Compartilhar

A proteção de dados nas companhias sucroenergéticas têm se tornado cada vez mais essencial, principalmente após o início da vigência da LGPD (Lei Geral da Proteção de Dados), com penalidades sendo passíveis de aplicação pelos órgãos responsáveis desde agosto deste ano. Por isso, as usinas sucroenergéticas precisam estar atentas e integradas às práticas de Compliance Digital. Mas o que é isso afinal?

Compliance Digital é um conjunto de medidas que uma empresa deve seguir para garantir a proteção de dados particulares e de informações pessoais de seus públicos na internet a partir da implementação de protocolos de segurança e cumprimento de leis, normas e regras que regulamentam o universo web.

Por exemplo, uma usina canavieira pode desenvolver o seu próprio código de conduta, criar medidas de gestão/operacionais, realizar auditorias periódicas ou se adequar às políticas de privacidade para assegurar que a LGPD seja cumprida.

A relação entre LGPD e Compliance Digital é direta, afinal, uma das referências que as empresas utilizam para criar seus programas de conformidade é justamente a Lei Geral de Proteção de Dados.

Como acidentes com o vazamento de dados são mais comuns do que se imagina, evitar ou identificar o problema em tempo real, antevendo-se aos riscos, é ter Compliance Digital.

“A criação de um programa de conformidade digital colabora para o desenvolvimento de um contexto organizacional mais eficiente e seguro, isso sem falar em outros princípios importantes como a transparência, que faz com que clientes e parceiros tenham mais confiança na hora de fazer negócios com a empresa”, explica o Sandro Calixto, advogado e especialista em Proteção de Dados e Direito Digital da Data Prevention, empresa especializada em Cibersegurança Corporativa

Compliance Digital em 3 fases

Um Projeto de Governança e Compliance em Proteção de Dados engloba três principais fases. A fase 1, de Assessment, objetiva conhecer todos os processos de negócio que tratam os dados pessoais dentro de uma empresa.

Desta forma, serão mapeados todos esses processos de negócios para buscar entender como os dados são tratados, ou seja, como são coletados, armazenados, compartilhados, se excluídos e por quanto tempo, quem tem acesso a eles e assim por diante.

“Com o levantamento dessas informações sabemos quais os gaps existentes em relação à proteção de dados pessoais com a classificação dos riscos a depender do grau de criticidade da atividade. Todas essas informações são documentadas e deverão ser atualizadas periodicamente. Depois de toda essa análise e classificação dos riscos é hora de colocar a mão na massa e aí passamos para a segunda fase”, explica Calixto.

Leia também: Como a LGPD afeta as usinas sucroenergéticas?

Na segunda fase, conforme explica o especialista, haverá a implementação e/ou adaptação de tecnologias para a Segurança da Informação e a criação ou ajustes das políticas internas de governança de dados pessoais em todos os processos de negócio da usina, sempre levando em consideração a tríade da LGPD: pessoas, processos e tecnologia, a partir dos gaps levantados na primeira fase.

“Por isso a importância e essencialidade da realização da primeira fase, porque sem ela não conseguimos seguir a diante”, adiciona.

A implementação e/ou adaptação, isso levando em consideração a maturidade da empresa em relação à proteção de dados, respeitará o grau de criticidade levantado na primeira fase, através da análise de riscos realizada.

Segundo o especialista da Data Prevention, a adequação à LGPD passa pela necessidade de se revisar todas as políticas, processos e procedimentos, a fim de se atualizar, adequar ou até mesmo criar processos e procedimentos, e assim atender às demandas de Compliance com a LGPD.

De forma mais detalhada a implementação consistirá em:

  1. Criar e/ou ajustar os processos e políticas

É essencial que as usinas adotem uma Política de Privacidade em que todos os funcionários da empresa terão que se adequar à Cultura de Privacidade que será disseminada em toda a companhia.

Um modelo de política de privacidade de ser seguido e, assim como existe a Política de Segurança da Informação e de Recursos Humanos, também, haverá uma para Proteção de Dados que deverá ser criada e cumprida.

  1. Revisar e/ou ajustar sistemas e ambiente de TI para obter o consentimento

Para seguir os requisitos de conformidade com a LGPD, também é importante entender os direitos que o consumidor tem sobre seus dados.

Enquanto a implementação da LGPD está em desenvolvimento, há a necessidade de fazer com que a usina possa demonstrar que é capaz de realizar as seguintes tarefas:

  • Confirmar a identidade de quem está solicitando os dados;
  • Dar aos consumidores, fornecedores e colaboradores a capacidade de solicitar seus dados pessoais;
  • Responder a pedidos de acesso a dados pessoais;
  • Rastrear e pesquisar e retificar quaisquer dados pessoais coletados;
  • Solicitar a exclusão dos dados pessoais de um consumidor, de um fornecedor ou até mesmo de um colaborador, respeitando as excepcionalidades;
  • Entender quais dados pessoais tratados por controladores adicionais foram transferidos para terceiros;
  • Em caso de violação de dados, entrar em contato com essas entidades para a exclusão dos dados pessoais;
  • Solicitar a restrição do processamento de dados e mostrar como e quando isso é feito;
  • Solicitar cópias e transmitir dados pessoais;
  • Encontrar dados pessoais e compila-los em formatos legíveis por máquina;
  • Oferecer aos consumidores, fornecedores e colaboradores uma maneira de se opor aos dados que estão sendo coletados; e
  • Interromper todo o processamento de dados e demonstrar sua conformidade.

“Esses são os direitos-padrão que devem ser compreendidos por todas as organizações que seguem os requisitos de conformidade com a LGPD. O não cumprimento tem como resultado multas pesadas, por isso, certifique-se de que compreende esses pontos”, acrescenta Calixto.

  1. Capacitação da equipe

De agora em diante, as campanhas de conscientização devem ocorrer frequentemente com a capacitação, ao final do projeto e para todos os demais colaboradores das usinas.

O treinamento se destina a todos os processos e negócios da usina, com a presença da presidência e demais colaboradores. A participação na capitação de terceiros e fornecedores externos neste projeto também é de extrema importância para evitar que a usina adequada responda solidariamente com terceiros que ainda não estão adequados. Por isso a realização da conscientização de forma externa é fundamental.

A terceira e última fase do projeto é de monitoramento e implementação de melhorias, ou seja, a partir de agora, a inovação fará parte do nosso cotidiano e principalmente nas empresas, com isso as vulnerabilidades aumentarão, havendo a necessidade da aplicação de maior segurança.

Além disso, a governança dos dados pessoais e por conseguinte as políticas internas e as de privacidade de dados deverão sempre estar atualizadas de acordo com o tratamento de dados realizado na empresa, o qual mudam periodicamente, considerando que o tratamento de dados é um organismo vivo.

De acordo com Calixto, a adequação à LGPD passa pela necessidade de se revisar todas as políticas, processos e procedimentos, a fim de se atualizar, adequar ou até mesmo criar processos e procedimentos, e assim atender às demandas de Compliance com a LGPD.

Desta forma, Calixto alerta que as precisarão compreender que proteção de dados hoje faz parte das atividades da empresa e precisará de maior atenção. Após a implementação e/ou adequação em proteção de dados dos processos e procedimentos nas usinas, elas precisarão realizar controles internos para verificação da adequação à lei.

Os controles internos deverão ser resultados dos processos anteriores, além daqueles já existentes, os quais deverão ser revisados para serem entregues ao auditor.

“O DPO (Data Protection Officer) terá que delegar alguém, ou ele mesmo deverá ficar responsável por esse levantamento do que foi informado no DPIA (Data Protecion Impact Assessment). Este documento é realizado na fase 2, de implementação, o qual contém em seu teor as atividades realizadas pela usina, os riscos inerentes a essas atividades e as medidas de segurança adotadas para mitigação dos riscos. Esse responsável pela proteção de dados é indispensável em qualquer empresa que processe informações e dados em grande escala como é o caso das usinas sucroenergéticas”, destaca o especialista da Data Prevention.

Segundo ele, esse profissional precisará realizar as seguintes atividades dentro das usinas:

  • Manter trilhas de auditoria e demonstrar responsabilidade e conformidade;
  • Manter um inventário de dados que categorize os processos de negócios e os tipos de titulares de dados;
  • Manter trilhas auditáveis da atividade de processamento;
  • Realizar avaliações de impacto de proteção de dados;
  • Monitorar a conformidade com as leis de proteção de dados; e
  • Coordenar e auxiliar as autoridades de supervisão.

Além disso, o especialista lembra que deixar de seguir esses requisitos de conformidade com a LGPD pode resultar em uma punição severa.

“É importante que o controlador defina um profissional para essa função. Por causa do treinamento necessário, será sensato fazer isso o mais rápido possível, com a nomeação deste profissional na fase do Assesment, explica o especialista da Data Prevention.

As violações de dados podem criar enormes problemas legais, financeiros e de reputação, que podem destruir uma organização e devem ser evitados ao desenvolver uma estratégia de Auditoria após a implementação da LGPD. É importante, portanto, que as usinas sigam procedimentos apropriados para atender aos requisitos de conformidade à LGPD, como:

  • Fornecer mecanismos para pseudoanimização, criptografia e proteção dos dados pessoais;
  • Implementar medidas de segurança adicionais;
  • Ser capaz de confirmar a confidencialidade, integridade e disponibilidade de dados pessoais;
  • Fornecer mecanismos para restaurar medidas de segurança;
  • Ser capaz de notificar a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) dentro de 72 horas, caso haja um incidente de violação de dados; e
  • Ser capaz notificar os titulares de dados, como consumidores, colaboradores e fornecedores, caso ocorra uma violação de dados de alto risco.

Por fim, além destas exigências, as usinas deverão realizar reuniões de conscientização, acompanhadas pelo Gerente do Projeto, que deverá apresentar um relatório ao DPO, a fim de demonstrar e acompanhar o plano de ação com base no DPIA.

As usinas deverão, ainda, segundo Calixto, revisar o plano de ação realizado na fase 2implementação para a mitigação de novos riscos e problemas ou aqueles ainda não mitigados.

“Os testes de confiança e validação deverão ser realizados pelos auditores, considerando o amadurecimento da cultura em privacidade da companhia. Estes testes devem ser realizados periodicamente para atestar a capitação dos operadores de dados em relação à proteção de dados e a segurança dos sistemas utilizados para tratamento dos dados pessoais, com o objetivo de zelar pela qualidade da implementação à LGPD, além da manutenção da privacidade de dados na usina”, finaliza o especialista em Proteção de Dados e Direito Digital da Data Prevention, empresa especializada em Cibersegurança Corporativa.

Por Natália Cherubin

Cadastre-se em nossa newsletter