Das 207 organizações entrevistadas recentemente pela Fundação Dom Cabral, 40% afirmaram não estarem plenamente adequadas à Lei Geral de Proteção de Dados, conforme divulgação do site Exame.com. No dia a dia dos nossos especialistas, temos visto, inclusive que muitas empresas simplesmente nem sabem por onde começar para se adequar à LGPD.
Ao portal Exame.com, Dalton Sardenberg, professor da FGV e um dos idealizadores e líderes do estudo, afirmou que: “De maneira geral, os conselhos (das organizações) conhecem, valorizam e consideram a LGPD como prioridade para as empresas. Mas falta ainda, na maioria dos casos, chamar para si a responsabilidade de cobrar a plena adequação nas empresas que administram”. E na sua organização, como está a situação? Existe um plano de prevenção e remediação das sanções?
Como as sanções podem prejudicar o negócio
Após as ocorrências serem devidamente apuradas e confirmadas, as sanções da LGPD podem gerar diferentes sanções às organizações. Entre elas: multa simples de até 2% do faturamento, limitada a R$ 50 milhões, por infração; publicização da infração; bloqueio ou eliminação dos dados a que se refere a infração; suspensão do banco de dados; suspensão ou proibição do exercício de tratamento das informações. Todas essas situações podem se traduzir em:
- prejuízos financeiros;
- falta de fluidez na operação;
- interferência nas ações de marketing e vendas;
- queda na reputação do negócio diante de clientes, fornecedores, parceiros de negócios e opinião pública;
- impactos negativos no score de segurança da companhia.
O passo a passo da penalidade da LGPD
Antes da aplicação de qualquer sanção por parte da Autoridade Nacional de Proteção de Dados (ANPD), haverá a comunicação da situação aos agentes de tratamento e a possibilidade de ampla defesa e apresentação de razões que visem justificar ou mesmo minimizar os eventuais danos causados, como explicou a advogada Adriana Garibe em entrevista ao Portal Migalhas. Na visão dela, penalidades da LGPD podem ser evitadas “com a implementação de uma governança de dados sólida, garantindo confidencialidade, integridade, disponibilidade e autenticidade do tratamento de dados sensíveis e pessoais”.
O que fazer após uma sanção ou antes que ela chegue
As chances de receber uma notificação da ANPD podem ser reduzidas de maneira significativa quando a organização adota cinco boas práticas:
1. Investir adequadamente em infraestrutura de segurança da informação
Um importante passo para estar em compliance com a LGPD é ter medidas básicas de segurança da informação, incluindo soluções, ferramentas, políticas, equipe e parceiros especializados.
2. Mapear as informações – incluindo os dados sensíveis – que estão em poder da empresa
É primordial que a organização saiba quais informações estão em seu poder, quais são os dados sensíveis, onde cada informação está armazenada, quais realmente precisam ser mantidos e com quais pessoas ou organizações esse banco é compartilhado. Se possível, faça esse mapeamento com a ajuda de um data-mapping.
3. Montar uma estrutura de governança da privacidade e proteção de dados
Com atenção para a adequada configuração, prefira centralizar todos os dados em uma ferramenta de Governança de Privacidade e Proteção de Dados. Essa é a forma mais eficiente de visualizar os processos relacionados ao tratamento das informações. O ideal é que essa solução seja capaz de mapear todo o fluxo dos dados que estão em poder da companhia, dentro e fora do perímetro da organização.
4. Gerir os riscos de terceiros
Toda organização precisa de outras empresas para operar. Para isso, constantemente, compartilhar com fornecedores ou parceiros informações pessoais, financeiras, operacionais, estratégicas e regulatórias, sejam próprias, de clientes ou de colaboradores. Para mitigar os riscos nesse fluxo dos dados, é útil aderir a uma solução de tecnologia que permita fazer uma checagem proativa da reputação do terceiro no ambiente digital e dos riscos cibernéticos que a organização em questão apresenta.
5. Conscientizar o time interno
A falha humana é uma das principais inimigas da privacidade e proteção de dados, com incidentes causados intencionalmente ou por falta de conhecimento das pessoas. Por isso, sempre recomendamos que as estratégias de SI incluam o treinamento e a conscientização do time, com ações de sondagem da aprendizagem e de reciclagem sempre que necessário.
Com a chegada da LGPD ao Brasil, é dever das organizações se manter atentas aos direitos dos titulares das informações, bem como blindar o seu ambiente digital com métodos, processos e tecnologias que garantam a privacidade e proteção dos dados. Essa boa prática deve incluir o aconselhamento com a área jurídica do negócio e a conscientização dos profissionais de todos os níveis hierárquicos sobre a importância desse novo momento.
Em prol da otimização desses processos, contratar um parceiro de Serviços Gerenciados é uma excelente estratégia. Nós temos muito a te contar sobre essa oferta. Vamos agendar uma reunião?
