A análise dos riscos quando tratamos da LGPD pode ser mensurada como a PROBABILIDADE DE ACONTECER UM EVENTO versus O IMPACTO DA SUA CONCRETIZAÇÃO.
Por exemplo: vamos pensar em formas de proteção de dados e o seu respectivo compartilhamento x o impacto que o acontecimento trará.
1) Você chegou em uma loja de vestuário e preencheu um formulário físico fornecendo seu nome, RG, CPF, endereço e telefone, para conseguir um desconto de 10% na primeira compra. A empresa garante que este formulário será guardado dentro de uma gaveta, em uma sala específica e que após o fechamento da compra, não utilizarão para nenhuma outra ocasião e em 1 ano serão descartados.
Se este formulário for apenas armazenado fisicamente nesta empresa, sem haver compartilhamento nem interno ou externo (apenas armazenamento), a probabilidade de um incidente acontecer se torna pequena, além de que o caminho para se entender os motivos do incidente são, em regra, menos complexos.
Diferentemente de um dado que além de armazenado de forma física e/ou eletrônica, é compartilhado externamente. A probabilidade de ocorrer um incidente de vazamento de dados, por exemplo, é maior, e consequentemente o impacto também.
2) Neste mesmo exemplo da loja de vestuário, se o formulário, ainda que preenchido fisicamente, for digitalizado e colocado em uma plataforma online de dados da empresa, para que esta possa lhe enviar promoções, notícias ou atualizações em geral, seus dados não estão mais em um ambiente físico, mas online, e a probabilidade de um incidente de vazamento se torna maior.
3) E, ainda no exemplo do formulário, se este for preenchido diretamente numa plataforma digital, em que o domínio e gestão são de uma empresa terceira, a probabilidade de um incidente se torna ainda maior e o caminho para verificação de que momento houve o vazamento, por exemplo, se torna mais longo e difícil.
A depender da natureza do incidente de dados, o seu impacto pode ser fatal para as empresas.
Por este e outros motivos é que se faz necessário que haja o entendimento e compreensão da importância da implementação da Conformidade à LGPD nas empresas, bem como a conscientização de todos os envolvidos.
Um dos primeiros passos a ser dado é escolher profissionais que saibam realizar o mapeamento dos dados, um diagnóstico do que foi mapeado com o consequente plano de adequação e posteriormente a implementação efetiva.
Dentro destes passos, há a nomeação de um DPO (encarregado de dados que responderá aos titulares, ANPD etc. sobre como se dá o processo de tratamento de dados na empresa, responderá e informará à agência nacional em caso de fiscalização), a implementação de um canal da LGPD para que as pessoas possam ter acesso às informações sobre o tratamento de seus dados, elaboração ou adequação de manuais e documentos internos da empresa (como contratos, por exemplo), dentre outras situações que tenham relação ou contato com dados pessoais.
Importante frisar, também, que essa análise nos permite compreender quais dados estamos tratando: dados simples, sensíveis, de menores, financeiros ou comportamentais, pois essa análise impacta diretamente na visualização da probabilidade x impacto de um incidente.
Se sua empresa ainda não deu o START para a implementação do Programa de Conformidade em LGPD, é hora de se atentar à evolução da questão e buscar se adequar!
Matéria elaborada por:
Ketlyn Silva – Advogada – OAB/PR 96.866
