Muitas empresas que já iniciaram ou concluíram algumas etapas dos seus projetos de adequação à LGPD, agora se perguntam: Como manter a conformidade?
Se você participou de algumas destas atividades iniciais como, por exemplo:
- Mapeamento de processos e dados;
- Análise de lacunas (gap analysis);
- Projetos de remediação e ajustes.
Já deve ter percebido que a conformidade com a LGPD é algo que vai exigir uma atenção constante na operação do negócio.
A “finalização” da fase de inicial adequação apenas tira uma “fotografia” do estado da empresa (operações, controles e outros) naquele exato momento, e, para garantir que a organização mantenha (e melhore) suas práticas em relação à Privacidade e Proteção de Dados, somente será possível com o monitoramento frequente e com ações intencionais.
Assim, preparamos este artigo com algumas ações que julgamos primordiais para sua operação no dia a dia.
Criação de uma cultura de privacidade e proteção de dados através da colaboração entre as áreas
Algo fundamental, que é a base de toda e qualquer ação de privacidade, é que todo o time de sua empresa entenda o que é a Lei Geral de Proteção de Dados, a razão pela qual ela foi criada, os direitos de titulares e que possam ser questionadores constantes – tanto de processos internos quanto de potenciais riscos e vulnerabilidades.
A primeira linha de defesa em Privacidade e Proteção de Dados não é tecnológica. É humana. Desde credenciais comprometidas ao ransomware. Do phishing às más configurações de ambientes.
Então, o primeiro passo na manutenção da conformidade reside no treinamento constante. Incluindo a comunicação e conscientização das atualizações de políticas internas.
Com as capacitações geraremos o pensamento crítico para que toda a atualização de processos e sistemas internos tenha uma análise, um questionamento, sob a ótica de privacidade.
E claro, ter à disposição dos colaboradores, um canal aberto para reporte interno de problemas e preocupações, bem como a facilidade de se conectar com o DPO e/ou time de Privacidade.
Adotar ferramentas e softwares que permitam o monitoramento constante dos tratamentos de dados, considerando as especificidades da LGPD
Ter uma ferramenta que permita o reporte de novos tratamentos pelos respectivos donos de processos e a atualização de tratamentos existentes – embora não seja uma obrigação legal – ajudará sua organização a responder melhor às novas necessidades do mercado e de sua empresa.
Com ferramentas de mapeamento de processos e dados seu time de privacidade conseguirá reagir às demandas com mais rapidez, identificar oportunidades e riscos, e mitigá-los.
Com tais soluções e modelo de trabalho, seu time de privacidade compartilha a responsabilidade pela identificação das necessidades de revisões de tratamentos com os respectivos donos de processos, fomentando a colaboração interna entre as mais diferentes áreas.
Observar as decisões acerca da LGPD e adotar conceitos de melhoria contínua
Atividades de privacidade e proteção de dados também são processos elegíveis à melhoria constante! Podemos apontar, ao menos:Revisões constantes das decisões sobre privacidade e proteção de dados, da ANPD e de tribunais. Cascatear os novos entendimentos e abordagens à organização;
-
- Revisões frequentes das políticas de TI e de desenvolvimento de Software e Serviços, garantindo que as melhores práticas de mercado estejam sendo consideradas;
- Avaliar e Implementar sistemas de segurança mais modernos disponíveis no mercado;
- Avaliar e Implementar novas funcionalidades nos sistemas existentes, permitindo maior granularidade de escolha aos titulares;
- Realizar a atualização de softwares e produtos conforme recomendações de fabricantes, aplicar patches, fixpacks, tratar CVEs e outros;
- Desenvolver e revisar seu plano de continuidade de negócios e seu plano de resposta a incidentes. Estes ajudarão sua organização a ter uma resposta mais rápida, eficiente e “treinada” no caso de eventos que possam impactar sua operação;
- E, claro, reavaliar os tratamentos com frequência, porque a cada novo conhecimento adquirido e lição aprendida, conseguimos melhorar nosso próprio entendimento do tema e tomar melhores decisões!
Auditar processos continuamente e garantir que evidências sejam geradas
As documentações podem estar bem-feitas e a ferramenta de mapeamento refletir em 100% o ambiente da organização. Mas sem validar, observar e evidenciar não é possível garantir que os documentos reflitam a realidade.
Também, sem evidências, em caso de uma auditoria ou fiscalização, ficará mais difícil a comprovação da execução frente àquilo documentado. Assim, são recomendadas auditorias frequentes – ao menos – àqueles tratamentos com maior risco organizacional e o reforço constante à produção de evidências dos demais.
Neste cenário, obter uma ajuda externa pode ser interessante, uma vez que trará um ponto de vista adicional sobre o mesmo cenário. Lembre-se que privacidade e proteção de dados não é custo. É investimento.
Contar com um DPO atuante
E não menos importante, contar com um DPO atuante e com autonomia, para liderar as atividades de Privacidade da organização, oferecendo suporte e direcionamento à todos os membros da organização.
- Fonte: TIInside.com.br
- Imagem: Freepik
- 13 de junho de 2022
