Há quatro estratégias fundamentais que todas as Pequenas e Médias Empresas (PMEs) precisam seguir para iniciar a implementação e estar em conformidade com a Lei Geral de Proteção de Dados (LGPD). Estes pontos foram discutidos em evento realizado pela FecomercioSP, em parceria com a Opice Blum Academy, na última quinta-feira (9). Confira, a seguir, estes princípios básicos.
Mapeamento – deve-se entender o que se trata com dados pessoais dentro da organização e o que cada departamento possui em relação ao fluxo de dados. Para tanto, é essencial fazer um levantamento em todas as áreas da empresa quanto ao que é coletado, qual a finalidade de se utilizar tais informações, como são armazenadas, com quem são compartilhadas e como/quando serão excluídas. Para as médias empresas, isso envolve dialogar com os departamentos jurídico, de Tecnologia da Informação (TI), Recursos Humanos (RH), compliance, marketing, auditoria, etc.
“A empresa precisa ter uma lista com tudo. Por exemplo: há uma atividade de admissão de funcionários no RH que coleta determinados dados, com tal finalidade, que são armazenados desta forma, que são compartilhamos com essas e aquelas empresas, e que serão retidos por três meses, um ou dois anos. Deve-se criar este relatório para todas as áreas da organização”, destacou o sócio do escritório Opice Blum, Bruno e Vainzof Advogados, Caio Lima.
Entenda mais sobre o assunto
LGPD e sanções administrativas: momento de instruir, e não de punir
Prepare sua empresa para a nova Lei Geral de Proteção de Dados e evite multas
LGPD entra em vigor; reveja webinário e saiba o que fazer
A diretora de Risco e Governança na Lello Imóveis e diretora-executiva de Administração de Imóveis e Condomínios do Secovi-SP, Moira Regina de Toledo, reforçou que o mapeamento é uma oportunidade de revisão de todas as atividades em termos de governança e risco. “Para quem não sabe por onde começar, o mapeamento dá estas dicas. Por este caminho, consegue-se entender os riscos maiores e os menores, bem como se estabelecer o que é mais fácil e mais difícil de realizar”, ponderou. Em relação ao exemplo do RH, ela enfatizou que a empresa também precisa saber o que é feito com senhas e e-mails utilizados por um funcionário demitido. “Isso não necessariamente demanda mais tecnologia, mas uma revisão de processos rotineiros da organização.”
Observar os princípios da lei – deve-se cumprir integralmente os princípios contidos no artigo 6º da LGPD, tais como: finalidade, necessidade, prevenção, transparência, segurança, entre outros. Veja o detalhamento ponto a ponto de cada um deles e o que sua empresa deve fazer.
É muito importante se relacionar com outras empresas que também estejam em conformidade com a lei. Contudo, demonstrar que está em conformidade, para pequenos negócios, pode ser um desafio. Em razão disso, é fundamental ter em mente que o princípio de auditoria de contas prevê que tudo dentro da organização seja acompanhado de uma efetiva evidência de conformidade legal, ou seja, é fundamental guardar provas e documentos, destacou Caio Lima. Sendo assim, a empresa pode documentar um treinamento de funcionários com uma lista de presença, ou a contratação de uma solução técnica com nota fiscal, por exemplo.
Ter uma política de Privacy by Design – qualquer novo produto, novo serviço ou novo projeto precisa documentar a preocupação com a LGPD e ter a segurança da informação como princípio básico. Por exemplo: ao criar um novo aplicativo que irá tratar dados pessoais, a organização deve incluir, no desenvolvimento do programa, o que será feito para atender à legislação de privacidade de dados. Isso precisa refletir na atualização da política de privacidade e na atualização do mapeamento.
Cultura de governança – a governança também deve fazer parte do cotidiano das pequenas empresas. Isso não se trata necessariamente de formar um Conselho de Administração, mas de adaptar as práticas adotadas quanto ao tratamento correto dos dados em suas atividades. Estas companhias podem, por exemplo, formalizar todas as orientações por escrito ou com materiais ilustrativos aos funcionários, esclareceu Moira.
A sócia do escritório Opice Blum, Bruno e Vainzof Advogados, Camilla Jimene, reiterou que a LGPD traz vários desafios, mas apresenta soluções em relação à governança. “Uma das primeiras medidas é o comprometimento genuíno da empresa com a privacidade. É importante adotar políticas internas, pegar a legislação e transformar isso em realidade do dia a dia: como o negócio se posiciona quanto ao tratamento de dados, como isso irá nortear suas decisões e como comunicará ao público externo.” Um passo primordial é deixar claro aos funcionários o que é dado confidencial, público ou interno na organização.
Controlador e operador
Caio Lima explicou que os relatórios do mapeamento também ajudam as empresas a identificar quando são controladores ou operadores dos dados. As duas figuras são conceitos que fazem parte da LGPD e têm responsabilidades diferentes:
– o controlador determina o que pode ser feito com o conjunto de dados pessoais. São três obrigações a serem seguidas: autorizar o tratamento de dados; atender aos direitos dos titulares em relação ao acesso, portabilidade, exclusão, etc.; e notificar tanto a Autoridade Nacional de Proteção de Dados (ANPD) quanto os titulares em caso de incidentes com segurança de informação;
– o operador recebe a base de dados autorizada pelo controlador e precisa seguir suas recomendações, bem como ainda deve identificar quem é o controlador quando o titular questioná-lo.
Contudo, nem sempre será tão simples. A empresa precisa avaliar, diante de cada atividade, qual é seu papel, pois pode desempenhar uma função diferente a depender até mesmo das subatividades, esclareceu o especialista.
Fonte: FECOMERCIO SP