Após realizarmos alguns trabalhos de adequação da LGPD às Organizações, resolvi escrever algumas poucas palavras sobre as nossas experiências e então compartilhar com vocês. É claro que a nossa experiência pode não ter sido diferente de muitos, mas acredito que alguns fatores irão de encontro a todos os problemas que vocês já passaram ou irão passar no futuro.
Poderia escrever algumas dezenas de fatores que implicam no sucesso da adequação à LGPD, mas acredito que os citados a seguir sejam os mais relevantes.
Fatores Decisivos
1 – Indecisão do Governo
Com as idas e vindas da data de implantação da LGPD, em conjunto com a incerteza da sua real implantação de todos os itens da Lei, as empresas estão meio duvidosas quanto a utilização em sua estrutura gerencial.
As empresas que já realizei a adequação bem como as que estou trabalhando, ao mesmo tempo que acreditam que tenham se antecipado ao problema, existem dúvidas se o investimento realizado foi dentro do prazo adequado.
As demais empresas, com o advento da postergação das sanções para o ano que vem, relaxaram e deixaram os seus investimentos para o fim deste ano ou mesmo para o próximo ano.
2 – Participação da Organização
Esse é um fator dos fatores primordiais para o sucesso da adequação à LGPD. A participação efetiva da organização durante todo o processo de adequação, interagindo em todas as fases, desde a coleta de dados até a implantação de todos os documentos é fator de sucesso.
O primeiro problema é a conscientizar os gestores da importância da sua participação. A criação de um Comitê de Segurança/LGPD minimiza essa questão, pois a concentração das decisões fica restrita à esse Comitê.
Numa segunda etapa, é conscientizar todos os colaboradores da importância da privacidade dos dados pessoais e das novas normas que foram criadas para garantir essa privacidade.
3 – Segurança da Informação
Lembro que não existe privacidade sem segurança. Logo, verificar o grau de maturidade de segurança da informação da organização é básico para o sucesso da adequação à LGPD.
A realização de uma auditoria de segurança da informação antes de iniciar o trabalho deve ser realizada. Com base na lauda entregue, a empresa deverá implementar os controles sugeridos, a fim de mitigar os riscos detectados durante a análise/avaliação de riscos.
Melhorando a segurança, melhora-se automaticamente a privacidade dos dados pessoais, reduzindo a probabilidade de ocorrer um incidente de vazamento de dados pessoais, por exemplo.
Outra questão importante é, mesmo que ocorra algum incidente em relação aos dados pessoais, o auditor externo levará em consideração todos os procedimentos/mecanismos de segurança adotados pela empresa.
4 –Provedores e prestadores de serviços
Sendo a empresa a controladora dos dados pessoais, na maioria das vezes provedores de serviços realizam a função de operador de dados. Não basta ao controlador realizar um aditivo no contrato informando as responsabilidades, as normas e controles, por exemplo, que o operador deve realizar, mas também verificar (via auditoria) se o operador está em conformidade e adequado às normas da LGPD.
Quando se fala de prestadores de serviços, pode-se citar empresas que prestam serviços de saúde. Essas empresas manipulam dados pessoais dos seus colaboradores. A maioria não está preparada para tratar esses dados, isto é, não está adequada à LGPD. Outro aspecto devem existir procedimentos para a tramitação desses dados em conformidade com à LGPD.
Considerações Finais
Citei somente 4 fatores que considero básicos e que foram por nós constatados durante a implantação da LGPD nas empresas, como elementos ou mesmo dificuldades durante o processo de adequação das empresas à LGPD.
Vale a pena ressaltar que a LGPD ainda é uma novidade e que vários outros fatores ainda aparecerão conforme todos forem implantando.
Sei que vários outros fatores também poderiam ser citados, mas acredito que esses 4 sejam os mais complexos a serem suplantados
Luiz Otavio Lento Senior Security Advisor & DPO
Baixe o GUIA DEFINITIVO DA ADEQUAÇÃO COMPLETA A LGPD da ALIX