-
Gestão eficiente da cadeia de suprimentos hospitalar
Consolidação, redução de custos de aquisições, padronização e otimização do processo de compras
-
Auditoria interna hospitalar
Solução de data analytics para execução de auditoria interna focada no setor da saúde, garantindo maior agilidade e precisão na tomada de decisões
-
RN 443 – Implantação geral e emissão de PPA
Maiores controles internos e gestão de riscos para fins de solvência das operadoras de planos de assistência à saúde
-
RN 452 – Apoio da estruturação da auditoria interna de compliance
Avaliação de resultados das operadoras de saúde para assegurar conformidade legal em seus processos
-
Relatório SOC 2
Com Relatório SOC, certificação e parecer independente é possível agregar credibilidade aos beneficiários do setor de saúde sobre os processos internos e controles
-
Energia e tecnologia limpa
Soluções para para geradores, investidores ou concessionárias prestadoras de serviços públicos que desejam investir no mercado de energia sustentável.
-
Petróleo e Gás
Auxiliamos sua empresa na procura de opções de financiamento, gerenciamento de risco e na criação de legitimidade local para operar.
-
Mineração
Construção de força de trabalho com mais mobilidade, entendimento das alterações da legislação e elaboração de processos para gerenciar riscos de corrupção.
A revisão de políticas internas, especialmente as direcionadas à segurança da informação, ganharam mais notoriedade e urgência diante do cenário de pandemia, com mais pessoas trabalhando remotamente e as empresas ajustando suas infraestruturas para essa nova rotina. No entanto, com a Lei Geral de Proteção de Dados (LGPD) em vigor, toda essa reorganização de fluxos e processos deve ir além, considerando a identificação dos dados pessoais administrados e, principalmente, a avaliação sobre a finalidade de cada informação armazenada pela organização.
Rebeca Arima, gerente de Compliance e Proteção de Dados da Grant Thornton Brasil, explica que o mapeamento dos dados é um dos processos iniciais para que as empresas estejam em conformidade com o tratamento adequado dos dados e consigam, posteriormente, identificar melhor suas finalidades.
“A LGPD especifica sobre o registro do tratamento dos dados, ou seja, como esse processo com dados pessoais funcionam para a companhia. Então, todo setor que possuir um dado pessoal na empresa precisa integrar um ciclo de vida das informações. Se a empresa não fizer este mapeamento, ela não estará em compliance com a legislação”.
Como a legislação define a finalidade
No Art. 6º da LGPD, a finalidade consta como o primeiro princípio a ser seguido pelas organizações nas atividades de tratamento de dados pessoais sendo definida como a “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”.
De acordo com a legislação, o titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados e, na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.
O princípio na prática
Já compreendemos que cada dado pessoal coletado pela empresa precisa ter um propósito, mas como esse processo é aplicado na prática? Se a empresa, no papel de controladora, define as atividades que contêm dados pessoais, ela deve definir a finalidade. Um bom exemplo é quando há processo seletivo de uma organização. Quando um candidato envia o seu currículo para candidatura ou preenche um formulário de determinada vaga divulgada pela empresa, ele está informando diversos dados pessoais que serão armazenados pela contratante. Essas informações foram coletadas com um propósito específico que é entender o perfil de candidatos às vagas da empresa e este propósito precisa ser definido no mapeamento.
“Cada vez que a empresa realiza a coleta ou a recepção de dados pessoais é uma atividade de tratamento. Então, se ela recepcionou currículos, esse é um processo a ser mapeado com finalidade definida. Posteriormente, quando uma pessoa for contratada e tiver que fornecer novos dados pessoais, este é outro processo a ser mapeado, o de contratação de colaborador com a finalidade de estabelecer o contrato de trabalho, além de outras informações que poderão ser utilizadas para outras finalidades como plano de saúde ou para outros benefícios que a empresa venha a oferecer. Cada processo tem a sua finalidade, e é importante que a empresa tenha isso com clareza em seus mapeamentos. E se estas informações não tem mais propósito na empresa, existe a possibilidade de descartá-las”, detalha Rebeca.
Identifique os dados necessários
Uma vantagem das organizações ao definir a finalidade de cada dado é conseguir dimensionar o que realmente é necessário coletar em cada processo. A necessidade de se ter determinados dados pessoais também se caracteriza em um princípio, o da necessidade, para se coletar dados que realmente importam para atender a finalidade determinada. Por exemplo, a empresa que pretende iniciar um recrutamento deve ter definido exatamente quais dados necessita e, assim, é possível evitar o armazenamento de informações irrelevantes.
Este armazenamento também impacta diretamente o detentor dos dados pessoais. “Cada pessoa pode questionar o porquê de ter que fornecer determinados dados às empresas. Seguindo o exemplo do processo seletivo, caso não seja uma ação afirmativa, ou seja, um processo de contratação direcionado às pessoas negras, por exemplo, solicitar a etnia de um candidato pode ser considerado um fator discriminatório. Por isso é importante a empresa ter conhecimento da finalidade de cada dado, porque ela só pode solicitar e armazenar o que é essencial para suas ações. Dados adicionais podem ser questionados não somente pelas pessoas envolvidas, mas inclusive pela entidade reguladora ANPD (Autoridade Nacional de Proteção de Dados)”, explica a especialista.
Diferencial no mercado
O mapeamento e a definição clara da finalidade dos dados estão gerando novas posturas e adequações na cultura organizacional, que podem ser diferenciais no mercado. “Existem empresas que realizam processo de recrutamento e seleção adequadas à LGPD e, ao informar às pessoas que não foram selecionadas, além de enviar uma mensagem de agradecimento, as empresas também avisam a cada candidato que realiza o descarte das informações pessoais durante esse processo seletivo. Essa postura é considerada como uma boa prática porque reforçou uma preocupação e uma segurança com os dados pessoais, e passa uma confiança a quem participou desse processo”, pontua.
Para que toda essa jornada seja bem-sucedida, a organização precisa envolver e integrar todas as áreas e parceiros externos. Contudo, é comum que as companhias encontrem dificuldades em identificar possíveis inconsistências na gestão de privacidade e segurança. Nesses casos, a presença de profissionais especializados é a melhor solução.
Como a Grant Thornton Brasil pode auxiliar a sua empresa?
Conte com as nossas equipes especializadas em privacidade e proteção de dados para adequar seus processos de maneira customizada em conformidade com a legislação e as necessidades do seu negócio
Entre em contato conosco