9 dicas práticas para adequar a sua empresa à LGPD

Checklist de adequação à LGPD
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no reddit
Compartilhar no whatsapp

A LGPD (Lei Geral de Proteção de Dados), sem dúvidas, muda o dia a dia de empresas brasileiras e estrangeiras. A lei prevê que as empresas que operam no Brasil tenham maior cuidado ao lidar com informações e dados pessoais.

Em outras palavras, a LGPD determina que as empresas sejam mais transparentes em relação ao uso de dados de clientes e usuários, mas não apenas isto. Ela também estipula regulamentações que envolvem privacidade e segurança.

A LGPD deve entrar em vigor em agosto de 2020. Como se trata de um assunto novo, tem provocado muitas dúvidas, principalmente por parte de empresários e gestores.

Pensando nisso, nós criamos uma lista com dicas práticas para que você possa adequar a sua empresa à lei de forma tranquila e sem grandes estresses e dores de cabeça. Até porque as multas por descumprimento da LGPD podem chegar a R$ 50 milhões por infração cometida. É muito dinheiro!

Assista também ao webinar da Gatefy sobre proteção de dados na LGPD.

Neste artigo, você vai ler mais sobre:

Inscreva-se no blog da Gatefy

Quais tipos de empresas devem se adequar à LGPD?

Antes de entrarmos na nossa lista, vamos responder a essa pergunta importante: a LGPD se aplica a quais empresas? A LGPD se aplica a qualquer empresa que opera ou faz negócios no Brasil.

Todos os tamanhos estão inclusos: pequena, média e grande. Também todos os setores estão inclusos, como, por exemplo, empresas das áreas de tecnologia, de finanças, de saúde e de educação.

Este ponto, inclusive, tem gerado muitas discussões, já que alguns especialistas não vêm sentido que a lei seja válida da mesma forma tanto para empresas grandes quanto para empresas pequenas. Em contrapartida, eles sugerem que a lei deveria levar mais em conta o volume de dados coletados, processados e armazenados.

Um dos artigos da LGPD, porém, abre uma brecha neste sentido. Diz o artigo que a autoridade responsável pela aplicação da lei, chamada de ANPD (Autoridade Nacional de Proteção de Dados), pode editar normas e procedimentos diferenciados para microempresas e empresas de pequeno porte.

Confira dicas sobre como se adequar à LGPD

1. Entenda o fluxo de informações dentro da sua empresa

O primeiro passo para se enquadrar à LGPD é entender o fluxo de informações e dados pessoais dentro da sua empresa. Ou seja, onde, como e quais dados de usuários, clientes, parceiros e funcionários são coletados, usados e armazenados.

Um exemplo simples. A sua empresa é da área de saúde. Os pacientes preenchem uma ficha à mão com dados pessoais, como nome e telefone. Depois um funcionário da empresa passa esses dados para um sistema no computador.

Por fim, outra pessoa da empresa, como um médico ou um auxiliar administrativo, pode ter acesso a esses dados. Este é o princípio de um fluxo de informações. A sua empresa precisa de algo assim, mas mais amplo, detalhado e completo.

2. Escolha uma pessoa para ser a responsável pelos dados

A LGPD determina que as empresas criem a posição de DPO (Data Protection Officer). A lei chama o DPO de “encarregado”. O DPO é a pessoa responsável na empresa por intermediar a operação e o processamento dos dados.

Dentre as funções do DPO estão, por exemplo, orientar os funcionários da empresa sobre a política de segurança da informação e atuar como canal de comunicação entre a empresa, os donos dos dados e também a autoridade nacional.

A lei, no entanto, diz que a ANPD pode editar normas que dispensem a função de DPO dependendo do tamanho da empresa ou volume de processamento de dados.

3. Colete apenas informações essenciais para o seu negócio

A lei reforça muito a questão dos dados essenciais, ou da minimização da coleta. Isto quer dizer que a sua empresa deve coletar apenas informações que tenham real importância para o seu negócio.

Por exemplo, a LGPD considera inaceitável se, ao preencher o cadastro de uma loja de tênis, você seja obrigado a informar a sua origem étnica. Outro exemplo: algumas religiões não permitem tranfusão de sangue.

Sob a lei, o hospital ou clínica deve perguntar apenas se o paciente aceita fazer transfusão sanguínea; e não qual é a religião dele.

4. Seja claro em relação ao tempo de uso dos dados

Um conceito importante que deve ser levado em consideração quando o assunto é LGPD é o de término de tratamento dos dados. Segundo a lei, as empresas precisam definir um tempo de vida útil dos dados.

Ou seja, o término do tratamento de dados pessoais deve acontecer, basicamente, quando o objetivo estipulado pela empresa foi alcançado.

Passado esse período, sempre que possível, a informação deve ser anonimizada. Ou seja, ela deve ser desvinculada do dono, de modo que nunca possa se descobrir quem era o proprietário de tais informações.

5. Adeque o seu site e qualquer outro ponto de coleta de dado

A LGPD obriga que a sua empresa seja transparente. Na prática, você precisa deixar claro para o usuário quais são as suas intenções ao coletar e usar determinados dados. Além disso, ele precisa concordar com isso.

Vamos a mais um exemplo. Se você utiliza diferentes cookies no seu site para coletar qualquer tipo de informação do usuário, isto precisa ficar bem claro e evidente, e ter o consentimento dele. Só utilizar aquela típica frase “Ao usar este site você aceita cookies” já não é mais suficiente.

Sob a LGPD, você precisa deixar claro as tecnologias que usa, como o Google Analytics, o seu objetivo, o tempo de utilização dos dados e ainda campos para que o usuário possa editar as suas próprias configurações e acessar a política de privacidade da empresa.

6. Crie um canal de comunicação com os clientes e usuários

Segundo a lei, os clientes e usuários têm direito a saber como as suas informações têm sido utilizadas e até a exigir uma cópia delas. Além disso, eles podem exigir que dados sejam apagados, editados e até anonimizados, ou seja, desvinculados.

A empresa é responsável por cumprir essas solicitações a qualquer momento, desde, é claro, que não haja conflito com outras leis e determinações. Uma forma simples da sua empresa cumprir com esse ponto seria disponibilizar os contatos do DPO.

7. No caso de vazamento de dados, informe a autoridade e os titulares

Em casos de incidentes de segurança, a lei afirma que a empresa deve informar a autoridade nacional e os titulares dos dados.

A notificação deve incluir diferentes informações, tais quais os tipos de dados afetados, os riscos e as medidas que estão sendo tomadas para mitigar os efeitos do vazamento.

8. Adote soluções de proteção e prevenção de ataques e vazamentos

A lei é muito clara em relação à segurança da informação. Ela exige que as empresas utilizem medidas técnicas e administrativas para proteger os dados alheios. Por isso, é importante que a sua empresa se previna de ataques e ameaças.

Um bom começo seria adotar uma solução de proteção de e-mail. O e-mail é hoje a principal porta de entrada de ameaças. É preciso levar em conta também a proteção de redes e computadores, e o acesso à informação.

9. Crie um Relatório de Impacto à Proteção de Dados Pessoais

Existe um trecho na lei que fala de um documento chamado de Relatório de Impacto à Proteção de Dados Pessoais, que pode ser solicitado pela autoridade nacional. Para se precaver e estar em conformidade com a LGPD, a sua empresa vai precisar de um documento deste.

Basicamente, ele é um conjunto dos 8 pontos anteriores que a gente falou aqui neste post. É um documento descritivo que aborda o fluxo e o processamento das informações, incluindo medidas de segurança, de prevenção a incidentes e mecanismos de mitigação de riscos.

Podemos descrevê-lo como um manual de segurança da informação da sua empresa.

Conclusão

Não, não é fácil se adequar às determinações da LGPD. É preciso investir tempo e energia para entender e mapear o ciclo da informação dentro da sua empresa. As nossas dicas neste post são um norte interessante. Assim, você tem uma ideia melhor do que precisa ser feito e como deve ser feito.

Para terminar, como se trata de uma lei complexa, avalie a possibilidade de contar com ajuda especializada. É sempre melhor se prevenir.

Phishing: a maior ameaça do mundo
Faça o download deste ebook para entender tudo sobre phishing, das características às técnicas mais usadas.
Compartilhe este post
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no reddit
Compartilhar no whatsapp
Inscreva-se no nosso blog
Não esqueça de compartilhar este post
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no reddit
Compartilhar no whatsapp
Notícias Relacionadas