Compliance LGPD: 6 etapas para sua empresa se adequar à nova legislação!

Diversas são as dúvidas que as empresas têm a respeito do processo de compliance com a LGPD. Em um primeiro momento, pode parecer complicado adequar toda uma Organização em meio a tantas mudanças.

De fato, o desafio é grande e é preciso se organizar para alcançar esse objetivo. Por conta disso, elaborar um planejamento para essa transformação é o ideal para que ela ocorra de maneira correta.

Sendo assim, o plano de 6 etapas que encontrará abaixo poderá te auxiliar imensamente nessa jornada. Estar em compliance com a LGPD não é simples, mas, ao seguir as etapas abaixo, sua empresa poderá passar por esse desafio de maneira mais rápida e efetiva.

1. Determine os responsáveis

No âmbito da LGPD, o tratamento dos dados pessoais pode ser realizado por dois agentes de tratamento:  controlador e o operador. Além de um terceiro, que apesar de não ser chamado de “agente de tratamento” pela Lei, oferece auxílio na comunicação durante todos os processos.

Temos também a figura do titular dos dados pessoais, no âmbito desta mesma Lei.

  • Titular: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
  • Controlador: Dentro da jornada LGPD, essa é a empresa a quem competem as decisões referentes ao tratamento de dados pessoais. Dessa forma, é a responsável por sua utilização, bem como quem definirá a maneira como estes serão utilizados.
  • Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
  • Encarregado: Pessoa indicada pelo Controlador para atuar como canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Deve garantir o compliance junto à LGPD dentro da Organização.

2. Realize o diagnóstico e conheça os principais riscos

Para se iniciar qualquer projeto, independentemente de seu objetivo, é preciso entender em que ponto a sua Organização se encontra. Assim, é natural que o primeiro passo para estar em compliance com a LGPD seja, justamente, realizar um diagnóstico.

É aqui, afinal, que você entenderá o que precisará de fato ser feito.

Mais do que isso, esse é o ponto inicial para se analisar também como determinadas atividades são feitas atualmente, como, por exemplo, realizando uma análise de privacidade e uma auditoria inicial.

Esse diagnóstico é uma excelente forma de entender o funcionamento de uma Organização no que diz respeito aos dados. Além disso, é ele que definirá suas próximas etapas.

Obviamente, nem todos os processos são à prova de falhas. Faz parte de um bom planejamento, portanto, analisar os riscos de cada atividade e criar um plano para mitigá-los.

Com o auxílio dos departamentos jurídico, de compliance e de TI, uma grande força-tarefa deve ser montada a fim de encontrar possíveis brechas. Aqui, muito provavelmente serão descobertos gaps de processos e tecnológicos.

O próximo passo, então, é corrigir ou mitigar  essas situações encontradas Para isso, é possível utilizar  de novos sistemas e ferramentas, ou ainda alterar processos e definir novas diretrizes.

Afinal, quando ocorrerem violações de dados pessoais, acabam-se tomando decisões apressadas e incorretas. É aqui que reside a importância de criar um plano de contingência e respostas que já prevejam os riscos e determinem as ações a serem tomadas em cada situação.

3. Mapeie os dados pessoais

Sua empresa já realizou um diagnóstico inicial e definiu os responsáveis por cada uma das atividades. Agora, chega o momento de colocar a mão na massa de fato, analisando mais diretamente sua relação com os dados.

Para isso, porém, é preciso entender qual é o fluxo dos dados pessoais dentro de sua Organização.

Aqui se faz necessário mapear o fluxo desses dados, ou seja, de onde vem, para onde vai, como é utilizado, armazenado e eliminado, além de identificar os dados realmente necessários ao funcionamento de seu negócio. Ainda que pareça simples, essa é uma atividade vital para sua compliance junto à LGPD.

É aqui, afinal, que você começará a identificar, com maior nível de detalhe, as falhas que sua Organização apresenta durante o  tratamento dos dados e os possíveis riscos associados. Esse é o ponto de partida para um planejamento de alterações a fim de se adequar à Lei.

Neste item, também se faz necessário entender outros fatores. Em especial, indica-se visualizar e analisar os processos envolvidos, as políticas em vigência e as tecnologias utilizadas.

Com isso, é bom checar junto às normas atuais se tudo está sendo feito de maneira correta e legal.

4. Implantação de novos processos, documentos e tecnologias através do programa de conformidade

Além das situações apontadas no item anterior, se faz necessário seguir um plano de implantação. Com este fim, o indicado é contar com um plano que contemple a segurança, a privacidade dos dados e das pessoas. Para aplicá-lo, porém, é interessante elaborar um projeto próprio.

Neste documento estarão todos os guias para se implementar as normas agora exigidas. Na prática, é como um manual de como se portar, trabalhar e lidar com as informações existentes na Organização.

Seu foco, portanto, é otimizar os processos internos da organização, além de implementar controles mais agressivos de segurança. Dentro deste também precisará estar um plano de respostas, o qual será utilizado no caso de incidentes ou violações.

Ele tem como objetivo garantir a pronta resposta a qualquer situação que venha a ocorrer, bem como a proteção da empresa contra qualquer ataque cibernético. Um ponto importante para se estar em compliance com a LGPD é ter tudo isso documentado, arquivado e embasado na Lei, com auxílio de tecnologias para otimização dos controles.

A qualquer momento, afinal, sua empresa pode ser auditada, tendo assim a necessidade de apresentar esses esforços aos auditores. Sabendo disso, o correto é manter rastreabilidade sistêmica dos protocolos seguidos.

5. Treine e conscientize os seus colaboradores

Seguir todas as etapas para confirmar sua compliance junto à LGPD possui um desafio grande. Este é justamente fazer com que toda a equipe siga as novas regras impostas pela legislação.

De nada adiantará ter uma diretoria ou gerência preparada se o restante de seu time não souber como agir.  Para garantir que isso não ocorra, então, o ideal é contar com algumas ferramentas.

Entre elas, encontra-se um código de conduta atualizado, bem como a utilização de treinamentos constantes. Juntas, essas atividades farão com que a cultura da empresa mude, acarretando o cumprimento da legislação.

O código de conduta deve conter tudo o que pode ou não ser realizado por um colaborador de acordo com a nova lei.

Aqui, deve haver também informações a respeito da Lei Geral de Proteção de Dados, seus objetivos e importância. Da mesma forma, advertências ou punições podem ser adicionadas para atestar seu cumprimento.

Já os treinamentos têm como objetivo fazer com que os funcionários entendam essa nova forma de trabalho. Sua função principal é a de informar e preparar a equipe para a realidade que se encontra atualmente.

Estes, porém, devem ser constantes e ocorrer sempre que seja analisada uma falta de conhecimento por parte do time.

6. Faça auditorias periódicas e mantenha o programa de conformidade atualizado

Como explicado alguns parágrafos acima, sua Organização pode ser denunciada ou mesmo fiscalizada auditada  em caso de eventuais violações às normas da LGPD. Assim, torna-se importante prática de auditorias periódicas. Estar preparado para esse momento, portanto, é fundamental para atestar que a empresa se encontra preparada para lidar com os dados de seus clientes.

Entretanto, esse momento é de bastante ansiedade e medo por parte da equipe, o que pode afetar os resultados. Sendo assim, nada melhor do que tornar essa uma prática constante, o que garante a normalização do processo por parte dos funcionários.

Para isso — e para garantir a compliance não só à LGPD, mas também as melhores práticas de segurança da informação, incluindo aquelas citadas na família das normas ISO 27000 — o ideal é contar com auditorias periódicas. Estas podem ser feitas internamente, sempre com um responsável pela análise. Ele pode ser o próprio DPO, que detém o conhecimento necessário, ou um auditor terceiro, garantindo imparcialidade.

De qualquer maneira, essa constância na análise é o que pode garantir que sua empresa cumpra os requisitos da lei. Isto implica em manter tecnologias e sistemas atualizados, além da constância em monitoramento de processos e pessoas. A maneira que os colaboradores se acostumam com o processo, tornam-se mais abertos a ele. Com isso, ganham confiança e capacidade para comprovar o trabalho bem-feito que vem sendo realizado.

Acelere o processo de compliance com a LGPD com o GRC JOBS

Sem dúvida alguma, estar em compliance com a LGPD é vital para qualquer empresa atualmente. Muito mais do que apenas seguir a lei, essa é uma maneira de melhorar a imagem da sua Organização no mercado e passar segurança aos seus clientes.

Realizar essa tarefa sozinho, porém, pode ser bastante desafiador, sendo ideal ter um parceiro para isso!

A Walar é a empresa ideal para essa parceria, já que conta com mais de 27 anos de vivência em TI. Com experiência em projetos dos mais variados segmentos, disponibiliza os melhores recursos para você e seu negócio.

Do mapeamento à implantação da plataforma, a  Walar oferece suporte para que a adaptação ocorra da melhor maneira possível. E isso pode ser realizado por meio de suas soluções.

Uma dessas soluções, o GRC JOBS, é uma plataforma versátil que te permite organizar os processos de compliance. Assim, se torna mais simples seguir as normas da LGPD, além de garantir a segurança de sua Organização.

Ficou interessado e quer saber mais a respeito dessa solução? Entre em contato com um consultor da Walar para mais informações!

Leave a Comment