Uma das premissas básicas é que não basta atender o descrito na lei, tem que
comprovar que está atendendo.
É sabido por todos que a partir de agosto de 2020 todas as empresas deverão estar
aderentes aos protocolos definidos pela LGPD.
Podemos usar como base o que aconteceu (e o que vem acontecendo) com a GDPR
oficializada na União Europeia em 28 de maio do ano passado e todos os percalços e
contratempos que a lei impôs.
Vamos abordar, para análise inicial, um único tópico: “O direito do esquecimento.”
Para saber o nível de preocupação que a empresa deve ter vamos validar o seguinte:
1. Existe um canal de comunicação eficiente que dá abertura ao indivíduo
registrar o desejo do esquecimento? Como o indivíduo poderá entrar em
contato com a empresa?
2. Os sistemas da empresa permitem que os dados do indivíduo sejam
eliminados? Quais são os sistemas que armazenam dados dos indivíduos?
3. Quais usuários têm privilégios de acesso aos sistemas para poder eliminar os
dados do indivíduo com segurança? E se existirem, por exemplo, lançamentos
financeiros pendentes, como proceder?
4. Quais são os parceiros que a empresa compartilhou estes dados (por força do
negócio) e que precisam ser também notificadas quanto ao desejo do indivíduo
no esquecimento? Existem estes registros?
5. Os processos são auditados a ponto de comprovar, quando requisitado, que os
dados foram eliminados?
6. Existem processos e formas de notificar o indivíduo que a requisição foi
atendida?
Claro que apenas neste tópico outros itens devem ser pensados e atendidos, mas dá
para perceber que não será simples para as empresas atenderem a LGPD. O trabalho
será muito extenso e altos investimentos terão que ser realizados.
Saneamento dos dados, estruturas cadastrais, revisões contratuais, criptografia,
acessos e muitos outros itens precisam ser questionados internamente para que a
segurança dos dados dos indivíduos seja efetiva.
Tomando como base a experiência da GDPR, um dos itens mais citados e preocupantes é o DSR (Data Subject Request), o qual retrata exatamente a abordagem listada acima, ou seja, se usarmos como base para a GDPR poderemos atender a LGPD com mais eficiência e tranquilidade.
Pesquisa envolvendo 301 empresas na União Europeia aponta que 28% delas está
recebendo mais de 100 DSRs (Data Subject Request) por mês, ou seja, mais de 4
requisições por dia para serem tratadas. Se não existirem recursos tecnológicos e
atividades bem mapeadas e estas demandas não forem atendidas por completo a
empresa poderá ser autuada.
Ainda segundo esta mesma pesquisa, a grande maioria entende que é impossível
atender a todos os requisitos da lei sem apoio de um software.
Concluindo:
Trata-se de uma lei, com prazo definido para entrar em vigência, já com todas as
regras amplamente comentadas. Deixar para começar a trabalhar “depois” pode
custar muito mais caro e gerar muitos problemas para e empresa.
A atenção que terá que ser dada, mesmo que tardia, vai gerar uma grande demanda
de oportunidades de serviços dos mais diversos: jurídico, consultorias, TI, segurança da informação, auditorias, etc.
Fonte da pesquisa sobre GDPR e DSR: https://itforum365.com.br/gdpr-um-ano-depois-desafios-e-aprendizados/
Norberto Tordin (norberto.tordin@nai-it.com)
CEO – NAI-IT
A NAI-IT é empresa especializada em Gestão de Identidades e Gestão de Acessos.