Como preparar a minha empresa para a Lei Geral de Proteção de Dados – LGPD

A legislação brasileira está alinhando a proteção de dados com os modelos que estão sendo implantados em várias partes do mundo. Como cidadãos, temos que reconhecer o avanço para garantir que os nossos dados não sejam utilizados sem a nossa autorização.

 

Por Edgar Marçon e Sérgio Teixeira

proteção de dados na internet; LGPD

O que é um diagnóstico da LGPD?

Nossas informações pessoais são coletadas, todos os dias, por diversas formas e estão salvas em algum banco de dados. Seja devido a uma aquisição, um exame médico, ou qualquer cadastro que fizemos, nossos dados são utilizados para analisar nossos comportamentos como consumidores, nosso estilo de vida e geram um grande valor para as empresas.

A partir de agora essas informações passam a serem reguladas por lei, sendo as empresas responsáveis por evitar o seu uso indevido. Portanto, todas as organizações, devem estruturar a gestão dos dados disponíveis de forma eficaz. Para tanto, serão necessários cuidados especiais, iniciando-se por um diagnóstico até a implementação e monitoramento de procedimentos.

O diagnóstico é uma importante ferramenta para avaliação estruturada, com critérios e métodos com o objetivo de disponibilizar uma visão isenta e organizada da situação atual de sua empresa em relação ao atendimento à LGPD.

Diagnóstico: como pode ajudar a sua empresa?

Como resultado, o diagnóstico fornece um relatório claro para compreender o cenário atual, identificar corretamente os pontos a serem ajustados e orientar as ações para atender à LGPD.

Trata-se de um direcionador poderoso indicando quais pontos devem ser considerados e priorizados. Busca-se identificar o cenário de forma transparente quanto a vulnerabilidade de acesso aos dados com base na LGPD, orientando as ações para a redução dos riscos e atendimento aos seus requisitos.

Como é feito o diagnóstico para LGPD?

Um diagnóstico confiável evidencia os pontos a serem ajustados e o nível de profundidade. Identifica-se as vulnerabilidades, reduzindo esforços e recursos para a implantação dos requisitos da LGPD e facilitando a adequação. A partir do diagnóstico teremos um mapeamento de quanto a organização está vulnerável em relação à proteção dos dados pessoais.

A aplicação de um diagnóstico é baseada nos pontos da LGPD, buscando identificar quais os requisitos estão sendo atendidos e quais necessitam de ajustes. Ao final, os dados serão apresentados de forma estruturada, priorizando os pontos mais sensíveis e de maior potencial de risco.

Deve ser considerado no diagnóstico, a avaliação dos dados armazenados nas bases:  sistema de gestão, sistemas paralelos, documentos e exames arquivados, controles individuais, call center, dentre outros onde há informações disponíveis de pessoas e que possam gerar impactos no atendimento à LGPD. Os ajustes devem ser considerados em conjunto com a segurança da informação, procedimentos, processos e pessoas.

Tradicionalmente são mais afetadas as áreas de marketing, RH, controles de acesso, vendas e financeiro, embora deva ser verificado de forma geral na empresa possíveis processos que estejam de posse de dados de pessoas. Um ótimo exemplo é o caso de hospitais e clínicas, pois além de dados, devem ser avaliados os cuidados com os arquivos de imagens e exames mantidos no histórico dos pacientes.

Como desenvolver um Plano de Ação para cumprir as exigências da Lei Geral de Proteção de Dados

Com base no diagnóstico pode ser elaborado um plano de ação, com datas e responsáveis, definindo a implantação de procedimentos e controles para a empresa gerir da melhor maneira a manipulação de dados pessoais.

A forma estruturada potencializa a redução do esforço e acelera a adequação da empresa para atender a LGPD, minimizando assim, o risco de ocorrência de incidentes que possam afetar a imagem da empresa através da aplicação das sanções previstas na Lei.

Apesar da LGPD determinar sanções, ela reconhece como atenuante o fato de a empresa estar organizada e ter procedimentos para evitar qualquer má utilização ou vazamento de dados sensíveis. Portanto um plano de ação adequado e consistente, com procedimentos e regras adequadas, além de reduzir o risco de um incidente, pode evitar o processo de punição.

 

Edgar Marçon é administrador, com pós USJT e Enterprise Management na FDC, vasta experiência de Gestão Executiva em Informática em empresas de vários tamanhos e mercados. Participou de trabalhos voluntários como na ASUG Associação dos Usuários SAP e apoio a diretoria do PMI-SP. Tem atua como Conselheiro de Administração em empresas familiares e como consultor de apoio à gestão e melhoria de resultados.

Sérgio Teixeira é engenheiro, pós graduado em Engenharia de Software pela Universidade São Judas Tadeu atuando nas áreas de tecnologia e segurança da informação desde 1995. Foi professor das cadeiras de Sistemas Operacionais e Segurança da informação nas universidades Anhembi-Morumbi, FMU e São Judas Tadeu. Tem atuado liderando equipes de infraestrutura e segurança de ambientes de Informática.

 

Curso LGPD

 

Receba os conteúdos e as novidades da Fundação Vanzolini no seu e-mail: Cadastre-se em nossa newsletter

Comentários