Depois de quase ser adiada pela terceira vez, agora vai: a Lei Geral de Proteção dos Dados (LGPD), que entraria em vigor apenas no ano que vem, está só aguardando a assinatura do Presidente da República para poder começar a valer a qualquer momento.
“E agora?”, o varejo inteiro se pergunta. As empresas que ainda não se ajustaram aos novos padrões de segurança cibernética e transparência, em relação ao tratamento dos dados oferecidos pelos consumidores, poderão ser advertidas, mas multas mesmo só serão aplicadas a partir de 2021.
Para auxiliar as companhias pegas de surpresa, a SuperVarejo conversou com o diretor de cybersecurity e privacidade da Capgemini, Leonardo Carissimi, que trouxe um passo a passo prático aos nossos leitores.
Ele também respondeu à pergunta: é necessário recorrer à ajuda de uma consultoria para a adequação? “Cada organização pode avaliar quais dos procedimentos podem ser melhor executados por recursos internos ou externos. Obviamente, a contratação de uma consultoria ajuda a acelerar o processo e a reduzir o risco, mas não é obrigatória”, orienta.
A seguir, os passos indicados pelo especialista.
1. Mapeie a situação atual
Na opinião de Carissimi, o primeiro passo é se perguntar quais são os dados pessoais tratados pela empresa, para que eles são usados e quais as características desse tratamento. “Há compartilhamento com terceiros? Por quanto tempo os dados são necessários? Para responder adequadamente a essas e outras questões é preciso mapear os fluxos de dados pessoais em todos os processos de negócio”, diz.
Ele recomenda, ainda, identificar em que sistemas e bases as informações são armazenadas, pois, para o atendimento dos Direitos do Titular (um dos artigos da lei), o ponto é crítico.
2. Estruture e implemente
Quais ações devem ser tomadas? De imediato, os pontos de maior urgência são:
– Política de privacidade de dados: é necessário que o material esteja pronto e publicado. Carissimi destaca que a política deve envolver clientes, consumidores, parceiros, funcionários, terceiros e todos os tipos de titulares de dados que interagem com a organização. Na prática, em muitos casos, ela pode desdobrar-se em outros documentos normativos, pois é necessário dar transparência aos tratamentos de dados realizados, suas finalidades e bases legais.
– Definição e publicização do encarregado (DPO): importante definir quem executará o papel de zelar por esses dados (DPO – Data Privacy Officer) e publicar o canal de contato com esse responsável. Vale lembrar que pode ser um funcionário ou um terceiro, e que seu perfil e responsabilidades vão depender do porte da organização e do volume de dados pessoais tratados. “Em muitos casos, será necessário um departamento de DPO, em outros, um comitê será estabelecido. Também há a opção de contratar conforme a necessidade. Idealmente, ferramentas de mercado devem ser implementadas para automatizar o trabalho, reduzir custos, riscos e erros”, defende.
– Gestão de consentimento: segundo a LGPD, o titular de dados deve exercer o seu direito de consentimento de modo “informado, livre, inequívoco e expresso”. Além disso, a finalidade do tratamento de dados deve ser explicitada. Isso implica em propiciar canais (digitais ou não) de interação com os titulares, que permitam a gestão do consentimento (optar por dar e retirar o consentimento a qualquer hora), sempre observando outras bases legais que possam sobrepor legitimamente a vontade do titular de dados.
– Gestão de direitos de titulares: outro importante conjunto de direitos dos titulares já exigíveis com a LGPD são o direito de acesso e retificação, bem como o de conhecer o propósito do tratamento, o tempo de retenção, se há decisão automatizada, quais as medidas de segurança usadas para proteger os dados, entre outros.
– Contratos: devem definir claramente papeis e responsabilidades das partes na execução das atividades. O especialista reforça que “não se negligencie contratos de trabalho com os próprios funcionários”.
– Cibersegurança: os dados dos titulares precisam ser protegidos de vazamentos e acessos indevidos. A revisão das políticas, processos e controles de segurança – que já era de vital importância para a proteção dos dados de negócio – agora tem relevância expandida para a proteção das informações pessoais.
3- Garanta a continuidade do processo
“Estabeleça um programa de melhoria contínua. Uma ação importante é a Privacy by Design, ou segurança por toda a cadeia. Esse conceito vai ser a garantia de que o processo será correto desde o início. Normalmente, é preciso contar com o apoio de parceiros para viabilizar essa mudança.”
Para saber mais sobre a revisão de práticas que as novas regras da LGPD impõem ao varejo, leia a matéria de capa da SuperVarejo, edição 222, publicada em março. Clique aqui, faça o seu login e acesse a área “Downloads” para baixar gratuitamente.