A Lei Geral de Proteção de Dados (LGPD) entra em vigor em menos de um ano, mas a maioria das empresas ainda não está preparada para as mudanças. Uma pesquisa da Serasa Experian aponta que 85% das empresas brasileiras afirmaram que ainda não estão prontas para cumprir a LGPD. Outro levantamento, da consultoria de recursos humanos Robert Half, divulgado em agosto deste ano, confirma isso. O estudo mostra que mais da metade (53%) das empresas ainda não está preparada para atender as mudanças na legislação, sendo que 19% delas nem sabem do que se trata a LGPD.

A nova legislação atinge companhias de todos os setores e portes. A partir de agosto de 2020, serão novas regras para coleta, tratamento, armazenamento e utilização das informações pessoais dos usuários. O que é preciso saber para se adequar às mudanças? Confira alguns passos fundamentais:

Identifique os gaps

O primeiro passo e que deve ser feito ainda neste ano é realizar um mapeamento de quais são os gaps que precisam ser aprimorados nos processos internos, sistemas e soluções utilizados. “Esse é o momento de analisar onde estão os potenciais riscos de vazamento de dados pessoais, se a armazenagem de informações é segura e como tornar todo o processo de coleta e divulgação de dados protegido”, explica o executivo de operações e negócios da Supero, Fernando Luiz da Silva. Ele acrescenta que o ideal é contratar uma consultoria especializada em segurança da informação e desenvolvimento de sistemas para ajudar nessa verificação, que pode ser bem complexa dependendo do segmento e do porte da empresa.

Invista em compliance

Para Humberto de Sá Garay, consultor sênior em inteligência e segurança pública e corporativa da Dígitro Tecnologia, o compliance deve ser planejado para estar de acordo com a legislação. “A elaboração de um plano de governança de dados e a adoção de medidas de compliance devem ser elaborados e adotados desde agora, para evitar consequências jurídicas negativas num futuro próximo”, afirma. Ele alerta que o primeiro passo é criar departamentos internos e contratar profissionais especializados para estudar o tema. Nesse contexto, três medidas são importantes a serem empregadas: 1) a criação de um canal de denúncia; 2) o desenvolvimento de códigos de conduta; e 3) a instituição de um comitê para fazer a gestão das denúncias coletadas.

Crie um cronograma para implementação do projeto

Nestes próximos meses até a LGPD começar a valer, Thaís Bastian Consiglio, responsável pelo Jurídico e Compliance da fintech Asaas, orienta que as empresas estabeleçam um cronograma para a implantação do projeto de adequação à Lei. “Parece que há muito tempo hábil, mas na realidade temos onze meses para adequação, após esse período já podem ocorrer fiscalizações e sanções administrativas. É muito importante começar fazendo um diagnóstico e mapeamento dos dados pessoais que são coletados e que circulam pela empresa, entender as formas de tratamento dos dados, verificar em quais hipóteses legais de tratamento a empresa se enquadra, além de reforçar as medidas de segurança cabíveis”, explica. A especialista ainda reforça que “a Lei não proíbe o tratamento de dados, mas sim determina que ocorram de maneira transparente e com uma finalidade específica, observando direitos como de privacidade e liberdade".

Tenha uma comunicação clara

Tenha claro a definição do tipo de agente que sua empresa é: ela é uma controladora — pessoa/empresa que captura e manipula dados — ou operadora — só recebe dados para executar algo? “Essa definição tem um impacto muito profundo sobre os dados que você coleta, porque você só pode coletar o que de fato vai usar”, explica Rafael Negherbon, CTO da Transfeera, startup open banking. “Os titulares sempre precisam saber a finalidade do uso dos dados, precisam saber claramente quem é o controlador, como entrar em contato com o controlador, por quanto tempo os dados serão usados, quais as responsabilidades dos agentes que estão usando esses dados e para quem o controlador irá compartilhar as informações. Se esses pontos não ficarem claros, haverá gaps para fiscalização e denúncia de usuários”, finaliza Rafael.