“A LGPD consolida o respeito ao direito das pessoas sobre seus dados. Surge como um divisor de águas, exigindo uma nova postura proativa das empresas diante de um volume cada vez maior de informações que hoje são obtidas e expostas diariamente sem efetivo controle
Guilherme Roxo
Principais passos para se adequar à LGPD
• Mapear os processos para identificação de todos os dados pessoais coletados pela empresa.
• Análise de risco das informações para verificar dados sensíveis e compartilhados externamente com terceiros.
• Promover adequações priorizando corrigir possíveis falhas e riscos.
• Reavaliação para pedir somente dados estritamente necessários.
• Definir finalidade e justificativa (base legal ou consentimento).
• Usar os dados apenas com o objetivo pré-determinado.
• Estabelecer padrões rígidos para armazenamento e descarte, facilitando identificação de informações.
• Manter dados somente durante o prazo necessário, seja previsto legalmente ou combinado por consentimento. • Criar um programa que possa facilmente ser demonstrado para a ANPD se houver questionamento.
• Nomeação de um DPO (Data Protection Officer).
• Prática contínua de treinamento e engajamento.
• Em caso de ocorrência de vazamentos, envidar esforços para mitigar os riscos resultantes do incidente.
   nessa Santiago. “Outro viés a ser adotado é ter uma política de mapear minimamente o que existe na es- trutura, seja bom ou ruim, porque essa comprova- ção pode ser solicitada. Promover o mínimo viável”.
PROGRAMA DE PRIVACIDADE
O estabelecimento de um Programa de Priva- cidade ajuda a garantir que a organização esteja em conformidade com a LGPD, orientada por seus princípios e valores. “É interessante que, previa- mente, a empresa valide seus próprios princípios e propósitos, bem como compreenda o papel dos dados pessoais no seu modelo de negócio, garan- tindo sua adequada utilização. A vantagem dessa abordagem é a possibilidade de construir deter- minações internas que estejam em sintonia com a empresa e possam ser, de fato, observadas por seus colaboradores e refletidas em suas ativida- des”, pondera Guilherme Roxo.
O primeiro passo é realizar o data mapping, ma- pear todas as relações com terceiros, saber quais as principais atividades que usam informações pes- soais, que tipos de dados são utilizados, como são armazenados e descartados, identificando todo seu
ciclo de vida. “A empresa precisa se conhecer bem, entender detalhadamente como trabalha e nessa fase costuma descobrir ações que não imaginava envolver levantamento de informações pessoais. Essa visão detalhada melhora o desempenho”, afir- ma Ivan Hasse.
É fundamental ainda identificar por onde o dado é obtido, quem o manipula e se é compartilhado ex- ternamente, com terceiros, no Brasil ou no exterior. Como as organizações possuem suas próprias carac- terísticas, cada avaliação é individual considerando as peculiaridades.
Com o mapeamento feito, prepara-se uma ava- liação de risco para identificar onde estão as maio- res falhas, que setores realizam mais tratamento de dado pessoal e qual a criticidade de cada atuação. Esse resultado ajudará a identificar as zonas críticas e montar o mapa de calor, com as áreas que exigem ação imediata. Ivan Hasse cita como crítica a situa- ção em que um dado pessoal captado pela organi- zação é passado a um terceiro, que pode não ter o mesmo cuidado com sua preservação.
Essas informações formarão a base para o pla- no de ação que vai determinar as adequações para
11