A LGPD (13.709/2018) já é uma realidade e o anúncio do início da possibilidade de punições serem aplicadas por parte da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) fez com que muitas empresas passassem a pensar em um projeto de adequação somente agora. Outras, porém, iniciaram e desencadearam uma “série” de ações impensadas, que podem expor ainda mais a organização. Identificamos 7 erros comuns de quem começou a pensar em LGPD somente agora. Confira:
1) Tentar validar operações com dados pessoais apressadamente, tomando decisões equivocadas: É neste momento que a empresa, sem uma análise detalhada das bases legais para tratamento e maturidade mínima, tenta interagir com o titular buscando validar operações irregulares rapidamente, o que pode representar riscos ainda maiores. E-mails, sms, tentativas de “obtenção do consentimento forçado” podem ser fatais e complicar ainda mais a empresa.
2) Utilizar Política e avisos de Privacidade copiados ou genéricos: O não planejamento do programa de adequação leva agentes de tratamento a copiarem, ou publicarem políticas ou avisos de privacidade “paliativos”, genéricas, pouco claras, que de longe não refletem as operações e usos de dados da empresa. Risco iminente.
3) Divulgar internamente deveres aos colaboradores ou fazê-los assinar a Política de Proteção de Dados e outros documentos sem tê-los preparado para a adequação e para compreenderem o programa de proteção de dados: A Diretoria ou RH convoca os colaboradores e os fazem assinar diversos termos, documentos, políticas, sem qualquer ação prévia, conscientização, aculturamento, treinamento ou mesmo informações sobre o estabelecimento do programa de proteção de dados, o comitê constituído e quem é o encarregado de proteção de dados.
4) A organização tentar redigir documentos sem conhecer os processos e operações onde ocorre o tratamento de dados pessoais: A empresa começa a pensar em LGPD agora e inicia redação de documentos sem conhecer de fato as operações de tratamento que realiza, expondo-se ainda mais com a publicação de documentação que não reflete a sua realidade.
5) Criar o canal de contato para requerimentos dos titulares sem o processo claro ligado ao atendimento: É indispensável que o canal seja estabelecido, mas o que fazer quando um requerimento chega? Tempo de retorno? Como as áreas serão informadas? Quem é responsável pelo atendimento ligado a dados pessoais? Essa ausência de processos claros pode comprometer a empresa.
6) Assinar sem analisar os aditivos que chegam de fornecedores ou clientes: Os fornecedores ou clientes já podem estar avançados e no aspecto jurídico encaminhar aditivos com cláusulas ligadas à proteção de dados. As empresas que não analisam os contratos podem estar se expondo ainda mais ou se comprometendo de forma desproporcional
7) Fazer propaganda do que efetivamente não possui: Enviar inúmeros comunicados aos titulares de dados no escopo de tentar passar “conformidade”, sem que as estruturas internas estejam criadas e um sistema de gestão da proteção de dados esteja estabelecido. A empresa inicia uma série de “ações de comunicação para passar segurança ao cliente”, porém internamente sequer finalizou o mapeamento ou inventário de dados, identificou gaps ou tem um plano de ação definido, estando fragilizada em processos ligados a proteção de dados.
E o erro dos erros: “Achar que adequação à LGPD se faz em 30 dias”! Projetos sérios, que consideram todas as etapas de um Sistema de Gestão da Proteção de Dados, não se encerram da noite para o dia! Cuidado com quem escolhe para adequar seu negócio. Esta é apenas uma lista exemplificativa de erros que empresas cometem por pensarem apressadamente e somente agora na questão da LGPD. Conhece mais erros? Conte para nós?
Prepare seu negócio com o PrivacyOffice (www.privacyoffice.com.br) da CyberExperts® Implemente um programa de adequação, utilize os serviços de DPO como serviço, ou audite a conformidade e a maturidade dos seu sistema de gestão da privacidade da informação. Fale conosco.