A construção e estruturação de uma governança de dados e, ainda, as ações de seus colaboradores por meio de atualização do código de conduta é uma das maneiras de se demonstrar a transparência da Companhia e a boa fé dos colaboradores na hora se realizar o tratamento dos dados. Isso será uma demanda essencial não somente no caráter legislativo, mas também como uma exigência de mercado.
close
Referências de boa-fé de acordo com a legislação
-
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios → VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
-
Art. 50, parágrafo 2º, I - a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
-
Art. 50, parágrafo 2º, II - demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.
Para Rebeca Arima, gerente de Compliance e Proteção de Dados da Grant Thornton Brasil, esse processo começa com uma reestruturação interna.
“A governança de dados consiste em fazer com que as empresas se organizem em novos aspectos de conformidade, como políticas e procedimentos, além de realizar mudanças em seus processos práticos para que todas as pessoas estejam alinhadas e conheçam seus processos internos. Essa governança reflete no que deve ser executado em cada área do negócio”.
Melhores práticas de governança de dados em conformidade com a LGPD
A harmonia é essencial em todos os setores de uma Companhia para que o programa de privacidade esteja compatível com boas práticas de mercado, por meio de frameworks como a ISO, além da LGPD – cujas sanções começarão no dia 1º de agosto de 2021. Vale ressaltar que ISO traz recomendações, ou seja, são atividades que ilustram boas práticas para uma padronização de atividades como realizar o mapeamento de dados, recomendações para estabelecer contratos, sempre alinhadas com outras normas ao redor do mundo. Para isso, é importante entender o que existe dentro da Companhia, quais e como os dados pessoais são utilizados e o seu tratamento dentro da empresa.
Uma melhor prática a ser considerada nas organizações é tornando a privacidade como um valor na companhia. Isto é, a privacidade como um valor fica relacionada ao código de conduta da empresa porque se torna uma forma de organizar e regulamentar as práticas dos colaboradores, e assim eles serão capazes de compreender a importância do tema de proteção de dados pessoais no dia a dia de trabalho.
Envolvimento do departamento de Tecnologia da Informação
A atuação da área de tecnologia é fundamental para as atividades focadas em LGPD. É comum que empresas adotem ERPs (Enterprise Resource Planning – ou sistemas de planejamento de recursos empresariais) para melhorar sua gestão interna. Toda a implementação sistêmica precisa do suporte de tecnologia. Por isso é importante que a empresa compreenda quais sistemas são utilizados em cada área, e como estes sistemas foram parametrizados em níveis de acesso, identidades, etc. Com isso o mapeamento do caminho das informações em meios eletrônicos torna-se mais fácil de ser gerido, seguindo as regras da Companhia sobre quais diretrizes devem ser adequadas à LGPD.
O envolvimento da área de tecnologia da informação e de segurança da informação se tornam essenciais com a LGPD, principalmente nas etapas de contratação de softwares ou de parceiros estratégicos quando houver o tratamento de dado. “Já acompanhamos algumas empresas onde todo o processo de contratação de softwares ou parceiros tecnológicos terceirizados não envolvia a área de TI. Isso pode ser complicado porque este tipo de contratação pode apresentar falhas em relação às medidas de segurança que a lei sugere. A área de TI ou de SI, por serem detentoras de conhecimento técnico, podem apoiar a área de negócio a identificar se os sistemas terceirizados atendem as medidas de segurança exigidas pela LGPD”, pontua a especialista.
Principais riscos e recomendações
A LGPD traz obrigações para as organizações, com isso fica mais prático a adoção de regras internas de acordo com a legislação por meio de diretrizes e procedimentos internos. Caso, ainda assim, os colaboradores da Companhia não atendam tais regras internas de governança, é possível a aplicação de medidas disciplinares para situações de descumprimento. Como, por exemplo, se um profissional da empresa compartilhar uma planilha com dados pessoais para um terceiro externo não autorizado para operar com esses dados.
“A privacidade é um novo paradigma que as empresas terão de enfrentar, e a questão estará presente no dia a dia das pessoas, modificando visões e ações internas, mas também o relacionamento com todos os stakeholders”. detalha Rebeca.
Com isso, é necessário que a empresa conheça seus processos internos e estruture políticas e procedimentos adequados em linha com a LGPD. Desse modo, é possível a identificação de vulnerabilidades no trajeto da informação. “As empresas precisam criar políticas de privacidade compatíveis com a LGPD, o que inclui também um plano de gestão de incidentes para gerenciar crises de vazamento de dados, uma vez que as pessoas tendem a não saber o que priorizar no momento do incidente e esse conjunto de práticas auxiliará na organização e no direcionamento das ações”, conclui.
Como a Grant Thornton pode auxiliar sua empresa nesse momento?
Conte com as nossas equipes especializadas em privacidade e proteção de dados para adequar seus processos de maneira customizada e elaborar uma governança de dados em conformidade com a legislação e as necessidades do seu negócio. Entre em contato conosco.
