Em nossas andanças pelo Brasil afora na busca de clientes para adequação a LGPD temos nos deparado com várias empresas que nos informam que não irão fazer processo algum de melhoria e adequação visto que só se relacionam com pessoas jurídicas. Algumas ainda reforçam essa decisão informando que essa recomendação foi recebida da área jurídica da empresa. É fato que muitos advogados encabeçam processos de adequação a LGPD nas empresas avaliando e ajustando apenas contratos e Políticas, entretanto é fato também que essas atividades representam menos de 10% das atividades de adequação necessárias.
Alguns exemplos:
- Ainda que seus clientes e fornecedores sejam exclusivamente PJs, os dados pessoais de seus funcionários, estagiários, sócios, etc., precisam ser tratados adequadamente.
- Grande parte das empresas possuem Políticas, Códigos, Manuais e outros voltados a conscientização de funcionários, no entanto não possuem meios de demonstrar objetivamente que estes foram recebidos e entendidos pelas partes interessadas.
- A empresa utiliza monitoramento por câmeras? Em caso positivo essas imagens são dados pessoais e precisam ser tratados adequadamente. Se esse monitoramento inclui recepção, estacionamento, acesso público, etc., está havendo coleta de dados pessoais de terceiros (fornecedores, clientes, entregas, etc.) e estes precisam ser adequadamente informados a respeito.
- A empresa divulga imagens de seus funcionários em suas redes sociais? Esse tratamento de dados pessoais não é suportado pelo contrato de trabalho e deverá constar de uma cláusula ou consentimento específico.
- A empresa terceiriza serviços de Contabilidade, RH, manutenção de sistemas, servidores e computadores? Em caso positivo isso significa que existe compartilhamento de dados pessoais (funcionários e usuários) e deverá ter uma correta adequação de tratamento.
- A empresa tem conhecimento e documenta o trânsito dos dados pessoais interna e externamente?
- A empresa utiliza serviços em nuvem? Backup, sistemas, e-mails, etc.? Nesse caso também existe o compartilhamento de dados pessoais e, provavelmente, transferência internacional de dados, que deverão ser corretamente adequados.
Os exemplos acima dizem respeito principalmente a confidencialidade e integridade dos dados e informações, ou seja, eles devem estar disponíveis exclusivamente a quem necessita, preservada a correção dos mesmos e isso, em caso de necessidade deverá ser demonstrado objetivamente pela empresa.
Mas também temos outros exemplos que dizem respeito a disponibilidade – o terceiro pilar da Privacidade, que suportam a adequação a LGPD:
- A empresa tem conhecimento e aceita os prazos de restauração do seu backup? Esse procedimento é documentado e monitorado ou essa informação somente será conhecida em um momento crítico – dano a equipamento e componentes, sequestro de dados, etc.?
- As senhas e credenciais críticas para a operação do ambiente de TI estão disponíveis em local de conhecimento dos gestores?
- As facilidades que suportam o ambiente de TI (energia, internet, etc.) possuem redundância ou tempo de recuperação aceitáveis pela empresa?
Como dito acima esses são apenas alguns exemplos e podem ser utilizados para questionar aqueles que entendem erroneamente que a adequação a LGPD diz respeito a inclusão de cláusulas padrões em contratos de clientes e fornecedores.
A adequação a LGPD, Privacidade e Segurança da Informação, diz respeito a continuidade do seu negócio.
Nos exemplos acima podemos substituir os dados pessoais por outras informações críticas a sua empresa:
Quem tem acesso a planilhas de custos, propostas comerciais, contratos, salários, exames médicos, dentre outros?
Um trabalho de adequação é um processo, será contínuo na sua empresa.
Nossa empresa procura criar condições para que essa continuidade seja realizada internamente como forma de obter o melhor custo-benefício para seus clientes.
Por último, mas muito importante, o processo de adequação somente terá sucesso com a conscientização dos funcionários e gestores. Essa é a parte mais complexa do processo e será contínua.
Em resumo, adequação a Segurança da Informação e, por consequência a LGPD, trata da continuidade do seu negócio, seja por questões financeiras (multas pelo não cumprimento da legislação ou contratos) ou por questões que afetem a imagem perante clientes e fornecedores.