Alfredo Martín Cammarota, diretor de segurança da informação do gA, divisão da Globant. Foto: divulgação.

O início da vigência da LGPD (Lei Geral de Proteção de Dados Pessoais) pegou muitas empresas de surpresa. Após quase dez anos de discussões, ninguém imaginava que a lei seria sancionada e em meio à pandemia.

Com isso, desde setembro, companhias de todos os portes estão correndo contra o tempo para se adequarem às exigências de tratamento de dados pessoais da nova lei.

Apesar da Autoridade Nacional de Proteção de Dados (ANPD) ainda não fiscalizar as empresas, outros órgãos, como o Ministério Público, podem mover ações e aplicar punições baseadas na nova Lei.

Portanto, cabe às organizações buscarem o máximo de eficiência para não errarem nas suas adequações. As dicas abaixo ajudam as empesas nos principais aspectos neste processo de adequação.

1. Evite os atrasos no projeto de LGPD diante da dificuldade de levantar informações: equipes multidisciplinares devem ser criadas para trabalhar no levantamento de informações, já que a LGPD não é um projeto de TI ou de Segurança, mas de toda a empresa.

A definição de líderes de diferentes áreas da empresa acelerará o processo de pesquisa, pois chegará diretamente aos proprietários dos dados.

2. Integre equipes para evitar a falta de liderança entre os diversos fornecedores do projeto: a equipe de LGPD deve ter um líder definido que tenha o empoderamento necessário para engajar as áreas envolvidas, bem como os fornecedores externos. Normalmente, esses projetos são liderados pela área de Compliance ou pelo DPO (Data Protection Officer).

3. Faça diagnósticos sobre a lei adaptados à realidade do negócio: a LGPD se aplica a qualquer empresa que lida com informações entendidas como pessoais, embora seja ainda mais rigorosa naquelas que processam dados confidenciais.

Dado que a lei tenha uma abordagem teórica, as medidas a serem aplicadas ao negócio devem ser adaptadas de acordo com uma avaliação de risco específica para cada negócio.

4. Garanta uma visão estratégica sobre os dados: a governança de dados deve ser liderada por um quadro de políticas e procedimentos alinhados ao direito interno para todo o ciclo de vida das informações. Isso envolve o estabelecimento de controles internos e canais externos para o direito de acesso à informação.

5. Estabeleça um plano de ação baseado na análise de riscos e impactos: uma vez que os ativos de informação, classificados e priorizados, tenham sido identificados, deve-se realizar uma gestão de risco que avalie, de acordo com cada caso, o impacto e o volume dos dados afetados.

A partir dessa avaliação de risco, os planos de ação podem ser priorizados para mitigar cada caso. Recomenda-se dar o nível adequado de tratamento a cada ativo de informação e não estabelecer um plano de ação geral que possa atrasar o projeto e não priorizar ativos críticos ou mais sensíveis.

6. Monitore o plano para que não haja desvios do modelo definido: para facilitar o monitoramento, os projetos limitados a cada ativo devem ser definidos de acordo com a priorização realizada na gestão de riscos. Dessa forma, os ativos de informação agrupados por sua criticidade e nível de risco podem ser processados.

7. Prepare-se para tratar incidentes do projeto, como o vazamento de informações: um plano de resposta a incidentes envolvendo as áreas de tecnologia, jurídico, conformidade e comunicações deve estar em vigor.

Esses planos devem ser testados para que cada equipe saiba qual é o seu papel e seja capaz de agir rapidamente em caso de incidente, além de incluírem mitigação e recuperação, bem como comunicação interna e externa.

A LGPD contém muitos aspectos que devem ser avaliados de acordo com a particularidade de cada negócio, volume de dados e exposição.

O trabalho deve ser feito para alcançar um nível aceitável de risco para o negócio, já que a confiança de clientes ou parceiros de negócios é de vital importância e um incidente de vazamento de informações pessoais pode prejudicar a reputação das empresas acima de qualquer dano econômico aplicável ou multa.

*Por Alfredo Martín Cammarota, diretor de segurança da informação do gA, divisão da Globant.