Artigo

Como criar um programa de privacidade e proteção de dados eficiente?

As preocupações com a privacidade de dados continuam a crescer, impulsionadas significativamente pelas constantes transformações digitais e as novas legislações necessárias para ampliar o número de setores regulados.

Essas mudanças chegam para estabelecer novos direitos individuais e obrigações comerciais, fazendo com que as organizações desenvolvam um programa de privacidade coordenado para responder efetivamente às atuais regulamentações de privacidade e se anteciparem para as que podem ser desenvolvidas.

Regulamentações de proteção de dados em destaque

Internacionalmente, as práticas de conformidade são mais avançadas e servem como referência para que diversos países – inclusive o Brasil – desenvolvam legislações próprias para o tratamento de dados tanto pelo poder público, quanto por iniciativas privadas.

O Regulamento Geral de Proteção de Dados da União Europeia (GDPR) está em vigor desde maio de 2018 e já impacta organizações em todo o mundo. "O GDPR foi a maior mudança para a privacidade de dados da UE em 20 anos e é tido como um padrão a ser seguido", disse Orus Dearman, diretor da área de riscos cibernéticos da Grant Thornton Estados Unidos e membro do Comitê de Privacidade da Indústria de Tecnologia da Informação.

Localmente, nos Estados Unidos, a Lei de Privacidade do Consumidor da Califórnia (CCPA) é um projeto abrangente que entrará em vigor a partir de 1° de janeiro de 2020, conferindo aos residentes da Califórnia direitos específicos em relação às suas informações pessoais, sendo que as proteções devem ser observadas por qualquer organização que faça negócios dentro ou fora do estado, desde que atendam a determinados critérios.

Com a crescente preocupação com outros estados americanos que aprovam leis de privacidade semelhantes, resultando em uma complexa colcha de retalhos de regulamentações e direitos de clientes, alguns especialistas apostam em uma lei de privacidade federal não muito distante de ser desenvolvida.

No Brasil, a Lei Geral de Proteção de Dados (LGPD), sancionada em agosto de 2018, elenca dez bases legais para o tratamento de dados que as organizações devem seguir, com destaque aos princípios de finalidade, adequação, necessidade e transparência das informações coletadas. A lei n° 13.709/18 entrará em vigor em fevereiro de 2020, possibilitando às empresas e organizações um período de 18 meses para se adaptarem sob advertência e multa de até 2% do faturamento, limitado a R$ 50 milhões por infração. 


Por que criar um programa holístico?

Um programa holístico de privacidade de dados é um plano para incorporar mudanças atuais e recebidas em processos de negócios acionáveis ​​e operacionalizados. Mas por que deve ser holístico? Por que não responder às novas leis de privacidade, conforme as oportunidades de negócios permitem, caso a caso?

O motivo é que, no ritmo em que as regulamentações estão se desenvolvendo, uma abordagem muito específica ou restrita resulta em uma resposta lenta, expondo a organização ao risco de não conformidade. Como sempre, os danos causados ​​por violações de privacidade de dados podem ser graves, afetando o financeiro e a reputação da empresa. Com a amplitude do GDPR, CCPA, LGPD e novas regulamentações previstas, os impactos poderiam ser surpreendentes.

A mentalidade de conformidade em si também deve ser holística. De acordo com Dearman, a conformidade com a privacidade é agora muito mais do que um projeto legal ou de TI. “Stakeholders de toda a organização - incluindo desenvolvimento de negócios, RH e atendimento ao cliente - devem estar envolvidos. Um novo produto ou serviço já deve ser desenvolvido com a estrutura de privacidade proteção de dados em mente”.

 

Etapas de um programa eficiente

Um comitê de privacidade ou de força-tarefa representativo pode ser a chave para coordenar o conhecimento em toda a empresa. O órgão designado deve supervisionar as quatro etapas de ação para criar e manter o programa de privacidade.

 

Avaliar

Para ajudar a estabelecer bases políticas e de infraestrutura adequadas para evitar uma disputa à medida que as regulamentações individuais se tornam relevantes, comece avaliando os dados coletados da organização para entender o escopo e a aplicabilidade. Essa avaliação inicial também oferece benefícios para os negócios, uma vez que a organização obtém um melhor entendimento do tipo de informações estão sendo coletadas, como são utilizadas ​​e protegidas, quais dados estão acessíveis a terceiros, quais processos apresentam maiores riscos e como as informações de processos e atividades estão vinculadas ao sistema e ao fornecedor pertinente em formação.

O inventário de dados é a base para outras atividades do programa de privacidade que deve ser priorizada, começando com dados estruturados, acompanhando, analisando e sinalizando dados não estruturados para retenção ou exclusão.

 

Construir

Ao criar um programa de privacidade, o foco em três áreas principais pode impulsionar a ação e reduzir a exposição:

  • Gestão de direitos individuais

O gerenciamento de direitos de privacidade de dados individuais é essencial em novos regulamentos, incluindo o direito de acessar os dados que uma organização mantém sobre os indivíduos e o direito de excluir determinados dados. As organizações devem estar preparadas para receber, realizar a triagem e responder consultas e reclamações. As regulamentações definem um período de tempo para responder a solicitações, em alguns casos com penalidades por não responder de maneira oportuna.

  • Consentimento e rastreamento de preferência

Os clientes querem saber se as suas preferências estão sendo honradas. Estar posicionado para capturar consentimento e rastrear solicitações de preferências ajuda a reduzir a probabilidade de problemas a serem escalados e gera a confiança do cliente.

  • Redução de responsabilidade de violação

A redução da exposição pode ser feita por meio de medidas táticas, como criptografia e desidentificação de dados. Os dados devem ser mantidos apenas para sua finalidade, apesar da disponibilidade de armazenamento barato e de acordo com os requisitos aplicáveis ​​de retenção de dados, que podem variar para os mesmos dados por país, localidade e setor.

 

Automatizar

A automação pode ajudar a otimizar uma ampla variedade de tarefas de gerenciamento de privacidade de maneira eficiente, incluindo:

  • Direitos individuais;
  • Consentimento e preferências;
  • Responsabilidade por violação e incidentes;
  • Retenção e eliminação de dados;
  • Inventários de dados e mapeamento;
  • Acesso de terceiros.

 

Monitoramento

Monitorar a conformidade é uma atividade contínua necessária se as empresas planejarem manter programas de privacidade a longo prazo. Três principais atributos de um forte programa de monitoramento incluem:

  • indicadores de performance (KPI) – analisar os principais indicadores de desempenho regularmente para identificar lacunas no inventário de dados, solicitações abertas ou vencidas, tempo de resposta a solicitações e status de outras iniciativas de privacidade;
  • revisões anuais – revisando o programa anualmente para confirmar que todas as políticas e procedimentos estão atualizados, se os inventários de dados são precisos e se o treinamento dos funcionários é atual;
  • auditoria independente – assegurar uma auditoria anual interna ou externa independente é conduzida para inspecionar os controles e verificar o cumprimento dos regulamentos pertinentes.

A incorporação dessas quatro etapas em um programa de privacidade holístico ajudará a garantir que o programa abordará os crescentes regulamentos de privacidade de dados e ajudará a criar a confiança do cliente em sua organização por meio da demonstração de cuidado com sua privacidade.

 

Como podemos auxiliar?

Quer saber como a Grant Thornton pode auxiliar a sua empresa na adequação às legislações de privacidade e proteção de dados globalmente? Entre em contato com a nossa equipe de Forensic Advisory Services.

Veja também