Artigo

Como criar um programa de privacidade e proteção de dados eficiente?

As preocupações com a privacidade de dados continuam a crescer, impulsionadas significativamente pelas transformações digitais, resultando em regulamentações necessárias para ampliar o número de setores regulados.

Até recentemente, as leis de privacidade de dados eram, em grande parte, específicas de local e setor, com organizações dos EUA focadas em saúde/ciências sujeitas à HIPPA, organizações de serviços financeiros sujeitas à GLBA e assim por diante. Agora, as proteções de privacidade estão sendo estendidas além dos setores historicamente regulados, atingindo fronteiras estaduais e até nacionais para estabelecer novos direitos individuais e obrigações comerciais, independentemente do setor.

Com as regras existentes e novas regulamentações a serem seguidas, as organizações precisam de um programa de privacidade coordenado para responder com eficácia às normas atuais e antecipar as que estão por vir.

Regulamentações de proteção de dados em destaque

Internacionalmente, as práticas de conformidade estão mais avançadas e servem como referência para que diversos países – inclusive o Brasil – desenvolvam legislações próprias para o tratamento de dados tanto pelo poder público, quanto por iniciativas privadas.

O Regulamento Geral de Proteção de Dados da União Europeia (GDPR) está em vigor desde meados de 2018 e já apresenta amplo impacto, com organizações em todo o mundo sujeitas às regras e muitas adotando seus princípios em seus próprios regulamentos. "O GDPR foi a maior mudança para a privacidade de dados da UE em 20 anos e é tido como um padrão a ser seguido", disse Orus Dearman, diretor da prática de Serviços de Risco Cibernético da Grant Thornton US e membro do Comitê de Privacidade da Indústria de Tecnologia da Informação.

Nos Estados Unidos, a Lei de Privacidade do Consumidor da Califórnia (CCPA) é um projeto abrangente que entrará em vigor a partir de 1° de janeiro de 2020, conferindo aos residentes da Califórnia direitos específicos em relação às suas informações pessoais, sendo que as proteções devem ser observadas por qualquer organização que faça negócios dentro ou fora do estado, desde que atendam a determinados critérios.

Com a crescente preocupação com outros estados americanos que aprovam leis de privacidade semelhantes, resultando em uma complexa colcha de retalhos de regulamentações e direitos dos clientes, alguns especialistas apostam em uma lei de privacidade federal não muito distante de ser desenvolvida. “As organizações que tiveram que cumprir com o GDPR estão melhor posicionadas para a CCPA por causa dos requisitos semelhantes. Será um trabalho pesado para aqueles que ainda não têm uma função de privacidade”, aconselhou Dearman.

No caso do Brasil, a Lei Geral de Proteção de Dados (LGPD) já tem data certa para entrar em vigor: agosto de 2020. Desta forma, observar e aprender com as experiências de outros países será fundamental para que a transição brasileira seja menos complexa.

“Se observarmos os requisitos dispostos tanto na GDPR, quanto na CCPA e na LGPD, veremos que são bastante similares até para que as empresas que possuem dados pessoais no bojo das legislações não sofram na construção do programa e adequação da governança e de seus processos internos” explica Vitor Pedrozo, sócio líder de Compliance na Grant Thornton Brasil.

Portanto, estar atento as movimentações que ocorrem, tanto no âmbito das estruturas de Governança Corporativa quanto legislativas (jurisprudência) é fundamental para que a transição do processo de conformidade possa inferir o mínimo possível no andamento dos negócios das organizações.

Por que criar um programa de privacidade de dados holístico?

Um programa de privacidade de dados holístico é um plano para incorporar mudanças atuais e recebidas em processos de negócios acionáveis ​​e operacionalizados. Mas por que deve ser holístico? Por que não responder às novas leis de privacidade, conforme as oportunidades de negócios permitem, caso a caso?

O motivo é que, no ritmo em que as regulamentações estão se desenvolvendo, uma abordagem ad hoc resulta em uma resposta lenta, expondo a organização ao risco de não conformidade. Como sempre, os danos causados por violações de privacidade de dados podem ser graves financeiramente e para a reputação da empresa. Com a amplitude da CCPA, do GDPR e de novas regulamentações previstas, os impactos poderiam ser surpreendentes. As respostas ad hoc também são mais intensivas em recursos e caras do que um programa holístico de privacidade de dados; uma vez que um programa holístico esteja em vigor, não há necessidade de reinventar a roda a cada novo regulamento ou aditamento.

A mentalidade de conformidade em si também deve ser holística. De acordo com Dearman, a conformidade com a privacidade é agora muito mais do que um projeto legal ou de TI. “Stakeholders de toda a organização - incluindo desenvolvimento de negócios, RH e atendimento ao cliente - devem estar envolvidos. Um novo produto ou serviço já deve ser desenvolvido com a estrutura de privacidade proteção de dados em mente”.

 

Etapas de um programa eficiente

Um comitê de privacidade ou de força-tarefa representativo pode ser a chave para coordenar o conhecimento em toda a empresa. O órgão designado deve supervisionar as quatro etapas de ação para criar e manter o programa de privacidade.

 

Avaliar

Para ajudar a estabelecer políticas e infraestrutura de linha de base adequadas e evitar uma disputa à medida que as regulamentações individuais se tornam relevantes, comece avaliando os dados coletados da organização para entender o escopo e a aplicabilidade. Essa avaliação inicial também oferece benefícios para os negócios, uma vez que a organização obtém um melhor entendimento do tipo de informações estão sendo coletadas, como são utilizadas ​​e protegidas, quais dados estão acessíveis a terceiros, quais processos apresentam maiores riscos e como as informações de processos e atividades estão vinculadas ao sistema e ao fornecedor pertinente em formação.

O inventário de dados é a base para outras atividades do programa de privacidade que deve ser priorizada, começando com dados estruturados, acompanhando, analisando e sinalizando dados não estruturados para retenção ou exclusão.

 

Construir

Na construção de um programa de privacidade, o foco em três áreas principais pode impulsionar a ação e reduzir a exposição:

  • Gerenciamento de direitos individuais

O gerenciamento de direitos individuais de privacidade de dados é essencial tanto para a CCPA quanto para o GDPR, incluindo o direito de acessar os dados que uma organização mantém sobre os indivíduos e o direito de excluir determinados dados. As organizações devem estar preparadas para receber, realizar a triagem e responder consultas e reclamações. As regulamentações definem um período de tempo para responder a solicitações, em alguns casos com penalidades por não responder de maneira oportuna.

  • Consentimento e rastreamento de preferência

Os clientes querem saber se as suas preferências estão sendo honradas e se eles acham que isso não foi feito, provavelmente vão escalar os problemas. Estar posicionado para capturar consentimento e rastrear solicitações de preferências ajuda a reduzir a probabilidade de problemas a serem escalados e gera a confiança do cliente.

  • Redução de responsabilidade por violação

A redução da exposição pode ser feita por meio de medidas táticas, como criptografia e desidentificação de dados. Os dados devem ser mantidos apenas para sua finalidade, apesar da disponibilidade de armazenamento barato e de acordo com os requisitos aplicáveis ​​de retenção de dados, que podem variar para os mesmos dados por país, localidade e setor.

 

Automatizar

A automação pode ajudar a otimizar uma ampla variedade de tarefas de gerenciamento de privacidade de maneira eficiente, incluindo:

  • Direitos individuais;
  • Consentimento e preferências;
  • Responsabilidade por violação e incidentes;
  • Retenção e eliminação de dados;
  • Inventários de dados e mapeamento;
  • Acesso de terceiros.

 

Monitorar

Acompanhar a conformidade é uma atividade contínua necessária se as empresas planejarem manter programas de privacidade a longo prazo. Três principais atributos de um forte programa de monitoramento incluem:

  • indicadores de performance (KPI) – analisar regularmente os principais indicadores de desempenho regularmente para identificar lacunas no inventário de dados, solicitações abertas ou vencidas, tempo de resposta a solicitações e status de outras iniciativas de privacidade;
  • revisões anuais – revisando o programa anualmente para confirmar que todas as políticas e procedimentos estão atualizados, se os inventários de dados são precisos e se o treinamento dos funcionários é atual;
  • auditoria independente – assegurar uma auditoria anual interna ou externa independente é conduzida para inspecionar os controles e verificar o cumprimento dos regulamentos pertinentes.

A incorporação desses processos em um programa de privacidade holístico ajudará a garantir que o programa abordará os crescentes regulamentos de privacidade de dados e ajudará a criar a confiança do cliente em sua organização por meio da demonstração de cuidado com seus dados e sua privacidade.

 

Como podemos auxiliar?

Quer saber como a Grant Thornton pode auxiliar a sua empresa na adequação às legislações de privacidade e proteção de dados globalmente? Entre em contato com a nossa equipe de Forensic Advisory Services.

Veja também