A LGPD (Lei Geral de Proteção de Dados Pessoais) é uma lei que visa garantir que os dados e informações de usuários sejam mantidos privados pelas empresas em que estão cadastrados.
Entre suas atribuições, a LGPD também prevê como uma companhia deve tratar os dados de seus clientes, determinando como serão os processos para armazenar, processar e transferir estes dados.
No Brasil, é importante que as empresas se atentem ao assunto, pois a partir de agosto de 2020, as infrações cometidas contra as regras da LGPD ensejarão duras penalidades.
Neste artigo, separamos os 5 passos para que você adeque seu negócio a LGPD e não sofra com sanções futuras. Confira agora mesmo!
1 – Entenda os princípios básicos da LGPD
É importante definirmos o que a LGPD entende como dado pessoal. Segundo a legislação, dado pessoal é qualquer informação relacionada a pessoa natural identificada ou identificável, ou seja, qualquer dado pelo qual você consiga identificar uma pessoa ou que com a união de outro dado possibilite essa identificação.
Entendendo o que a LGPD define como dado pessoal, ela define e regulariza o tratamento de dados pessoais e esclarece para empresas quando essas podem tratar os dados. Dessa forma, são estabelecidas regras que dão direito à uma empresa tratar dados.
Essas regras são praticamente a LGPD em sua totalidade, pois, através delas, se delimita a linha entre o tratamento legal e ilegal de dados, evitando que entidades possam usar brechas para manipular dados pessoais.
Essas regras são chamadas de justificativas na LGPD e devem estar destacadas no momento que o usuário/cliente irá ceder seus dados. A determinação é que, se uma empresa quer usar o consentimento do usuário como justificativa para tratar dados pessoais, esse consentimento dado pelo usuário deve ser inequívoco.
Isso significa que a cláusula do consentimento não deve vir entrelinhas, escondida nos extensos termos e condições que comumente são utilizados pelas empresas.
A LGPD também tem como objetivo proteger o crédito do consumidor. Antes da lei, instituições financeiras trabalhavam com um sistema que tratava os dados de clientes. Neste tipo de sistema, chamado opt-out, o cliente de um banco, por exemplo, já tem seus dados financeiros comunicados entre bancos sem ele pedir.
Com o surgimento da LGPD, o cliente precisará autorizar essa troca de informações entre as instituições financeiras.
Como o assunto é extenso e exige maior atenção, o próprio Senado Federal disponibiliza uma apresentação que consta os principais pontos, com dicas para práticas saudáveis referente aos dados de clientes.
Entender estes princípios básicos, além de evitar multas permite que o gestor consiga visualizar como isso impactará no negócio, permitindo pensar em estratégias para aproveitar as novas situações.
Isso nos leva diretamente a nossa segunda dica, logo abaixo.
2 – Capacitação da equipe para se adequar a LGPD
Capacitar sua equipe para a realidade da LGPD é questão de sobrevivência. E não é exagero pensar desta forma!
Se a equipe não estiver alinhada com os ideias da LGPD, os resultados podem ser catastróficos. Trazendo para uma situação que toda empresa passou nos anos 2000, seria como não ter treinamento para a empresa emitir notas fiscais eletrônicas.
As implicações do desconhecimento dessas situações podem trazer sérios riscos para a empresa.
Estudos indicam que a maior causa de vazamento de informações de uma empresa não são por conta de ataques de hackers, mas sim a falha humana. Treinar a equipe que irá cuidar dos dados da sua empresa faz com que os riscos desse problema ocorrer sejam minimizados.
3 – Mapeie os processos internos da empresa
Os processos de uma empresa são tão importantes quanto os dados de clientes na LGPD. Isso porque, se houver alguma falha em um destes processos, é possível que tenha vazamento de informações.
Mapear os processos é o primeiro passo para que sua empresa esteja no próximo nível quando falamos sobre LGPD. Deve também haver a implementação de políticas e normas de conduta relacionadas à coleta, tratamento e armazenamento de dados. Tudo sempre alinhado ao que é exigido pela lei.
Com o mapeamento completo dos processos, fica mais fácil identificar os problemas e quais são as áreas mais sensíveis da empresa. Consequentemente, são essas áreas que possuem maior risco de vazamento de informações por exemplo.
Com a análise destas áreas, é possível implementar políticas de correção e prevenção, aumentando assim as chances de não ocorrer nenhum tipo de problema com os dados.
4 – Conta com o auxílio de um Data Protection Officer
Com o avanço da tecnologia, surgem novas profissões. Uma destas profissões é o Data Protection Officer (DPO). Um DPO precisa ter conhecimento especializado em leis e as práticas de proteção de dados.
Este profissional precisa ter compreensão no funcionamento interno e na infraestrutura de TI, dos sistemas de gerenciamento de informações, além de estar inserido em todos os processos do negócio que estejam ligados à dados dos clientes.
Para se tornar um profissional pleno em Data Protection Officer, é necessário que se tenha três certificações, reconhecidas em nível mundial. No Brasil, já existem diversos cursos preparatórios para esses exames.
- Information Security Foundation (ISFS) based on ISO 27001;
- Privacy & Data Protection Foundation (PDPF);
- Privacy & Data Protection Practitioner (PDPP).
Como este cargo ainda é uma novidade para a maioria das empresas brasileiras, as principais funções exercidas pelo DPO acabam se baseando no que é feito no exterior, como as funções a seguir:
- Informar e aconselhar o controlador ou o processador e os seus funcionários sobre as suas obrigações em relação ao GDPR/LGPD;
- Monitorar a conformidade com o GDPR/LGPD. Isso inclui supervisionar documentação, processos e registros;
- Fornecer aconselhamento, quando solicitado, no que diz respeito à Avaliação de Impacto sobre a Proteção de Dados (AIPD);
- Atuar como um ponto de contato para solicitações de indivíduos com relação ao processamento de seus dados pessoais e ao exercício de seus direitos;
- Cooperar com as autoridades de proteção de dados (APDs) e atuar como um ponto de contato com as APDs em questões relativas ao processamento de dados pessoais na organização.
Devido ao alto grau de especialização, muitas empresas no país passam a terceirizar esse tipo de função, para consultorias especializadas que agrupam vários DPOs.
Além disso, é altamente recomendado que se tenha um auxílio jurídico para que não se corra riscos quanto as práticas de dados em sua organização.
Uma consultoria jurídica evitará ações e penalidades, além de ser um poderoso aliado para o próprio DPO, maximizando assim a segurança das informações e cumprimento das normas.
5 – Deixe claro o objetivo da coleta de dados
Para não correr riscos desnecessários, como ser acusado de captura de dados não permitidos, é interessante que a empresa crie formas de se comunicar claramente com seu cliente.
Caso seja necessária a coleta de dados para qualquer tipo de situação, o indicado é que a organização deixe isso claro antes da coleta ser efetuada. Com isso, o potencial cliente estará ciente que irá disponibilizar seus dados para determinada situação.
Para maior segurança, é interessante ainda que a empresa se preocupe em deixar claro também o porque está coletando os dados. Ao pedir um endereço de email por exemplo, a empresa pode especificar que é para o cadastro em uma lista de newsletter.
Você gostou das nossas dicas para você se adequar a LGPD? Qual dica você acha que faltou em nosso artigo?
Nos conte nos comentários e não esqueça de nos seguir nas redes sociais!
Link permanente