção de dados precisa ser notificada quanto às violações de dados no Brasil da mesma forma que as instituições financeiras precisam notificar o Banco Central sobre incidentes de segurança. Adapte-se e aprenda com os fluxos de trabalho de resposta a incidentes de segurança, mas garanta que haja uma resposta à violação de dados específica (privacidade). Isso será necessário quando ficar claro que os dados pessoais:
- Não estão disponíveis onde deveriam estar.
- Estão (mesmo que eventualmente) disponíveis onde não deveriam estar.
Conte com o time da INN Tecnologia para a adequação de sua empresa com a nova legislação e evite prejuízos.
Fone: (62) 3932-1212
E-mail: contato@inntecnologia.com
