9 dicas práticas para adequar a sua empresa à LGPD
- Atualizado em 22 março, 2021
- Por Gatefy
- Blog, Dicas & Conselhos
A LGPD (Lei Geral de Proteção de Dados), sem dúvidas, muda o dia a dia de empresas brasileiras e estrangeiras. A lei prevê que as empresas que operam no Brasil tenham maior cuidado ao lidar com informações e dados pessoais.
Em outras palavras, a LGPD determina que as empresas sejam mais transparentes em relação ao uso de dados de clientes e usuários, mas não apenas isto. Ela também estipula regulamentações que envolvem privacidade e segurança.
A LGPD deve entrar em vigor em agosto de 2020. Como se trata de um assunto novo, tem provocado muitas dúvidas, principalmente por parte de empresários e gestores.
Pensando nisso, nós criamos uma lista com dicas práticas para que você possa adequar a sua empresa à lei de forma tranquila e sem grandes estresses e dores de cabeça. Até porque as multas por descumprimento da LGPD podem chegar a R$ 50 milhões por infração cometida. É muito dinheiro!
Assista também ao webinar da Gatefy sobre proteção de dados na LGPD.
Neste artigo, você vai ler mais sobre:
Quais tipos de empresas devem se adequar à LGPD?
Antes de entrarmos na nossa lista, vamos responder a essa pergunta importante: a LGPD se aplica a quais empresas? A LGPD se aplica a qualquer empresa que opera ou faz negócios no Brasil.
Todos os tamanhos estão inclusos: pequena, média e grande. Também todos os setores estão inclusos, como, por exemplo, empresas das áreas de tecnologia, de finanças, de saúde e de educação.
Este ponto, inclusive, tem gerado muitas discussões, já que alguns especialistas não vêm sentido que a lei seja válida da mesma forma tanto para empresas grandes quanto para empresas pequenas. Em contrapartida, eles sugerem que a lei deveria levar mais em conta o volume de dados coletados, processados e armazenados.
Um dos artigos da LGPD, porém, abre uma brecha neste sentido. Diz o artigo que a autoridade responsável pela aplicação da lei, chamada de ANPD (Autoridade Nacional de Proteção de Dados), pode editar normas e procedimentos diferenciados para microempresas e empresas de pequeno porte.
Confira dicas sobre como se adequar à LGPD
1. Entenda o fluxo de informações dentro da sua empresa
O primeiro passo para se enquadrar à LGPD é entender o fluxo de informações e dados pessoais dentro da sua empresa. Ou seja, onde, como e quais dados de usuários, clientes, parceiros e funcionários são coletados, usados e armazenados.
Um exemplo simples. A sua empresa é da área de saúde. Os pacientes preenchem uma ficha à mão com dados pessoais, como nome e telefone. Depois um funcionário da empresa passa esses dados para um sistema no computador.
Por fim, outra pessoa da empresa, como um médico ou um auxiliar administrativo, pode ter acesso a esses dados. Este é o princípio de um fluxo de informações. A sua empresa precisa de algo assim, mas mais amplo, detalhado e completo.
2. Escolha uma pessoa para ser a responsável pelos dados
A LGPD determina que as empresas criem a posição de DPO (Data Protection Officer). A lei chama o DPO de “encarregado”. O DPO é a pessoa responsável na empresa por intermediar a operação e o processamento dos dados.
Dentre as funções do DPO estão, por exemplo, orientar os funcionários da empresa sobre a política de segurança da informação e atuar como canal de comunicação entre a empresa, os donos dos dados e também a autoridade nacional.
A lei, no entanto, diz que a ANPD pode editar normas que dispensem a função de DPO dependendo do tamanho da empresa ou volume de processamento de dados.
3. Colete apenas informações essenciais para o seu negócio
A lei reforça muito a questão dos dados essenciais, ou da minimização da coleta. Isto quer dizer que a sua empresa deve coletar apenas informações que tenham real importância para o seu negócio.
Por exemplo, a LGPD considera inaceitável se, ao preencher o cadastro de uma loja de tênis, você seja obrigado a informar a sua origem étnica. Outro exemplo: algumas religiões não permitem tranfusão de sangue.
Sob a lei, o hospital ou clínica deve perguntar apenas se o paciente aceita fazer transfusão sanguínea; e não qual é a religião dele.
4. Seja claro em relação ao tempo de uso dos dados
Um conceito importante que deve ser levado em consideração quando o assunto é LGPD é o de término de tratamento dos dados. Segundo a lei, as empresas precisam definir um tempo de vida útil dos dados.
Ou seja, o término do tratamento de dados pessoais deve acontecer, basicamente, quando o objetivo estipulado pela empresa foi alcançado.
Passado esse período, sempre que possível, a informação deve ser anonimizada. Ou seja, ela deve ser desvinculada do dono, de modo que nunca possa se descobrir quem era o proprietário de tais informações.
5. Adeque o seu site e qualquer outro ponto de coleta de dado
A LGPD obriga que a sua empresa seja transparente. Na prática, você precisa deixar claro para o usuário quais são as suas intenções ao coletar e usar determinados dados. Além disso, ele precisa concordar com isso.
Vamos a mais um exemplo. Se você utiliza diferentes cookies no seu site para coletar qualquer tipo de informação do usuário, isto precisa ficar bem claro e evidente, e ter o consentimento dele. Só utilizar aquela típica frase “Ao usar este site você aceita cookies” já não é mais suficiente.
Sob a LGPD, você precisa deixar claro as tecnologias que usa, como o Google Analytics, o seu objetivo, o tempo de utilização dos dados e ainda campos para que o usuário possa editar as suas próprias configurações e acessar a política de privacidade da empresa.
6. Crie um canal de comunicação com os clientes e usuários
Segundo a lei, os clientes e usuários têm direito a saber como as suas informações têm sido utilizadas e até a exigir uma cópia delas. Além disso, eles podem exigir que dados sejam apagados, editados e até anonimizados, ou seja, desvinculados.
A empresa é responsável por cumprir essas solicitações a qualquer momento, desde, é claro, que não haja conflito com outras leis e determinações. Uma forma simples da sua empresa cumprir com esse ponto seria disponibilizar os contatos do DPO.
7. No caso de vazamento de dados, informe a autoridade e os titulares
Em casos de incidentes de segurança, a lei afirma que a empresa deve informar a autoridade nacional e os titulares dos dados.
A notificação deve incluir diferentes informações, tais quais os tipos de dados afetados, os riscos e as medidas que estão sendo tomadas para mitigar os efeitos do vazamento.
8. Adote soluções de proteção e prevenção de ataques e vazamentos
A lei é muito clara em relação à segurança da informação. Ela exige que as empresas utilizem medidas técnicas e administrativas para proteger os dados alheios. Por isso, é importante que a sua empresa se previna de ataques e ameaças.
Um bom começo seria adotar uma solução de proteção de e-mail. O e-mail é hoje a principal porta de entrada de ameaças. É preciso levar em conta também a proteção de redes e computadores, e o acesso à informação.
9. Crie um Relatório de Impacto à Proteção de Dados Pessoais
Existe um trecho na lei que fala de um documento chamado de Relatório de Impacto à Proteção de Dados Pessoais, que pode ser solicitado pela autoridade nacional. Para se precaver e estar em conformidade com a LGPD, a sua empresa vai precisar de um documento deste.
Basicamente, ele é um conjunto dos 8 pontos anteriores que a gente falou aqui neste post. É um documento descritivo que aborda o fluxo e o processamento das informações, incluindo medidas de segurança, de prevenção a incidentes e mecanismos de mitigação de riscos.
Podemos descrevê-lo como um manual de segurança da informação da sua empresa.
Conclusão
Não, não é fácil se adequar às determinações da LGPD. É preciso investir tempo e energia para entender e mapear o ciclo da informação dentro da sua empresa. As nossas dicas neste post são um norte interessante. Assim, você tem uma ideia melhor do que precisa ser feito e como deve ser feito.
Para terminar, como se trata de uma lei complexa, avalie a possibilidade de contar com ajuda especializada. É sempre melhor se prevenir.
