Em agosto de 2018, foi sancionada no Brasil a Lei n.º 13.709, também conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD). A LGPD tem como base a General Data Protection Regulation (GDPR) europeia. Ela busca aumentar a responsabilidade das empresas sobre a forma como lidam com informações pessoais, evitando abusos e o uso dos dados para fins não autorizados. Em resumo, todas as empresas que coletam, armazenam e tratam dados pessoais, deverão se adequar para atender às novas determinações legais. Enquanto as empresas precisam garantir que as informações estejam armazenadas de forma segura, o titular dos dados tem poder sobre as informações coletadas, podendo solicitar acesso para fins de verificação, correção e até mesmo eliminação dos dados.
Um estudo apresentado recentemente pela Serasa Experian revelou que 85% das empresas brasileiras ainda não estão preparadas para garantir os direitos e deveres em relação ao tratamento de dados pessoais exigidos pela LGPD. A consultoria ICTS Protiviti, que atua na área de ética, compliance e gestão de riscos, também apresentou os resultados de uma pesquisa que revelou números semelhantes: oito em cada dez empresas ainda não estão preparadas. O estudo também revelou que bancos, empresas de telecomunicação e indústrias de alimentos em geral estão mais adiantados no processo de cumprimento das novas regras.
A LGPD deveria entrar em vigor em agosto de 2020. Porém, a medida provisória (MP) nº 959, editada recentemente pela presidência da república, postergou a Lei n.º 13.709, que agora passa a valer apenas em maio de 2021. Com isso as empresas ganham mais alguns meses para se preparar.
Atualização: No dia 26 de agosto de 2020, o Senado Federal derrubou o adiamento e aprovou a vigência da LGPD. No entanto, o novo prazo ainda não foi definido, pois depende da sanção ou veto do PLC 34/2020 por parte da presidência da república.
Como sua empresa pode se preparar para a LGPD?
Com os holofotes cada vez mais voltados para a privacidade sobre as informações pessoais, as empresas precisam considerar soluções para gestão de governança, riscos e conformidade (GRC). É importante ressaltar que uma plataforma tecnológica por si só não garante adequação à LGPD. Este é um processo interdisciplinar mais complexo, que envolve todas as áreas da empresa, com destaque para jurídico, TI e governança. Neste contexto, a tecnologia entra como ferramenta de apoio, auxiliando principalmente na adaptação dos processos, na identificação dos riscos, na implementação de políticas e controles, na realização de auditorias e no treinamento dos colaboradores, buscando garantir que os requisitos sejam cumpridos e evitando dores de cabeça no futuro.
Conheça a seguir três pontos em que uma solução de GRC pode ajudar no processo de conformidade com a LGPD:
1. Centralização de processos
Em muitas empresas, os processos ainda são manuais, com informações sensíveis armazenadas em planilhas, diretórios de rede ou tramitando por e-mail, o que dificulta qualquer tentativa de controle sobre os dados e de atendimento aos requisitos de conformidade da LGPD.
Um dos primeiros passos para garantir a conformidade é implementar um repositório central com as informações e atividades sobre os processos. Neste sentido, as soluções de GRC podem facilitar, pois trazem visibilidade sobre as atividades que envolvem a conformidade legal e facilitam o monitoramento dos processos dedicados ao atendimento da LGPD. Lideranças e demais partes interessadas passam a ter maior clareza e transparência sobre as atividades. As informações podem ser acessadas com facilidade, algo muitas vezes impossível quando as informações estão espalhadas.
2. Evidenciação da conformidade
As soluções de GRC fornecem os recursos necessários para que a empresa possa comprovar a conformidade mais facilmente. Em situações em que é necessário demonstrar a conformidade, localizar informações importantes e gerar relatórios, por exemplo, tornam-se tarefas simples. Exemplos:
- Necessidade de comprovar conformidade para que a empresa possa se qualificar em determinados contratos de fornecimento;
- Necessidade de comprovar a conformidade perante os acionistas;
- Demonstrar preocupação com a privacidade, elevar a confiança e melhorar o relacionamento com os clientes, fortalecendo a imagem perante o mercado.
3. Celeridade nas respostas
A LGPD trata a violação de dados com muita rigorosidade, por isso exige um plano robusto de resposta aos incidentes. As empresas precisam definir seus protocolos de resposta, antes que ocorra algum tipo de violação. A documentação pode variar, partindo de diretrizes mais genéricas até diretrizes altamente específicas, a depender do segmento de atuação e do negócio da empresa. De qualquer forma, todos os planos devem contar no mínimo com:
- Identificação das pessoas-chave no processo;
- Definição das responsabilidades;
- Protocolos de comunicação;
- Cronogramas.
Muitas soluções de GRC oferecem recursos para gestão de treinamento, o que permite preparar as equipes para lidar corretamente com qualquer evento de violação de dados. Outro grande benefício de um software de GRC, é a capacidade de transformar os planos estáticos de resposta a incidentes, em planos de resposta inteligentes. É comum que os planos de resposta estáticos fiquem sob responsabilidade de uma única pessoa, e nem sempre são tratados com a devida importância. Muitos dos planos nunca são revisados ou testados, limitando ou até mesmo impedido que uma empresa possa detectar e responder aos incidentes de violação de dados de maneira adequada. Um plano de resposta a incidentes automatizado facilita a coordenação das ações. O processo de comunicação se torna mais robusto, promovendo o envolvimento das demais áreas da empresa, limitando os danos, reduzindo o tempo de recuperação e os custos envolvidos.
Além disso, os detalhes do incidente (Ex.: tipo do incidente, data e hora, áreas da empresa e pessoal envolvido) podem ser capturados automaticamente. As soluções de GRC também auxiliam na investigação das causas, na definição das ações e todo o histórico de comunicação fica mantido. Os fluxos de trabalho, formulários, planos de ação e indicadores, podem ser automatizados e personalizados de acordo com as necessidades de cada empresa.
Conclusão
O não cumprimento da LGPD pode deixar a empresa numa situação bastante delicada. Tanto do ponto de vista financeiro (no caso de multas), quanto do ponto de vista da reputação (pelo fato da empresa não mostrar preocupação com os dados pessoais). Enquanto algumas delas já se encontram em um nível de maturidade maior, outras ainda tem um grande desafio pela frente, que, no entanto, podem se tornar menos complexos com apoio de uma tecnologia de GRC.
Esperamos que esse artigo tenha ajudado você a compreender melhor a importância da tecnologia quando se trata de garantir a conformidade regulamentar. Para saber mais e conhecer outras vantagens e benefícios que uma solução de GRC pode proporcionar para sua empresa, entre em contato com os especialistas da SoftExpert. Eles buscarão entender seu cenário e propor uma forma de implementar uma solução de GRC, que melhor atenda suas necessidades.