Dando continuidade a nossa série de artigos da relação entre a LGPD – Lei Geral de Proteção de Dados e a ISO 9001:15, vamos abordar alguns processos afetados diretamente pela LGPD.
Ricardo Hojda _ Stance Gestão e Treinamento
Mentalidade de Risco
Segundo a ISO 9001:15, a mentalidade de risco é essencial para construirmos um sistema de gestão de qualidade eficaz.
O requisito 6.1.1 da ISO 9001:15 estabelece que devemos identificar os riscos e oportunidades que precisam ser abordados para que possamos prevenir, ou reduzir, efeitos indesejáveis.
Quais são os riscos que encontramos nas empresas, quando olhamos os processos pela ótica da LGPD?
Entendemos que dados de clientes (pessoas físicas) que são tratados pelas empresas podem ser divulgados inadvertidamente ou comercializados sem consentimento. Este, com certeza, representa risco elevado à empresa pois pode ocasionar a perda de imagem, processos judiciais e recebimento de multas da ANPD (Agência de Proteção de Dados).
A LGPD, no art. 44, determina:
“O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I – o modo pelo qual é realizado;
II – o resultado e os riscos que razoavelmente dele se esperam;
III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.”
O que as empresas precisam fazer?
Devemos identificar os processos que possam gerar riscos elevados, na ótica da perda de dados. Alguns exemplos são:
Processo: Marketing
Atividade: Prospecção de novos clientes
Perigo: Envio de e-mails em massa, sem consentimento
Dano: Denúncia dos receptores de email
Risco: Alto
Processo: Marketing
Atividade: Lançamento de dados dos potenciais clientes no sistema informatizado
Perigo: Vazamento de dados durante o lançamento de informações
Dano: Divulgação dos dados de potenciais clientes
Risco: Médio
Processo: Sistema de Informação
Atividade: Arquivamento eletrônicos de resultados de exames médicos do cliente
Perigo: Vazamento de dados sensíveis em função de ataques de hackers
Dano: Divulgação dos dados sensíveis, sem consentimento
Risco: Altíssimo
A partir do processo de gestão de riscos, a Organização deve implementar ações visando a melhoria dos processos e redução dos riscos.
Podemos dividir estas ações em 3 níveis:
Processos: A organização deve desenvolver processos robustos que forneçam confiança de que os dados sejam tratados adequadamente.
Tecnologia: trata-se da governança de TI, visando garantir que os equipamentos funcionem adequadamente e que sejam protegidos, visando garantir confiança e sigilo dos dados.
Jurídica: aborda as autorizações formais para coletar, armazenar e tratar informações pessoais e a necessidade de transparência no tratamento das informações.
Depois da implementação das ações, o risco deve ser recalculado para que a empresa tenha certeza de que foi minimizado. Caso isto não tenha acontecido, deverá implementar novas ações. Caso o risco tenha sido reduzido, cabe a empresa adotar novos riscos que são considerados elevados.
Como a STANCE pode te ajudar:
- Realização de Diagnóstico de GAP
- Treinamento Requisitos da LGPD – 8 hs
- Identificação e Avaliação dos Riscos de atendimento à LGPD
- Adequação dos processos que requerem consentimento para tratamento de dados pessoais
- Revisão de contratos com clientes e prestadores de serviço
- Implementação de boas práticas de segurança da informação
- Avaliação e monitoramento de prestadores de serviço
- Rotina de reclamações e denúncias
- Indicadores de desempenho
- Relatório de impacto
Entre em contato no falecom@stancebrasil.com.br e 11 31675566 e converse com nossos especialistas!
Nosso próximo artigo, iremos abordar o impacto da LGPD nos processo de Vendas.
Sobre o autor:
Ricardo Hojda – Engenheiro, mestre em engenharia de produção pela Escola Politécnica da USP, autor da dissertação “ISO 14001- Sistemas de Gestão Ambiental”, especialista em qualidade pela U.S.P., Auditor Líder de ISO 14001:15, ISO 9001:15 e ISO 45001:18 da Fundação Vanzolini, professor de cursos de pós graduação da Fundação Vanzolini, consultor de empresas na implementação de Sistemas de Gestão, Compliance e Comportamento Seguro, instrutor de treinamentos e Diretor da Stance Gestão e Treinamento.
Bibliografia: artigo O que muda com a LGPD, blog da Fundação Vanzolni, de Angelo Sebastião Zanini