Especialista indica quais os passos a serem seguidos por pequenas e médias empresas para estarem adequadas à LGPD
A LGPD – Lei Geral de Proteção de Dados entrou em vigor de forma escalonada, com a maioria dos artigos se tornando efetivos no dia 18 de setembro de 2020, e agora em agosto de 2021 entraram em vigor os itens relativos a sanções administrativas e multas.
O fato é que a LGPD já se encontra completamente efetiva, com diversas solicitações de titulares e até mesmo decisões em primeira instância que já foram tomadas com base na lei. A dura realidade é que organizações não tem mais como se abster de proteger dados pessoais, e se existe um segmento que deve encontrar mais dificuldade para garantir a conformidade com todos os deveres da lei é o de pequenas e médias empresas (PMEs).
As PMEs contribuem dinamicamente com a economia, e dependendo de sua área de atuação, podem ter uma interação muito próxima dos dados e informações privadas de clientes, porém normalmente tem infraestruturas tecnológicas mais simples e algumas vezes vulneráveis.
Por isso, muitas PME são alvos interessantes para golpistas, cibercriminosos, tentativas de fraudes, e claro, tentativas de sequestros ou roubos de dados de clientes, chegando até mesmo a extorsões.
“A base dos conceitos da Segurança da Informação é o alicerce para a proteção da privacidade. Portanto gerir adequadamente a cibersegurança é o caminho mais favorável para o atendimento aos requisitos de leis que focam em privacidade e proteção de dados pessoais”, afirma Cláudio Dodt, sócio da DARYUS Consultoria e especialista e evangelista em Cibersegurança e Proteção de Dados.
“Vale ressaltar que as multas, em caso de descumprimento da LGPD, poderão ser de até 2% do faturamento da empresa e limitada, no total, a 50 milhões de reais por infração. No caso das pequenas e médias empresas, as multas poderão atingir o teto de R$ 4,8 milhões”, complementa.
Diante de tantas informações sobre a LGDP, existe uma certa urgência para qualquer empresa iniciar o processo de adequação. Por isso, Cláudio Dodt indica seis passos essenciais a serem seguidos pelas PMEs:
Passo 1 – Entendendo o Negócio e os Dados Pessoais
Um primeiro passo essencial na jornada rumo a adequação à LGPD é conhecer os dados pessoais que a empresa trata, afinal não é possível proteger aquilo que sequer sabemos que existe.
Dentre as várias opções, realizar o mapeamento dos dados pessoais é a que se mostra inicialmente mais adequada, já que permite ter uma visão completa de como as múltiplas áreas/processos da organização lidam com dados pessoais no dia a dia.
Esse processo vai apoiar o entendimento de pontos críticos que incluem desde possíveis fragilidades de segurança, até pontos que podem inviabilizar o atendimento aos direitos dos titulares.
Passo 2 – Compreenda o nível atual de adequação
Um outro passo muito importante é entender o nível de conformidade da organização com os requisitos da LGPD. Uma forma rápida de compreender a situação da empresa, é realizar uma avaliação, costumeiramente chamada de análise de gaps ou assessment. Idealmente o resultado dessa avaliação vai permitir identificar as principais deficiências e servir como base para traçar um plano de adequação.
Passo 3 – Cuide do planejamento de curto, médio e longo prazo
Com a LGPD em vigor desde setembro de 2020, e os artigos sobre multas e sanções ativos desde agosto de 2021, se sua empresa ainda está em uma fase inicial de adequação, a dura verdade é que uma violação de dados pessoais é mais que provável.
Aceitar esse fato e entender que nem todos os pontos necessários à conformidade podem ser resolvidos do dia para a noite é algo natural, mas não há motivos para pânico. Existem algumas ações razoavelmente simples que podem oferecer um ganho significativo, como criar um canal básico para receber solicitações dos titulares, ou mesmo criar uma política de privacidade e proteção de dados pessoais.
Essas vitórias rápidas (quickwins) não só ajudam na dinâmica da jornada rumo à adequação, como servem de base para controles mais complexos, que podem levar semanas ou mesmo meses para serem concluídos.
Passo 4 – Quem é o encarregado?
Não há dúvidas de que ter uma pessoa responsável por apoiar práticas de proteção de dados é algo fundamental para toda organização.
O que muitas PMEs, startups e empresas que estão iniciando se questionam, é a real necessidade de ter um encarregado pelo tratamento de dados pessoais. Infelizmente, em sua redação atual, a LGPD não permite uma flexibilização desse ponto: toda empresa que realiza tratamento de dados pessoais conforme descrito na LGPD precisa apontar um encarregado/DPO.
O papel do Data Protection Officer – DPO é apoiar a organização, servindo tanto como canal de comunicação com a ANPD (Autoridade Nacional de Proteção de Dados) e titulares, quanto evitando a ocorrência de violações de dados pessoais, algo que pode ter um impacto tão severo ao ponto de inviabilizar todo um negócio.
Passo 5 – Prepare as pessoas na sua organização
No meio de tantas empresas prometendo produtos e tecnologias que agilizam o processo de adequação, o fator humano na proteção de dados pessoais parece ter um papel de coadjuvante.
É natural realizar ajustes em tecnologias e processos, mas não pode esquecer que o pilar central de qualquer organização, independente do seu porte, são as pessoas que a constituem. Investir em conscientização sobre proteção de dados pessoais é provavelmente um dos pontos mais importantes em qualquer projeto de adequação.
Passo 6 – Se precisar peça ajuda
Temas como segurança da informação e proteção de dados pessoais já são bem difundidos, e se a organização está tendo dificuldades, pense seriamente em consultar um especialista que pode servir como guia para conformidade à LGPD.
Sobre o Grupo DARYUS
Desde 2005 com o propósito de iluminar mentes, proteger pessoas e negócios, por meio de educação e serviços em gestão de riscos, o grupo DARYUS tornou-se referência em consultoria, educação e eventos nos temas: Gestão de Riscos, Segurança de Informação, Cibersegurança, Proteção de Dados (LGPD) e Governança de Tecnologia da Informação (TI).
O Grupo é composto por 4 unidades de negócios: 1) A DARYUS Consultoria – especializada em Gestão de Riscos e Cibersegurança, 2) O IDESP – instituto DARYUS de Ensino Superior Paulista – que é líder na formação em GRC, com mais de 30 mil profissionais formados desde 2006, e pioneira na criação dos cursos de pós-graduação em segurança da informação, forense computacional, cibersegurança e continuidade de negócios, 3) A DARYUS Eventos, que tem foco em criar e gerenciar eventos que desenvolvam a comunidade de cibersegurança e gestão de riscos no Brasil, e 4) A DARYUS StartLab, aceleradora de startups focada em Riscos, TI e Cibersegurança.
Instituto Daryus oferece 5 mil bolsas de estudo gratuitas para curso de fundamentos em LGPD
Grupo DARYUS abre vagas para profissionais de tecnologia e gestão empresarial
Segundo executivo da Daryus, vazamentos de informação não são novidade e muito menos raros