Muito se fala em adequação à LGPD mas ainda são poucas as empresas que tem a real noção da abrangência das mudanças necessárias. É aí que entra o chamado Diagnóstico de Maturidade. É ele quem define em que ponto a empresa se encontra e pra onde ela precisa ir em relação as obrigatoriedades da Lei.
Sabemos que a LGPD protege os dados pessoais e exige finalidade para armazenamento e tratamento desses dados. Mas como a empresa, e, principalmente, o departamento de RH pode fazer uma autoavaliação de como esses dados se encontram e qual a recomendação de melhores práticas? Vamos falar sobre isso agora!
Adequação à LGPD
Em vigor desde 2020, a Lei Geral de Proteção de Dados ainda causa uma certa dor de cabeça para empresas, principalmente os pequenos negócios. Isso porque nem sempre é fácil entender todos os pontos de melhorias na empresa para se adequar.
Primeiramente, é preciso entender sobre o que são os dados pessoais e por que eles precisam ser tratados de forma correta. Segundo o site do Ministério Público , “ é considerado dado pessoal qualquer informação que permita identificar, direta ou indiretamente, uma pessoa que esteja viva, tais como: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, ...”.
Sendo assim, segundo a LGPD, tudo que for considerado dado pessoal precisa ser coletado e armazenado apenas se for necessário para o funcionamento do seu negócio e/ou tiver alguma lei que respalde essa coleta e armazenamento.
E para saber como sua empresa está em relação a esse tratamento de dados, existe o Diagnóstico de Maturidade de Adequação à LGPD.
O que é o Diagnóstico de Maturidade de Adequação à LGPD?
Nada mais é que um documento que as empresas podem criar para entender em que situação elas se encontram em relação à adequação à LGPD. Seu objetivo é fazer uma autoavaliação de como a empresa está de acordo com a Lei e, assim, poder cumprir com os requisitos necessários de boas práticas de proteção de dados.
Não existe um documento oficial pronto, mas muitas empresas já disponibilizam modelos desse diagnóstico. Você pode até utilizar um desses modelos, mas é bom ficar atento e tentar direcionar as perguntas para o seu nicho de mercado, que pode possuir leis específicas. Assim o diagnóstico será feito de forma personalizada.
O questionário deve ser aplicado no início da adequação e pode realizado com os gestores da empresa ou o departamento de RH, desde que a pessoa responsável pelas respostas tenha uma visão e um conhecimento bem amplo do tratamento de dados.
O que precisa constar no Diagnóstico de Maturidade?
Algumas perguntas são fundamentais para entender a maturidade da empresa em relação à lei, por isso devem constar no diagnóstico, tais como:
- Tamanho da empresa, porte e faturamento;
- Setor da empresa e quantidade de funcionários;
- A empresa trata dados pessoais, dados pessoais sensíveis, de crianças ou adolescentes?
- Qual a base do tratamento desses dados?
- Existe consentimento do tratamento desses dados?
- Quem tem acesso a esses dados dentro da empresa?
- Eles são armazenados em local seguro?
- Existe uma política de eliminação periódica de dados?
- A empresa transfere ou recebe dados de outros países?
- Existe um Relatório de Impacto à Proteção de Dados?
- A empresa já nomeou um DPO?
- São feitos treinamentos com os funcionários a respeito de tratamento de dados?
- Existe algum procedimento de informação aos titulares em caso de vazamento de dados?
- A empresa já passou por incidente de violação de dados?
Avaliação de resultados
Para saber qual a maturidade da empresa, após a aplicação do questionário, é preciso fazer a avaliação de resultados. Normalmente quem faz essa avaliação é o DPO – Data Protection Officer, que é o profissional encarregado de cuidar das questões referentes à proteção dos dados.
Uma sugestão é adotar pontuações para cada resposta do questionário se a empresa adota totalmente aquela prática, adota parcialmente ou não adota, por exemplo. Ou ainda, determinar porcentagens para o quanto a empresa já está adequada àquela prática ou não.
O Governo Federal, por exemplo, possui um Diagnóstico e Índice de Maturidade de Privacidade para adequação à Lei Geral de Proteção de Dados – LGPD para órgãos e entidades públicas, onde os resultados dependem da pontuação realizada e podem variar entre os seguintes níveis de adequação:
- Inicial;
- Básico;
- Intermediário;
- Em aprimoramento;
- Aprimorado.
Fiz o Diagnóstico de Maturidade, e agora?
Agora que você sabe como medir o índice de maturidade que sua empresa se encontra, é a hora de colocar em prática as ações necessárias para chegar ao nível de aprimoramento.
Para isso é necessário promover ações das mais diversas que devem começar pelos gestores e líderes, principalmente de conscientização a respeito da lei e suas atribuições. Afinal, a adequação à LGPD tem a ver com a cultura da empresa e todos devem saber exatamente como e de que maneira devem coletar, armazenar e tratar os dados.
A partir do Diagnóstico de Maturidade, todos os esforços devem ir para ações que levam a empresa à conformidade com a LGPD e, ao final da adequação, aplique novamente o questionário para não ter dúvidas se todas as etapas que foram concluídas ou não.
Quer saber mais informações sobre LGPD e as mudanças necessárias na sua empresa? Continue acompanhando o nosso blog.
Fale conosco
Compartilhe o Artigo
