Como implementar a LGPD na sua organização?
Conheça o case do Laboratório Bridge e confira 8 dicas para implementar a LGPD na prática
Conteúdo produzido por Jades Fernando, CEO do Laboratório Bridge, e Miliane Fantonelli, assessora jurídica.
Proteção dos dados não é mais novidade. No Brasil, desde a Constituição Federal de 1988 já contávamos com direitos resguardados,como a inviolabilidade de correspondência e comunicação telefônica. E a Lei de Acesso à Informação, promulgada em 2011, trouxe importantes definições de conceitos, como tratamento dos dados e informação pessoal. Mas ainda não contávamos com uma regra compilada sobre o assunto.
No cenário internacional, a União Europeia e o Espaço Comum Europeu têm regulamentos sobre o assunto desde 1995. Em 2016, foi promulgado o Regulamento Geral sobre a Proteção de Dados (GDPR) e, em 2018, ele passou a vigorar.
Mas, foi em 2018 que tivemos a Lei Geral de Proteção dos Dados (LGPD) promulgada aqui no Brasil. Ela tem influência da GDPR, a lei europeia, mas com diferenças bastante importantes: a legislação brasileira dedica um capítulo específico para o tratamento de dados pessoais pelo Poder Público, por exemplo.
Por que falar de proteção de dados agora?
Embora tenha sido sancionada em 2018, a LGPD demorou a entrar em vigor, especialmente por conta da pandemia. A vigência e a aplicação das sanções foram desmembradas: a LGPD passou a viger a partir de setembro de 2020, enquanto as sanções poderão ser aplicadas a partir de agosto de 2021.
A proteção dos dados é importante não apenas por contar com uma lei que norteia o assunto ou porque, caso haja o descumprimento, haverá punição. Muito mais do que isso, os nossos dados hoje são muito valiosos. Eles nos identificam, expõem, demonstram nossos comportamentos e uma infinidade de coisas, que, se mal utilizadas, podem se tornar um risco.
E embora a internet tenha amplificado as possibilidades de malefícios do mau uso de dados, também colaborou muito com esse tratamento, fazendo com que esses dados fossem manuseados de uma maneira que pudesse melhorar serviços e mapear hábitos, por exemplo. Assim, as empresas e o Poder Público estão tendo que reunir esforços para garantir que os dados pessoais das pessoas sejam, de fato, cuidados.
Deixar de se adequar à LGPD, além de gerar punições que variam desde advertências até multas bem expressivas, é sinônimo de ter seu nome na praça como uma instituição insegura para depositar os dados, o que inviabiliza muitos negócios.
Por isso, nós, do Laboratório Bridge, estamos estudando muito sobre o assunto e, desde o ano passado, temos feito a implementação da lei nos nossos projetos e processos.
E queremos mostrar nosso case para que você possa usar de base para construir um plano sólido em relação à LGPD dentro da sua organização! Vamos conferir algumas dicas?
1. Defina uma equipe responsável pela LGPD
Independente do tamanho da sua entidade, mas principalmente se ela for grande, é importante definir uma equipe interna, que contemple todos os projetos em execução. Eles irão ajudar no fornecimento de informações sobre os dados tratados, por exemplo.
2. Defina o DPO ou pessoa responsável pelo projeto
O Data Protection Officer (DPO) ou encarregado, conforme a lei brasileira, é a pessoa indicada pelo controlador e operador dos dados para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Ele vai orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.
3. Defina um cronograma
Fazer um plano de adequação faseado, com previsão de início e término de cada etapa, facilita no desenvolvimento das atividades. O empenho das pessoas envolvidas também depende da visualização de que as ações propostas estão sendo cumpridas. Assim, o cronograma facilita nesse sentido.
4. Faça um levantamento do fluxo de dados da sua organização
Para que seja possível fazer um diagnóstico correto de quais ações precisam ser realizadas é imprescindível que se tenha um raio-x completo e bem claro de como estão sendo tratados os dados na sua entidade. E isso só é possível fazendo o levantamento do fluxo de dados, para que depois sejam organizados e inventariados.
5. Veja os pontos de maior vulnerabilidade
A partir da imagem do fluxo de dados será possível identificar os pontos de maior vulnerabilidade e risco. Mas como identificar? Lembre sempre, por exemplo, dos direitos do titular e princípios pautados na lei. A LGPD é o norte para verificar como deveria ser o tratamento dos dados pela sua entidade!
6. Crie um plano de ação
Agora que já sabemos os riscos, precisamos resolvê-los! Precisamos verificar na lei qual a melhor forma de solucionar ou, pelo menos, minimizar os riscos existentes. É necessário neste ponto levar em consideração também as questões que dizem respeito à segurança da informação.
7. Faça planos periódicos de avaliação e melhoria
A proteção dos dados não é um processo que se encerra. É necessário estar sempre atento ao fluxo dos dados, se houve alteração e as novas vulnerabilidades decorrentes. Além disso, é imprescindível verificar as diretrizes da Autoridade Nacional de Proteção de Dados (ANPD), para realizar as alterações necessárias. Por isso, fazer planos periódicos de avaliação e melhoria, com pontos para serem melhorados, estabelecer indicadores e métricas que demonstrem como vem se dando a proteção dos dados na sua entidade pode agregar valor ao seu produto!
8. Conscientize as pessoas da sua organização
Um plano de adequação à LGPD só será possível se todos da sua entidade compreenderem a necessidade e importância no cuidado com o tratamento dos dados. Veja, todos! Desde a direção até os colaboradores e estagiários, tendo em vista que o fluxo de dados costuma ter uma cadeia complexa. Assim, invista em programas de conscientização periódicos, demonstrando o que está sendo realizado na sua entidade, o que vem sendo alterado nas leis… Todos precisam estar engajados nessa missão!
Nossa história
A proteção de dados é uma questão importante para nós do Laboratório Bridge, pois além de ser uma matéria regrada por lei, queremos ser uma entidade que as pessoas podem confiar seus dados, tendo em vista que temos um plano seguro e confiável de tratamento.
Com a implementação da LGPD, todos saem ganhando: o titular dos dados possui sua privacidade preservada e a sua entidade agrega valor ao produto e/ou serviço que entrega.
Começamos a implementar a LGPD no ano passado em alguns dos nossos projetos, na parte administrativa e na gestão do Laboratório. Por isso, as dicas que você leu (e anotou, esperamos!) são fruto das nossas experiências. Hoje já estamos indo para o II Ciclo de Avaliação e Melhoria! Além disso, fizemos diversas ações de conscientização e atualmente estamos produzindo uma revisão sistemática sobre proteção dos dados no governo. Queremos que nossos projetos sejam referência nisso também!
Assim, vamos continuar nos esforçando para aprender ainda mais sobre o assunto, cumprindo todos os requisitos da LGPD e, sobretudo, pensando em soluções tecnológicas inovadoras para qualificar a gestão pública, visando o benefício social. Entendemos que zelar pelo tratamento dos dados integra o benefício social e, portanto, a nossa missão!
O Laboratório Bridge atua no Centro Tecnológico da Universidade Federal de Santa Catarina (CTC/UFSC), com equipes formadas por bolsistas graduandos, pós-graduandos e profissionais contratados. É orientado por professores do CTC e do Centro de Ciências da Saúde (CCS/UFSC).
Desde 2013, desenvolvemos sistemas e aplicativos para gerenciamento da saúde pública em parceria com o Ministério da Saúde e a Agência Nacional de Vigilância Sanitária (ANVISA).
