Como a empresa deve se preparar?
Analisar as entradas de dados;
Criar políticas de privacidade, Políticas de Cookies, Programa de Segurança da Informação, Plano de resposta à incidentes, Política de descarte com evidência, revisão de contratos, ferramentas e sites;
Criar guia de boas práticas, salvaguardas e minimização de riscos;
Criação e adequação de documentos à legislação, criação de cláusulas contratuais específicas;
Revisar os processos de tratamento de dados, exemplo: criação de fluxos e análise de gaps/ropa, inventário de dados, plano de ação;
Realizar treinamentos periódicos, com consultores certificados;
Nomear encarregado e comitê de privacidade de dados pessoais;
Gestão de riscos cibernéticos, exemplos: Fishing, Rasomware;
Prestação de contas por meio do RIPD em casos de vazamentos;
Utilizar ferramenta;
Criar LIA;
Executar práticas de due diligence.
Encarregado?
Pessoa física ou jurídica responsável pela "triangulação" entre - titular de dados pessoais, ANPD e o CONTROLADOR.
Pessoa que esclarece o titular de dados pessoais sobre seus questionamentos, mantém administração pública direta indireta/empresa informada, treinada e atualizada sobre as práticas em proteção de dados pessoais e, por fim, reporta-se à ANPD para atender as exigências requeridas dentro do prazo legal e sob orientação do controlador.
O ENCARREGADO/DPO, preferencialmente, deve ter conhecimentos em TI, fluxo de processos, legislação e bom relacionamento interpessoal.
Existe, também, o ENCARREGADO/DPO as a service (AaS), que é o profissional terceirizado e geralmente temporário para prestar os serviços descritos acima.
Esse profissional é fundamental e é citado expressamente na Lei Geral de Proteção de Dados n. 13.709/18