A Avaliação da empresa e o Treinamento de Conscientização são etapas fundamentais no desenvolvimento de qualquer Projeto, especialmente aqueles relacionados à Segurança da Informação, Governança de Dados e conformidade com regulamentações, como a LGPD.
É o primeiro passo a ser realizado para o desenvolvimento do projeto.
A Avaliação
Avaliar para saber quais são os impactos que as operações de Tratamento de Dados Pessoais podem causar a empresa e a partir dessa avaliação, identificar e Mapear os Riscos dessas operações.
Priorizando as ações, dentro dessas operações de Tratamento de Dados Pessoais e também verificar as ações que tem mais riscos .
E assim, tomar medidas que possam minimizar ao máximo estes riscos apontados, em que a empresa esta exposta em razão do tratamento indevido de dados.
A Conscientização
Conscientização consiste na ação de tomar conhecimento de algo, sendo que, a partir de então, hábitos e atitudes poderão ser alterados para que possam se ajustar a nova realidade conhecida.
A Conscientização da LGPD deverá ser feita demonstrando a importância do tema para a empresa e os impactos no mercado para uma empresa que está adequada para a outra que não está adequada.
O Objetivo da Conscientização é conhecer para transformar!
Ponta Pé Inicial
Comece enviando um e-mail para a Alta Direção da organização, marcando a Reunião Inicial do Projeto de Implementação da LGPD e formalize, com data e horário.
Informe que será realizado um Treinamento de Conscientização nessa Reunião Inicial, com o tema LGPD e frize que é imprescindível a presença de um representante de cada departamento / área, pois estes serão os Interlocutores de seus respectivos departamentos.
Organograma da Organização
Solicite o Organograma da empresa para que você já conheça todos os departamentos existentes e seus responsáveis.
Solicitar o Organograma da empresa é importante em um projeto de implementação da LGPD (Lei Geral de Proteção de Dados) por várias razões:
1- Compreensão da Estrutura Organizacional: O organograma fornece uma visão clara da estrutura organizacional da empresa, incluindo departamentos, hierarquias e relações entre eles. Isso é fundamental para entender como a informação flui dentro da organização e quem são os responsáveis por diferentes áreas.
2- Identificação de Envolvidos na Gestão de Dados: Permite identificar os responsáveis pelos dados em diferentes setores da organização. Cada departamento pode ter diferentes responsabilidades e níveis de acesso aos dados, sendo crucial entender quem são essas partes.
3- Definição de Responsabilidades: Ajuda a definir claramente as responsabilidades em relação à proteção de dados pessoais. Saber quem são os responsáveis facilita a designação de papéis específicos para garantir a conformidade com a LGPD.
4- Compreensão das Relações de Trabalho: Permite compreender as relações de trabalho e dependências entre os diversos departamentos. Isso é crucial para desenvolver políticas e procedimentos que garantam a proteção adequada dos dados em toda a organização.
5- Implementação de Medidas Adequadas: A implementação efetiva da LGPD requer ações coordenadas em toda a organização. Com o conhecimento do organograma, é possível direcionar adequadamente os esforços de treinamento, comunicação e implementação de medidas de segurança.
6- Avaliação de Riscos: Facilita a avaliação de riscos relacionados à proteção de dados. Compreender como os dados são manuseados em diferentes departamentos ajuda a identificar áreas de maior risco e a implementar medidas de mitigação apropriadas.
7- Atendimento a Requisitos de Transparência: A LGPD enfatiza a transparência no tratamento de dados pessoais. Conhecer a estrutura organizacional permite atender a requisitos de transparência, informando claramente aos titulares de dados quem está envolvido no processamento de suas informações.
8- Planejamento de Treinamento e Conscientização: Ajuda a planejar programas de treinamento e conscientização específicos para cada departamento, garantindo que todos os funcionários estejam cientes de suas responsabilidades em relação à proteção de dados.
O Organograma é uma ferramenta valiosa para mapear a estrutura organizacional e é fundamental para o planejamento e implementação eficaz das práticas necessárias para atender aos requisitos da LGPD.
Os Interloctures e sua Nomeação
Com o Organograma, já conseguimos identificar os responsáveis por cada Departamento.
O Projeto não será executado por uma única pessoa, uma única área.
Cada departamento deverá ter um representante que tem o conhecimento amplo para responder perguntas e passar as informações solicitadas pelos consultores, à respeito de dados pessoais.
Esses representantes são extremamente importantes, pois ajudam na organização e na condução do projeto.
Esses representantes são os Interlocutores.
Os Interlocutores serão responsáveis por passar todas as informações solicitadas pelos consultores ou DPO.
Informe o papel do Representante de cada departamento e solicite o e-mail de contato de cada um deles.
Informe que eles serão as pessoas responsáveis por passar todas as informações solicitadas, para que seja identificado os pontos focais.
Assim, nomeie os interlocutores durante a Reunião Inicial, definindo suas responsabilidades e opapel de cada um.
Registre essa nomeação e recolha a assinatura de cada um.
Alta Direção
Em um Projeto é muito difícil o engajamento dos Colaboradores, do grupo, se não tiver o engajamento da Alta Direção!
Se a Alta Direção não compra o Projeto, acredita de fato, é muito difícil que as pessoas colaborem.
O projeto não deslancha!!
Solicite também a presença da Alta Direção!
Cronograma da Implementação da LGPD
O Cronograma das Atividades de Implementação da LGPD, deverá ser apresentado a todos os participantes , para que todos os responsáveis de cada departamento fique informado quanto à datas e prazos estabelecidos, de cada etapa do Projeto.
Treinamento e seu Objetivo
A Conscientização dos funcionários é crucial, pois eles desempenham um papel fundamental na proteção dos dados e na prevenção de incidentes de segurança.
A partir dessa base, a empresa pode avançar para implementar controles de segurança mais robustos e garantir conformidade com regulamentações aplicáveis. Abaixo o objetivo a ser alcançado:
1- Sensibilização sobre Segurança: Educação dos funcionários sobre a importância da segurança da informação e os potenciais impactos de falhas de segurança.
2- Conformidade com Políticas Internas: Treinamento sobre as políticas internas relacionadas à segurança da informação e conformidade com regulamentações.
3- Boas Práticas de Segurança: Fornecimento de orientações sobre boas práticas de segurança, incluindo uso seguro de senhas, proteção de dispositivos e conscientização sobre phishing.
4- Conscientização sobre Privacidade: Treinamento específico sobre questões de privacidade, abordando os direitos dos titulares de dados e as práticas adequadas de manipulação de informações pessoais.
5- Simulações de Phishing: Realização de simulações de phishing para testar a capacidade dos funcionários de identificar e relatar tentativas de ataques.
Essas etapas iniciais estabelecem uma base sólida para o desenvolvimento de estratégias e implementação de medidas de segurança da informação.
Reunião Inicial
Inicie a reunião, apresentando-se para todos os colaboradores e informando que o motivo da reunião é para dar inicio ao Projeto de Implementação da LGPD na empresa.
Deixe bem claro que todos que foram convocados para essa reunião inicial, são de grande importância para o sucesso do Projeto de Implementação da LGPD.
Breve História da Privacidade e Proteção de Dados
Inicie o Treinamento de Conscientização contando uma breve história.
Nada melhor do que contar uma história para se prender a atenção e despertar o interesse de todos sobre um assunto.
Conhecer o contexto histórico traz um grande enriquecimento e torna o tema mais interessante.
Inicie o Treinamento contando a História da Privacidade e Proteção de Dados.
Recomendamos a leitura do artigo, nessa página, História da Privacidade e Proteção de Dados.
Conhecer e entender a história da Privacidade e da Proteção de Dados é interessante para que todos compreendam o surgimento da lei no nosso país.
Além de enriquecer o assunto!
A Interação no Treinamento
Durante o Treinamento de Conscientização os participantes tiram muitas dúvidas.
Todos querem obter o máximo de informações!
Aproveite esse momento para conversar com os participantes para obter o maior número de informações à respeito da empresa.
Faça perguntas sobre a existência de proteção de dados e segurança da informação ou se existe alguma norma ou procedimentos voltados para proteção de dados pessoais.
Ao questionar aos participantes, além de realizar um interação com eles, consigue-se entender quais são as áreas mais impactadas da empresa.
Perguntas Importantes
1- Quais as medidas imediatas a empresa já tomou para adequação às disposições contidas na Lei Geral de Proteção de Dados?
2- A empresa já possui instruções normativas (ou manual) de uso dos dados pessoais? Política de Privacidade?
3- Existe algum documento sobre o tratamento de dados?
4- Quais as medidas internas de segurança da informação que a empresa já adota?
5- Como ocorre o descarte dos dados físicos e digitais hoje na empresa?
6- Quais são as mídias on-line da Empresa?
7- Qual é a quantidade de dispositivos conectados e não conectados na internet?
8- Na empresa os serviços de TI é terceirizado?
9- Há sistema de segurança digital? Qual o nome do sistema utilizado para armazenar os dados?
10- Quem tem acesso aos dados? Tipos de acesso.
11- Onde usualmente a empresa armazena esses dados: em sistemas, e-mails, planilhas, contratos, notas, recibos, etc?
Conteúdo de Treinamento de Conscientização da LGPD
1-Introdução:
Bem-vindos ao Treinamento sobre a Lei Geral de Proteção de Dados (LGPD)! Vamos explorar a importância dessa legislação e entender como ela impacta a forma como tratamos dados pessoais.
2-Contextualização:
Hoje, vivemos em uma era em que a privacidade e a segurança das informações pessoais se tornaram preocupações fundamentais para sociedade mundial.
A LGPD foi projetada para proteger a privacidade dos indivíduos, garantindo que suas informações pessoais sejam tratadas com respeito e responsabilidade.
Exemplo:
Imagine se suas informações pessoais fossem compartilhadas sem seu conhecimento ou consentimento. A LGPD visa evitar esse tipo de situação.
3- Apresentando da Lei 13.709/2018
A Lei Geral de Proteção de Dados – LGPD, é a legislação brasileira que regula as atividades de Tratamento de Dados Pessoais, delimitando quando e como as empresas podem tratar os Dados Pessoais.
Visa proteger os direitos fundamentais de privacidade e liberdade dos indivíduos em relação ao Tratamento de seus Dados Pessoais.
A LGPD é uma lei que está em vigor desde Setembro de 2020, e é necessário que todos estejam cientes de sua existência e de suas responsabilidades.
A LGPD possui quatro atores principais; o Controlador, Operador , DPO e Titulares de Dados. Cada qual com suas responsabilidades.
É fundamental realizar a implementação da LGPD, para que a organização não sofra sanções e multas da Autoridade nacional de Proteção de Dados.
Exemplo:
Já estão existem muitas reclamações trabalhistas, vários clientes enviando cláusulas de Proteção de Dados e Aditivos de Contrato, Pedidos de Titulares de Dados chegando, Denuncias e entre outras coisas.
4-Por que a LGPD é Importante?:
A legislação representa uma mudança significativa na forma como as empresas e organizações abordam a coleta, o processamento e o armazenamento de dados pessoais.
a- Visa proteger a privacidade dos indivíduos;
b- Veio para estabelecer regras claras para o tratamento de dados pessoais;
c- Vem reforçar a transparência nas práticas de coleta e processamento de dados.
Exemplo:
Antes da LGPD, as práticas de coleta de dados podiam ser menos transparentes. Agora, a transparência e a responsabilidade são essenciais.
Demonstre a importância do tema, abordando sobre o diferencial competitivo de uma empresa que está adequada para a que não está, os impactos dessa falta de adequação para o negócio e todos que fazem parte dele e na sociedade.
5- Impactos Diretos da Adequação:
a- Multas e Penalidades: A adequação à LGPD visa evitar multas substanciais por não conformidade. Multas podem ser aplicadas em caso de violações de dados ou práticas inadequadas de processamento.
Exemplo:
Uma empresa que não protege adequadamente os dados pessoais dos clientes pode enfrentar multas significativas.
b- Reputação da Empresa: O cumprimento da LGPD contribui para a construção e preservação da reputação da empresa.
Boas práticas de privacidade e segurança fortalecem a confiança dos clientes e parceiros.
Exemplo:
Empresas conhecidas por protegerem bem os dados pessoais ganham a confiança dos consumidores.
c-Direitos Individuais dos Titulares de Dados: A adequação garante o respeito aos direitos dos titulares de dados, como o direito de acesso, correção e exclusão de informações pessoais.
Exemplo:
Um cliente pode solicitar acesso aos seus dados para revisão ou pedir a exclusão de informações não mais necessárias.
d- Melhoria na Segurança de Dados: A LGPD incentiva a implementação de medidas de segurança robustas para proteger dados pessoais contra acessos não autorizados e incidentes de segurança.
Exemplo:
Criptografia de dados, controles de acesso e monitoramento contínuo são medidas que fortalecem a segurança.
e- Governança de Dados Reforçada: A empresa precisa estabelecer uma estrutura de governança de dados sólida para garantir a conformidade e a responsabilidade pelo tratamento de dados pessoais.
Exemplo:
Nomeação de um Encarregado de Proteção de Dados (DPO) para supervisionar as práticas de proteção de dados.
6- Impactos Indiretos da Adequação:
a- Inovação Responsável: A LGPD incentiva práticas de inovação responsável, promovendo o desenvolvimento de soluções que respeitem a privacidade desde a concepção.
Exemplo:
Empresas que integram a privacidade em novos produtos demonstram compromisso com a inovação responsável.
b- Competitividade no Mercado: Empresas que se destacam na proteção de dados ganham uma vantagem competitiva, atraindo clientes que valorizam a privacidade.
Exemplo:
A publicidade de uma empresa sobre suas práticas de proteção de dados pode atrair consumidores conscientes da privacidade.
c- Cultura Organizacional Fortalecida: A conformidade com a LGPD pode fortalecer a cultura organizacional, promovendo a conscientização sobre a importância da privacidade e proteção de dados.
Exemplo:
Treinamentos regulares e comunicações internas reforçam a importância da proteção de dados para todos os colaboradores.
d- Relações com Fornecedores e Parceiros: Empresas que respeitam a LGPD têm relações mais sólidas com fornecedores e parceiros, pois demonstram compromisso com práticas éticas de negócios.
Exemplo:
Parcerias estratégicas podem ser reforçadas quando ambas as partes adotam padrões elevados de proteção de dados.
e- Resiliência a Incidentes: A conformidade com a LGPD fortalece a resiliência da empresa a incidentes de segurança, garantindo que ela esteja preparada para responder eficazmente.
Exemplo:
Um plano de resposta a incidentes pode minimizar os danos em caso de violação de dados.
7- Direitos Individuais:
A LGPD concede aos indivíduos uma série de direitos sobre seus dados pessoais, dando-lhes mais controle sobre como suas informações são usadas.
Exemplo:
Você tem o direito de solicitar acesso aos seus dados, corrigi-los, ou até mesmo pedir que sejam excluídos.
8- Responsabilidade Corporativa:
As empresas têm a responsabilidade de nomear um Encarregado de Proteção de Dados (DPO) e adotar práticas de segurança robustas.
Exemplo:
A nomeação de um DPO demonstra o compromisso da empresa com a proteção de dados e a conformidade com a LGPD.
9- Transparência e Confiança:
Cumprir a LGPD não é apenas uma obrigação legal, mas também constrói confiança com clientes e parceiros.
Exemplo:
Ao ser transparente sobre como os dados são usados, uma empresa fortalece a confiança de seus clientes.
10- Encorajando a Cultura de Proteção de Dados:
A LGPD não é apenas sobre conformidade legal, mas também promove uma cultura de privacidade, inovação responsável e relações sólidas no mercado.
Exemplo:
Integrar práticas de privacidade nas operações diárias e nos processos demonstra um compromisso contínuo com a proteção de dados.
Avaliação Inicial da Empresa
Esta avaliação é um Processo Contínuo e deve ser adaptada à medida que a empresa evolui e as regulamentações são atualizadas.
Inicie observando as seguintes questões abaixo:
1- Análise de Ambiente: Avaliação do ambiente organizacional, incluindo estrutura, processos, sistemas, e cultura empresarial.
2- Identificação de Ativos e Dados Sensíveis: Identificação e classificação de ativos críticos e dados sensíveis que precisam ser protegidos.
3- Análise de Riscos: Avaliação dos riscos de segurança da informação e identificação de possíveis vulnerabilidades.
4- Compliance com Regulamentações: Verificação do cumprimento de regulamentações relevantes, como a LGPD, e identificação de áreas de melhoria.
Após o treinamento de conscientização os participantes já estarão aptos à responder sobre tratamento de dados.
Nomeação do DPO
Verifique a possibilidade de se nomear um DPO entre o grupo da reunião.
É interessante que já na Reunião Inicial se nomeie o DPO, porque, ele já irá acompanhar todo processo da adequação, desde o início.
Fechamento do Treinamento
Realize o fechamento do treinamento informando que se houver necessidade de se tirar qualquer dúvida, basta entrar em contato com você e deixe o seu contato com todos.
Informe também que o próximo passo será o envio da Apresentação Inicial do Projeto e do Questionário Investigativo, para o responsável de cada setor, para a realização da coleta das informações à respeito dos processos executados em cada departamento relacionados com o Tratamento de Dados e a Segurança da Informação.