Cinco dicas essenciais para uma empresa se adequar à LGPD
A proteção de informações é garantida pela lei e, caso uma instituição não esteja de acordo com as normas, pode sofrer sanções.
A Lei Geral de Proteção de Dados (LGPD), vigente desde agosto deste ano, tem pego muitas empresas desprevenidas. Isso porque algumas instituições ainda não estão seguindo as novas normas da Agência Nacional de Proteção de Dados, que estabeleceu uma série de medidas legais para o exercício de atividades relacionadas ao tratamento de dados.
Para evitar sanções do órgão, é preciso investir em uma estrutura necessária para se adequar à LGPD, que pode ser mais complexa do que se imagina, segundo Felix Schultz, CEO da Milvus, empresa do setor de TI.
Para o executivo, ninguém está 100% protegido de invasões, mas é indispensável saber como evitar essas ocorrências. "É importante saber apontar as medidas para minimizar os danos e, acima de tudo, demonstrar que a empresa possui capacidade e profissionais treinados", afirma.
Confira as dicas abaixo:
Conscientize a equipe: é importante que todas as pessoas de uma empresa conheçam esta lei. Palestras e reuniões periódicas precisam acontecer para que a equipe esteja em constante treinamento e atualizações. Schultz sugere algo que foi adotado na Milvus. "Aqui implantamos o Momento LGPD. Acontece uma rápida reunião, que dura cerca de meia hora a cada semana ou a cada 15 dias, para falarmos sobre o assunto. Mas é necessário envolver todos os profissionais, até mesmo a pessoa mais afastada das questões centrais da companhia", diz. Segundo ele, essa medida é essencial porque, mesmo sem intenção, uma pessoa pode ter uma atitude que fere a LGPD e isso pode ser prejudicial à empresa.
Defina os profissionais da área: a pessoa que ficará responsável diretamente pela proteção de dados é o DPO (sigla em inglês para Data Protection Officer). Este profissional cuida da informação de uma companhia e zela por sua privacidade. É a pessoa que recebe todas as demandas jurídicas relacionadas ao tema e solicitações de usuários de uma empresa sobre o armazenamento de dados. Em caso de vazamento de informações, é o DPO quem está encarregado de prestar esclarecimentos.
Schultz afirma que, além do DPO, todos os gestores de área de uma companhia precisam participar das decisões sobre o assunto. "Não consigo ver a implementação da LGPD sem que todos os gerentes da empresa estejam envolvidos. Acredito que seja de grande importância setores como financeiro e recursos humanos participarem desses processos. Esses departamentos tratam de dados sensíveis", exemplifica.
Conhecer os dados: nesse processo de aproximação entre o DPO e os gerentes de uma instituição, é preciso conhecer e mapear todas as informações. Segundo o CEO da Milvus, todos os dados armazenados por uma companhia precisam ser tratados como importantes. Se faz necessário avaliar o quão sensível é uma informação e, a partir disso, quais medidas precisam ser tomadas para sua proteção. "Todos estão sujeitos a uma invasão e roubo de dados. Por isso, dentro do ambiente corporativo é preciso ter uma política séria implementada para evitar esses casos. A avaliação sobre a sensibilidade das informações passa por isso", diz Schultz.
Cuidar das informações: o especialista aponta duas medidas para efetivar a proteção de dados, que são a criptografia e as senhas, ambas relacionadas. No primeiro caso, significa que os dados que são legíveis são transformados em um formato codificado. Dessa forma, as informações podem ser lidas após serem descriptografadas, e isso é feito ao inserir uma senha. No segundo caso, a chave utilizada não pode ser vulnerável (por exemplo 123456) e precisa ser modificada periodicamente. Para ter a possibilidade de diversas senhas geradas, Schultz indica um cofre ou gerador dessas chaves.
O CEO, contudo, faz um alerta: "ainda que existam algumas opções fáceis de geração de senha na internet, é melhor ter uma empresa idônea e bem estruturada para gerenciar essa questão com dispositivos próprios”.
Consentimento de cookies e solicitações: o cookie consent (consentimento de cookies, em tradução livre) é um dispositivo em que o usuário final de um site libera ou não o rastreamento de informações e pode escolher a quais dados a empresa terá acesso sobre ele. A plataforma está disponível na página inicial e, por ela, a pessoa que acessa o ambiente precisa concordar com a política de privacidade do estabelecimento. Schultz acrescenta que, além disso, é importante ter um dispositivo junto ao consentimento que seja um canal de solicitação de mudanças ou remoção de dados. Para isso, um chamado é criado pela pessoa interessada nessa solicitação e a equipe da área faz o acompanhamento.