A maioria das empresas do Brasil atualmente sabem da necessidade de se adequarem à Lei Geral de Proteção de Dados (LGPD) que já está em vigor desde 2020. Em um país onde a segurança cibernética apresenta muita precariedade, essa lei se faz necessária e urgente.
Imagine uma empresa que ainda não realizou nenhum procedimento relacionado a proteção de seus dados. Ela precisa se adequar a essa lei com urgência, e, até que ela esteja em conformidade estará correndo grande risco de segurança e vazamento de seus dados, o que se traduz em multas e piora da sua imagem junto ao público.
O que é a Harpy Data Privacy?
Quando se trata de proteger os dados de sua empresa, nada mais lógico que contratar os serviços de uma consultoria de segurança cibernética que forneça todo esse processo com legitimidade e segurança.
A Harpy Data Privacy, ou simplesmente Harpy, é uma empresa com grande expertise em segurança cibernética, proteção de dados e privacidade, garantindo que o processo de adequação a LGPD seja mais assertivo. Ao ser contratada, realiza o mapeamento dos setores onde os dados do cliente estão armazenados, ou seja, do ciclo de dados da empresa.
Deste modo, a Harpy surgiu o propósito de ser um ecossistema completo em cibersegurança, conformidade com a LGPD e gestão de dados. Uma empresa que abraçou o compromisso de garantir ao cliente-empresa a solução ideal na geração de valor e proteção de seu negócio.
Seu ecossistema funciona com a seguinte estrutura:
- Adequação e Conformidade à LGPD/GDPR
- Cibersegurança e Infraestrutura
- Gestão de Governança, Risco e Compliance
- Desenvolvimento de Sistemas
Mais adiante veremos que essa adequação de dados é personalizada (customizável), moldando-se às necessidades de cada cliente. Também veremos no fim das contas que esse projeto de adequação irá necessariamente se integrar ao portal do titular.
Como é realizada a consultoria na HARPY?
A Harpy desenvolveu uma metodologia exclusiva para execução do processo de adequação de empresas, onde irá entender seu modelo de negócio para diagnosticar os principais pontos de fragilidades.
A consultoria da Harpy começa com um onboarding, onde todos os envolvidos recebem orientações sobre a importância e o passo a passo do projeto de adequação. Paralelamente a isso, realiza profundas rodadas de entrevistas com os gestores e com o time operacional a fim de compreender questões como:
- o ciclo de vida de dados da empresa;
- as bases legais para o tratamento de dados;
- o nível de maturidade dos processos;
- as linhas de defesas existentes;
- a proteção e adequação dos contratos;
- o nível de maturidade do time em relação a proteção de dados e privacidade;
- o arranjo tecnológico.
As entrevistas tem roteiro estabelecido e são feitas no sistema da Harpy, que escora o resultado a partir de uma inteligência própria que ela criou para assim ter uma visão real e integrada da empresa.
Com base nas informações obtidas nesses passos, ela monta um diagnóstico, ao fim do qual é realizada a adequação de fato.
O resultado desse diagnóstico(ou mapeamento) realizado em cada setor mostrará para a equipe de consultores e para o cliente o grau de exposição desta empresa a riscos.
É a partir de resultados mensuráveis que a Harpy indica as adequações necessárias para mitigar os riscos aos quais a empresa esteja exposta. E como cada empresa está em um momento diferente, as soluções são pensadas de maneiras customizáveis e alinhadas com o apetite orçamentário, sempre pensando em garantir o máximo de adequação e segurança ao cliente.
O trabalho a ser ofertado vai depender do grau de maturidade do negócio daquele cliente. Até mesmo porque, existem processos muito melhor mapeados do que outros, ou até mesmo graus diferentes de exposições de risco.
Em suma, será realizado um projeto customizado para implementação das melhorias e adequação de processos para aquela empresa, garantindo que ela atinja e mantenha a conformidade com menor custo e maior velocidade.
Cibersegurança e Infraestrutura
A Harpy possui uma equipe com certificação e conhecimento acumulado para estruturar, testar, corrigir e fazer um monitoramento constante de empresas, com a finalidade de garantir a segurança cibernética delas por meio da realização de testes regulares, simulação de ataques guiados e simulações periódicas de ataques em busca de vulnerabilidades que potencializam o sucesso de hackers.
Com o diagnóstico completo que ela fornece, as falhas são identificadas e um tratamento necessário e específico é indicado para minimizar o risco de invasão hacker.
A gestão de Governança, Risco e Compliance é nada menos que a adoção de um conjunto de práticas pelas quais as empresas se submetem visando reduzir ameaças. É o conjunto das ações estratégicas feitas na empresa que produzem contribuições como:
- organizar as operações;
- estruturação dos responsáveis e alçadas;
- consolidação de protocolos de respostas;
- potencializar o desempenho das atividades
- fazer com que os processos sejam transparentes;
- fortalecimento da cultura interna;
- realizar o mapeamento para diagnosticar possíveis ameaças que possam causar prejuízos aos negócios.
Um sistema sem o qual muitas empresas no mercado não conseguiriam sobreviver por muito tempo. Durante o processo de adequação, o time da Harpy fornece todas as orientações para que essas práticas sejam realizadas com eficiência pela empresa.
Com uma equipe especializada em definir estruturas corporativas sólidas para seus clientes e sua consultoria em GRC e em tecnologia, a Harpy garante a implementação das melhores práticas de mercado para que o negócio do cliente seja consistente em manter a qualidade de seus produtos de tecnologia. Em seu trabalho ela realiza:
- estabelecimento de políticas modernas;
- procedimentos padronizados;
- avaliação e preparação contra ameaças;
- estimula planos de continuidade de negócios;
- garante o cumprimento das leis e contratos que a empresa-cliente está inserida.
Estar em conformidade com a Lei Geral de Proteção de Dados (LGPD) requer um esforço contínuo que abrange toda a empresa, e é construído sobre quatro pilares:
- Cibersegurança;
- Treinamento e Cultura;
- Processos e GRC;
- Contratos e Jurídico.
O trabalho da Harpy é comparável ao de um médico: assim como cada profissional da saúde tem um direcionamento de tratamento para aplicar a seus pacientes com base no diagnóstico obtido, coisa semelhante é feita na Harpy em relação ao tratamento de dados da empresa deste cliente.
Quando o cliente conversa com a equipe de especialistas, esta já tem noções do problema que ele possui e aplica o diagnóstico para obter certeza e comprovação, fazendo um mapeamento área a área, processo a processo, dado a dado.
Paralelamente a isso, a Harpy também realiza nesta etapa o diagnóstico jurídico, que consiste em avaliar e adequar todos os contratos e inserir neles as devidas responsabilidades.
Feito isso, com a empresa de posse dos conhecimentos do que necessita ser feito para melhorar a proteção de seu sistema de informação, a equipe da Harpy aplica a fase final do projeto, que é a adequação de fato.
É quando a empresa coloca a mão na massa para adequar, aplicando as ações de governança, as ações de políticas de proteção, as adequações normativas, as adequações de processo e tecnologia – tudo isso enquanto a adequação jurídica ocorre em paralelo.
É nesta fase que são indicados para o cliente:
- A realização do treinamento gamificado (que veremos em outro momento);
- O acesso ao portal do titular para que sejam feitos os relatórios de risco e atendimento aos titulares;
- Utilização de uma ferramenta de governança, risco e conformidade, que ajuda o cliente a gerenciar incidentes, realizar avaliações de risco e garantir a conformidade. É o portal de risco da empresa, onde é feito o “DPIA” (Data Protection Impact Assessment), um documento obrigatório que descreve o tratamento dos dados pessoais, uma espécie de relatório de risco de dados.
- Melhorias nos ativos tecnológicos e vulnerabilidades de infraestrutura;
- Consolidação das estruturas de Governança, Risco e Compliance.
Ao realizar todo esse processo, o cliente consegue perceber o ganho neste investimento, pois ao final do diagnóstico, a consultoria gera um BI (Business Intelligence) onde mostra a situação atual da empresa e sua vulnerabilidade. Ao final do projeto, tudo é testado novamente e comparado com o BI inicial.
E as fases física e jurídica do processo sempre ocorrem simultaneamente (para que haja ganho de tempo).
Serviço de DPO
O Data Protection Officer, ou simplesmente DPO, é o nome que se dá aos encarregados de cuidar das questões referentes à proteção dos dados da organização e de seus clientes, trabalho este que é exercido com excelência pela Harpy.
Sua função é auxiliar empresas a adaptarem seus processos para estruturar um programa de compliance com o objetivo de aumentar a segurança das informações que estão sob a sua responsabilidade.
O DPO pode atuar em qualquer companhia privada ou órgão público que sinta a necessidade de ter alguém responsável para tratar e processar os dados pessoais que elas armazenam.
E como encarregado de dados, o DPO é a figura central na gestão da relação entre os titulares, empresa e reguladores. Suas responsabilidades se concentram principalmente nas seguintes ações:
- Conduzir o atendimento do público;
- Diligenciar e solucionar o tratamento de dados em âmbito corporativo;
- Participar na concepção de produtos e processos para garantir conformidade a privacidade;
- Ser o principal ponto de contato junto à Agência Nacional de Proteção de Dados.
O serviço de DPO em seu dia a dia operacional se interliga com o do portal do titular, como veremos a seguir, assim como também com o processo de adequação, consistindo em um dos seus sistemas.
A Harpy em seu papel de DPO realiza a gestão de dados de empresas de maneira responsável e segura, atendendo rigorosamente a todos os requisitos da Lei.
Desenvolvimento de sistemas
A Harpy oferece soluções em termos de sistemas com o objetivo de:
- impulsionar novos negócios;
- aperfeiçoar controles;
- otimizar fluxos de processos;
- transformar a forma como a empresa executa suas rotinas do dia a dia.
O enfoque de seu trabalho é realizá-lo a quatro mãos com seus clientes e fornecer soluções personalizadas às suas necessidades. É uma empresa de consultoria com expertise na construção de sistemas para qualquer empresa e elabora desde a concepção de um novo sistema até a criação de um sistema complementar que necessite ser integrado às demais soluções do cliente.
O Portal do Titular da Informação, ou apenas Portal do Titular consiste em um sistema integrado a uma plataforma gerenciadora, que permite que o titular da informação tenha todos os seus direitos garantidos pelo controlador. O termo está disposto no Art. 18 da Lei Geral de Proteção de Dados (LGPD), Nº 13.709 de 14 de agosto de 2018.
É neste ponto que ela se interliga ao processo de adequação de dados, pois sua adoção pelas empresas consolida o cumprimento da lei. O DPO sempre que necessário irá acessá-la para realizar mapeamentos, análises e manutenção.
Através do Portal do Titular, o indivíduo que é titular de dados poderá solicitar à empresa a qual ele forneceu seus dados, toda e qualquer informação referente a dados pessoais de sua titularidade que se encontrem nos sistemas ou na base de dados desta empresa, tudo em conformidade com a Lei acima descrita.
Além de solicitar acesso aos dados, é possível realizar correção, anonimização, portabilidade, eliminação e o registro de compartilhamentos que tenham ocorrido. Tudo pode ser realizado em uma área compartilhada e incorporada à sua solução ou organização através de APIs ou apenas canais de comunicação.
Seu funcionamento se dá com uma empresa elaborando uma página específica em site, aplicativo, etc., para falar sobre como ocorre o tratamento dos dados pessoais.
A criação desse portal também serve para estreitar as relações entre o titular e a empresa, pois permitirá que o titular de dados saiba mais a respeito da política de governança de dados da empresa.
Para seu pleno funcionamento e eficiência, o Portal do Titular deve conter ou facilitar:
- Todas as informações que o titular tem o direito de saber;
- Meios possíveis e válidos para que o titular tenha contato direto com a área que trata os seus dados na empresa;
- Facilidade Para solicitar a exclusão de dados por parte do titular, caso ele queira.
É importante que todo titular de dados tenha conhecimento de que seus direitos referentes à proteção de dados estão assegurados pela Lei Geral de Proteção de Dados, como mencionado no início.
A autodeterminação dada ao titular de dados é um dos princípios mais poderosos da LGPD. Ele consiste em nada mais que dar o poder de escolha sobre as informações e os dados pessoais que a empresa tem sob sua confiança e controle.
Ou seja, o poder da empresa sobre os dados do indivíduo pode acabar quando ele determinar!
E quando uma empresa divulga para o titular toda a forma como ela trata os dados que são confiados a ela, abrindo inclusive a possibilidade do titular poder corrigir ou atualizar informações ou mesmo solicitar que seus dados sejam excluídos, deixa evidente a sua preocupação em estar em conformidade com a LGPD.
Assim sendo, a criação de um portal do titular de dados é imensamente positiva para a imagem da empresa diante de seus clientes, pois com isso ela cria uma rede de interação com eles podendo ouvi-los, ação que permite uma experiência do usuário com essa empresa.
Com isso, esta empresa também se destaca positivamente diante do órgão de fiscalização da LGPD denominado ANPD (Autoridade Nacional de Proteção de Dados), visto que as empresas que não transparecem clareza sobre o armazenamento e manuseio de dados a seus titulares podem ser penalizadas com:
- Multa que pode chegar a 2% sobre o faturamento da empresa, com teto de 50 milhões de reais por infração;
- Eliminação obrigatória dos dados pessoais – a empresa pode ser obrigada a eliminar por completo os dados coletados em sua base, dependendo da infração cometida.
Essas são algumas das penalidades e sanções que a LGPD impõe àquelas empresas que não cumprem com o que está sendo determinado pela lei.
Tudo o que foi exposto assinala a plena relevância de uma empresa ter um portal do titular de dados, tanto perante os órgãos de fiscalização da lei, quanto aos olhos dos próprios clientes, que constantemente serão beneficiados com o conteúdo do portal.
A Mandatly é uma plataforma que fornece o software de gerenciamento de privacidade utilizado pela Harpy, o que permite a esta cumprir o papel de gerenciar a privacidade de dados e observar as leis relacionadas de maneira adequada e eficiente.
A Harpy é a única empresa de consultoria no Brasil que é representante da Mandatly para realizar o serviço de portal do titular.
A plataforma apresenta uma metodologia única que garante tratamento e proteção de dados aos clientes a partir da conformidade em consultoria com LGPD, processos e utilização das mais diversas tecnologias.
Com seu trabalho de DPO, a Harpy realiza em parceria com a Mandatly, e em conjunto com seus clientes as melhores soluções de cibersegurança, proteção de dados e privacidade em suas rotinas e ativos tecnológicos, desenvolvendo nas empresas uma cultura de conhecimento de aspectos ligados à LGPD nos mais diversos níveis organizacionais.
Se você tem interesse em entender mais a respeito da experiência positiva que seu cliente possa ter realizando a adequação de sua empresa à LGPD, ou se deseja criar um portal de transparência entre os titulares dos dados da sua empresa e as políticas de privacidade que ela adota, realize agora mesmo um diagnóstico para que você possa aperfeiçoar os serviços de seu negócio e aumentar a sua segurança jurídica.