Respeitar a privacidade dos dados de clientes, da coleta ao descarte, completando o ‘ciclo da vida dos dados’ de cada um ainda é um desafio.
Neste último dia 14 de agosto, a Lei Geral de Proteção de Dados (LGPD) completou seus cinco primeiros anos de criação em prol da privacidade dos dados de indivíduos em território nacional. Desde então, temos avançado em relação à regulamentação, mas ainda há muito o que se fazer para que estejamos, de fato, adotando processos adequados à nova lei. Respeitar a privacidade dos dados de clientes, desde a sua coleta até o descarte, completando o ‘ciclo da vida dos dados’ de cada um ainda é uma tarefa desafiadora para muitas organizações e isso requer cuidados específicos. Para cumprir essa missão, listo algumas etapas que podem ajudar as empresas na execução dessa importante adaptação dos processos.
Etapas para garantir o ciclo de vida dos dados
Coleta adequada e minimização: deve ser feita de maneira transparente, com consentimento dos indivíduos e em conformidade com as regulamentações de privacidade de dados, como a LGPD. Também é importante permitir que os usuários gerenciem suas preferências de privacidade de forma fácil e clara. Outra recomendação a ser aplicada nesse ponto inicial é o de minimização, que consiste em coletar apenas as informações necessárias, para fins específicos.
Armazenamento seguro dos dados: os dados pessoais devem ser protegidos contra acesso não autorizado, uso indevido ou violações de segurança. Isso exige a implementação de medidas de segurança robustas para proteger as informações em todas as etapas do seu ciclo de vida, incluindo criptografia, controle de acesso, monitoramento contínuo de ameaças e vulnerabilidades, além de realizar auditorias de segurança regularmente.
Compartilhamento responsável: o compartilhamento de informações com terceiros deve ser feita somente em casos necessários e de acordo com as regulamentações aplicáveis. É essencial, sempre que possível, garantir a anonimização ou pseudonimização para minimizar o risco de identificação dos indivíduos.
Retenção e descarte adequados: a retenção dos dados deve ser apenas pelo tempo necessário para cumprir os propósitos originais da coleta com base em requisitos regulatórios, legais e operacionais. Após esse período, eles devem ser adequadamente descartados ou anonimizados, evitando riscos de violação de privacidade, bem como a retenção excessiva das informações.
Mapeamento e monitoramento: esse processo ajuda a identificar lacunas e pontos de melhoria, além de garantir a conformidade com as regulamentações. Deve ser realizada a revisão periódica das políticas e dos procedimentos para garantir que estejam sendo seguidos adequadamente, bem como para identificar mudanças regulatórias e tecnológicas.
Implementação de programas de conscientização e treinamento: é recomendado a capacitação dos funcionários para que eles compreendam a importância da governança de dados e as práticas adequadas ao longo deste ciclo, o que envolve a conscientização sobre privacidade, segurança, conformidade e ética no tratamento dos dados.
Fortalecendo a governança dos dados
Ao implementar essas melhorias, as organizações fortalecerão a governança de dados para garantir uma gestão mais eficaz e responsável ao longo deste ciclo. Embora o desafio seja grande, vale mencionar que existem diversas atividades e soluções de tecnologia que podem ser aplicadas em cada etapa deste ciclo. Diante a isso, é importante que as empresas saibam que os desafios são significativos, no entanto, os benefícios resultantes de uma governança adequada dos dados serão valiosos.
Com este processo bem alinhado, é possível chegar a uma gama de benefícios, dentre os quais estão a ampla proteção das informações, estar em conformidade com as regulamentações, ter redução de riscos e, finalmente, dispor do aumento da confiança dos clientes e partes interessadas pelos serviços oferecidos na organização.
*Klelio Gentiluci é gerente sênior de privacidade da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
