Um levantamento realizado pela Abes (Associação Brasileira das Empresas de Software), em parceria com a EY, apontou que apenas 42% das empresas do estado de São Paulo fizeram os ajustes necessários para se adequar à LGPD, a Lei Geral de Proteção de Dados.
O não atendimento às exigências da legislação pode causar sérios problemas. A partir do momento que a LGPD entrar em vigor, o que deve ocorrer muito em breve, todas as empresas estarão sujeitas a sanções.
A LGPD foi criada para a proteção de dados pessoais, tanto de pessoas físicas quanto jurídicas. O objetivo é assegurar que informações de clientes, fornecedores, parceiros e outros sejam tratadas com responsabilidade pelas empresas que as coletarem.
Assim, evita-se que os dados caiam nas mãos de terceiros e sejam usados para finalidades distintas daquela para a qual foram solicitados.
Riscos da não conformidade com a LGPD
Os 58% de empresas paulistas que ainda não estão em conformidade com a LGPD arriscam-se a receber as sanções previstas na lei.
Essas sanções vão desde advertência até proibição total do exercício de atividades relacionadas a tratamento de dados, passando ainda por multas e até por publicização da infração.
Empresas que não estiverem em compliance com a LGPD podem sofrer perdas financeiras diretas e indiretas, enfrentar obstáculos em suas operações e danos à sua imagem.
Algumas dicas podem ajudar a fazer essa adequação mais rapidamente.
Data Protection Officer (DPO)
O primeiro passo é escolher um Data Protection Officer (DPO), profissional especialista em proteção de dados, de forma geral, inclusive em LGPD.
O DPO pode trabalhar junto com a equipe de compliance para otimizar a implementação dos ajustes necessários nas políticas e práticas de coleta e tratamento de dados da empresa.
Relatórios de Impacto e Mapeamento
A segunda dica é fazer relatórios de impacto e mapeamento, que são ferramentas muito úteis para identificar riscos. Graças a eles, é possível direcionar esforços e ser mais assertivo no processo de adequação.
Existem dois relatórios mais importantes. Um deles é o Ropa – Record of Processing Activities, ou Registro de Operações. O outro é o RPID – Relatório de Impacto à Proteção de Dados Pessoais.
O Ropa é um registro de todos os detalhes mais importantes do tratamento de dados na empresa: quem faz, quais ferramentas são usadas, qual é a frequência, quais são as finalidades.
O RPID é ainda mais detalhado e também mais focado nos riscos e nas medidas adotadas para minimizá-los. Esse relatório também deve apresentar a justificativa para a coleta e o tratamento de dados sensíveis.
Anonimização de Dados
A terceira dica é, sempre que possível, fazer a anonimização de dados.
A LGPD, como o próprio nome indica, é uma lei para a coleta e tratamento dos dados pessoais. Dados anônimos não são pessoais e, portanto, não são protegidos por ela.
Existem ferramentas de anonimização que permitem ocultar os dados pessoais, isto é, aqueles que identificam a pessoa, como nome e endereço. A solução é integrar uma solução dessas com os pontos de entrada de dados.
Seguindo essas dicas, as empresas que ainda faltam cumprir com o que determina a LGPD podem resolver suas pendências a tempo de evitarem desconformidades.