LGPD: Como Implementar? Essa tem sido uma das principais dúvidas entre profissionais da tecnologia da informação e empresários nos últimos meses.
A auditoria e implementação de novos processos, afinal, sempre é uma operação de larga escala. Se você está se preocupando sobre como garantir que sua empresa não sofrerá penalidades, não está sozinho. Mas não se preocupe. Pensando nessa dificuldade, criamos esse guia completo sobre LGPD: como implementar na sua empresa.
A seguir, vamos discutir o que é a nova lei e o que ela abrange. Além disso, você encontra um passo a passo de como implementar a LGPD de maneira simples e eficaz.
O que é a LGPD?
A LGPD, ou Lei Geral de Proteção de Dados, refere-se a Lei Nº 13.709, de 14 de agosto de 2018.
Esse é um direito concedido pela constituição de 88. No entanto, com tanta mudança na tecnologia e na maneira que lidamos com dados e informações, uma atualização se fez necessária.
A LGPD, então, foi redigida visando a defesa dos direitos do consumidor em relação ao uso de seus dados pessoais por empresas e órgãos governamentais.
Quem deve se adequar à LGPD?
A LGPD, apesar de abordar temáticas específicas à segurança da informação, irá afetar empresas de todos os setores. Isso porque todas as instituições brasileiras, públicas e privadas deverão adequar-se às novas normativas.
Se você estiver interessado, o Art. 3º e 4º da LGPD definem a aplicação da lei e suas exceções.
No geral, se sua empresa coleta ou armazena qualquer tipo de dado pessoal dos seus clientes, é necessário realizar a adequação. Isso inclui cadastros para programas de fidelidade, listas de email e contatos para suporte.
Assim, podemos dizer que virtualmente todas as empresas brasileiras precisarão passar por auditoria e mudanças para evitar penalizações.
A seguir, você encontra 15 passos simples para garantir que você não vai esquecer de nada. Assim, a implementação da LGPD fica mais simples e você pode ficar tranquilo. Vamos lá:
#Passo 1: Estude a LGPD
O primeiro passo no nosso Guia LGPD: Como Implementar, é justamente entender a nova lei. E isso não significa apenas ler o texto na íntegra.
Antes de continuar, é preciso entender quais são as obrigações legais da sua empresa. Assim, é muito mais simples identificar processos inadequados ou entender como realizar as mudanças necessárias sem abalar a estrutura dos seus processos.
#Passo 2: Abra um Canal de comunicação no seu Site
A comunicação transparente com seus cientes é fundamental. Com a implementação da LGPD, os titulares de dados passam a ter alguns direitos em relação a isso. Então, pode ser que você receba algumas solicitações mais específicas, que sua empresa precisa estar preparada para atender.
Veja alguns ajustes importantes para realizar nos canais de comunicação:
Confirmação e Acesso aos Dados
O titular tem direito de acessar todos os seus dados pessoais coletados pelo controlador. Por isso, é importante que ele possa verificar quais dados estão sendo utilizados pela sua empresa, quais são eles e por que são necessários.
Retificação
A correção de dados incompletos, errados ou desatualizados também é um direito. Assim, seus clientes precisam ter a opção de alterar todos os dados pessoais guardados pela sua empresa.
Restrição de tratamento
O titular poderá consentir para alguns tipos de tratamento de dados, e não para outros. Por exemplo, pode concordar que sua empresa guarde seu e-mail para o envio de atualizações sobre suas compras, mas não para newsletter. Dessa forma, cada tipo de tratamento deve pedir consentimento expresso do cliente.
Cancelamento ou Exclusão
Seus clientes têm o direito de pedir o cancelamento ou exclusão de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
Portabilidade
Os titulares têm o direito de transferir os seus dados pessoais de um controlador para outro.
Revogação de Consentimento
Seus clientes têm o direito de revogar a autorização para o tratamento de seus dados pessoais a qualquer momento. Isso é, bastando apenas uma manifestação expressa, por procedimento gratuito e facilitado.
Oposição
O dono tem o direito de se opor a quaisquer tratamentos e informações que não estejam em conformidade com a lei, assim como as decisões automatizadas que afetem seus interesses. Um exemplo são decisões destinadas a definir seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
Explicação
O titular dos dados tem direito a receber informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados pela sua empresa. Isso é, seu site deve ser transparente quanto ao uso dos dados pessoais e processos envolvidos em sua guarda.
Direito à informação
O titular tem o direito de receber informações sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados. Assim, seu cliente deve ter acesso a todas as entidades que possuem acesso a seus dados pessoais.
#Passo 3 Habilite Consentimentos de Cookies no Seu Site.
Como você viu, um dos mais importantes pontos da LGPD é o consentimento do titular para que sua empresa lide com seus dados pessoais. E um dos requisitos mais importantes é compreender o qual é a definição de consentimento e quais as características definidas pela LGPD para consentimento do usuário.
Primeiramente, ele deve ser livre. Ou seja, o usuário deve ter pleno controle de seus dados pessoais. Assim, o usuário deve optar por aceitar ou recusar os vários tipos de cookies – informações utilizadas pelo site. Esse deve ser um procedimento fácil e que permite a escolha de quais dados fornecer ou não. O usuário também deve ter a opção de retirar o consentimento a qualquer momento.
#Passo 3: Identifique as leis que você deve cumprir
É fundamental, além de entender o texto da lei, identificar nele quais são as responsabilidades legais da sua empresa.
Segundo o Art 6º da LGPD, elas são:
Coletar e armazenar apenas os dados essenciais para a prestação dos serviços.
Oferecer transparência ao titular sobre a finalidade de seus dados, bem como quais agentes possuem acesso à informação e quais são as medidas tomadas para garantir sua segurança.
Garantir a segurança da informação e implementar medidas de prevenção ao vazamento, perda ou uso inadequado dos dados.
Esse é apenas um resumo. No total, são 10 itens que definem as responsabilidades da empresa com os dados pessoais.
#Passo 4: Desenhe o fluxo da entrada de informações pessoais
Agora, você já entende melhor o que deve ser feito. Então, é hora de revisar o caminho das informações pessoais na sua empresa, começando pela entrada dos dados.
Isso é, quais são os dados coletados durante os processos da sua empresa? Eles são essenciais para as operações realizadas?
Também é importante mapear todo o caminho dessas informações. Para simplificar:
Quais dados sua empresa coleta?
Porque esses dados precisam ser obtidos?
Quem faz a coleta desses dados?
Onde esses dados serão armazenados?
Como e por quem serão utilizados?
Quais serão as medidas de segurança implementadas para proteção da informação?
Quais serão os processos para assegurar a transparência com o titular?
#Passo 5: Mapeamento dos riscos em relação ao tratamento dos dados
Com o caminho dos dados elaborado, é hora de identificar possíveis riscos. Por exemplo, o software utilizado para gestão dos dados é seguro? O servidor onde você armazena as informações está protegido contra ataques?
Também vale lembrar: sempre que pensamos em risco, a mente vai direto ao hacker ou usuário mal-intencionado. Mas vazamento de dados também ocorre devido a práticas indevidas, ou até mesmo uma equipe sem treinamento.
Lembre-se de incluir todas as possibilidades no seu mapeamento de riscos.
#Passo 6: Elabore um relatório de impacto
Como você certamente sabe, toda mudança em processos poderá causar problemas com a infraestrutura da empresa. Será necessário estabelecer um período de transição, treinamento e auditoria, por exemplo.
A chave para não sofrer um baque com as alterações é estar preparado. Por isso, um relatório de impacto se faz fundamental.
#Passo 7: Crie uma política de segurança
A segurança da informação é, principalmente, preventiva. Isso porque não há muito que e pode fazer uma vez que os dados foram comprometidos.
Assim, é importantíssimo ter em prática políticas de segurança. Elas devem começar desde o software utilizado e vulnerabilidades em seu código até o treinamento de colaboradores para lidar com as informações.
#Passo 8: Crie uma política de privacidade
A política de privacidade é um importante documento. Nele, ficam especificados todos os detalhes sobre a coleta, uso e armazenamento de dados da sua empresa. Bem como as medidas em vigor para a proteção das informações.
Esse documento deve ser de fácil acesso para clientes e o público geral.
#Passo 9: Atualize documentos internos e canais de comunicação
A transparência sobre sua política de segurança de dados também é um aspecto importante na LGPD.
A responsabilidade de manter o cliente informado sobre essas medidas é, por lei, da sua empresa. Por isso, é importante que todos os materiais de comunicação estejam em dia.
#Passo 10: Solicite as autorizações dos usuários
Um dos mais importantes fatores da LGPD é que sua empresa pode usar dados pessoais apenas sob autorização do titular.
Isso é, o cliente deve autorizar o uso da informação. Para isso, sua empresa deve ser transparente sobre a finalidade do dado coletado, as medidas de segurança adotadas e os agentes que terão acesso à informação.
Por exemplo, se sua empresa coleta um email para envio de um material promocional específico, como um ebook, não poderá utilizar o contato para outros fins, como envio de email marketing. A não ser, é claro, que o titular ofereça uma autorização explícita para isso.
#Passo 11: Treine as equipes e profissionais para a proteção dos dados
O treinamento dos seus colaboradores é fundamental para garantir que não hajam problemas com a segurança de dados. Afinal, as ameaças para a segurança não são apenas hackers e pessoas mal intencionadas. Acidentes devido à falta de informação também podem causar grandes estragos.
#Passo 12: Formalize uma área de compliance
O departamento de compliance visa garantir que a empresa está cumprindo todas as leis, regras e regulamentos aplicáveis em suas atividades.
Um setor formalizado na empresa ajuda a evitar as multas e penalizações, não apenas no setor de segurança da informação.
#Passo 13: Exija que seus fornecedores tenham uma área de compliance para a proteção dos dados
Muitas empresas utilizam soluções terceirizadas para o armazenamento de dados, sistemas de vendas e marketing e até mesmo gestão de TI.
Assim, é importante garantir que todos os seus fornecedores estejam alinhados com as novas exigências. Isso porque, no caso de incidentes com dados pessoais, sua empresa também poderá ser responsabilizada.
#Passo 14: Forme ou contrate um DPO
O DPO é um profissional especializado na segurança de dados pessoais. Dependendo do tamanho da sua empresa, sua melhor opção pode ser contratar um especialista no assunto.
Tenha em mente que, atualmente, existem muitos cursos de capacitação de curta duração com foco na LGPD. Assim, capacitar um profissional que já está na sua equipe também é uma alternativa viável.
#Passo 15: Utilize o princípio de privacy by design na criação de novos produtos
O conceito de privacy by design visa incorporar medidas de privacidade e segurança dos dados pessoais em todos os projetos desenvolvidos. Isso é, essa preocupação é tida como central no processo de desenvolvimento de novos produtos e serviços.
Dessa maneira, é mais fácil manter seus processos dentro das normas.
RESUMINDO
Confira os passos para ficar compatível com a Lei Geral de Proteção de Dados Pessoais (LGPD) e, assim, não desrespeitar os direitos de seus funcionários e de seus clientes, que são os donos dos dados pessoais utilizados por sua empresa:
Nomear os “técnicos” do time
A LGPD prevê os agentes de tratamento de dados pessoais: tem o controlador, que é a quem compete as decisões relativas ao tratamento; tem o operador, que é quem realiza o tratamento, em nome do controlador. Há ainda o encarregado que, com autonomia e estabilidade, é o responsável por atender as demandas dos titulares, interagir com a autoridade nacional (ANPD) e orientar funcionários e contratados quanto às práticas de proteção de dados pessoais – e ele poderá ou não ser exigido, a depender da natureza ou porte da empresa e do volume de dados tratados por ela.
Gerir os dados e respeitar a privacidade
Identifique, entre as informações que gerencia, quais são dados pessoais (cheque também se há aqueles que exigem um tratamento ainda mais específico, como os sensíveis, e sobre crianças e adolescentes). Verifique os meios em que se encontram (físico ou digital).
Atenção ao consentimento e à guarda de provas
O titular deve concordar, de forma explícita e inequívoca, que seus dados sejam tratados. E o empresário deve fazer esse tratamento levando em conta princípios da LGPD (finalidade, adequação, livre acesso, qualidade dos dados, transparência, prevenção, não discriminação, responsabilização).
A exceção à regra diante de bases legais
O consentimento é a palavra-chave da LGPD. De modo geral, você não poderá enviar ofertas se o consumidor não permitir isso explicitamente. As exceções em que não é preciso o consentir é quando tratar dados for indispensável em situações relacionadas: a uma obrigação legal; a políticas públicas; a estudos via órgão de pesquisa; a um direito, em contrato ou processo; à preservação da vida e da integridade física de uma pessoa; à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária; à prevenção de fraudes contra o titular; à proteção do crédito; a interesses legítimos da empresa, desde que esses interesses não firam direitos fundamentais do titular.
Apoio da alta liderança e dos funcionários
A LGPD envolve mudanças profundas na forma de lidar com dados pessoais e, para “pegar” na empresa, é preciso engajamento da diretoria e dos colaboradores. Para isso, é importante que gestores de dados e corpo funcional como um todo busquem conhecer boas práticas, participem de cursos de formação, entre outras ações.
Menos “acaso” e mais prevenção para sua infraestrutura
Elabore e adotes normas de governança para tratamento de dados pessoais, medidas preventivas de segurança. Replique boas práticas e certificações aplicadas no mercado.
Errou? Assuma e corrija com rapidez
Construa planos de contingência para tratar incidentes de segurança e trate os problemas com agilidade. Faça auditorias de tempos em tempos.
Transparência e proatividade
Seja ágil no atendimento aos pedidos do titular dos dados, segundo os critérios definidos pela LGPD e pela autoridade nacional. Se causou, comprovadamente, algum dano patrimonial, moral, individual ou coletivo, responda por eles. Tenha atenção, ainda, às questões sobre quando deve encerrar um tratamento e informe sobre o término ao titular.
Extraterritorial
A LGPD se aplica a empresas que ou têm estabelecimento no Brasil, e/ou oferecem produtos e serviços ao mercado brasileiro, e/ou coletam e tratam dados de pessoas que estejam no país. Vale lembrar que não interessa: se o titular dos dados é brasileiro ou não; qual o meio de operação de tratamento dos dados (físico ou digital); qual o país sede da empresa; se os dados estão hospedados em datacenters no país ou não. Vale reforçar que a LGPD permite a transferência de dados além-fronteira, desde que seja: com o consentimento específico do titular; a pedido do titular para que esse possa executar pré-contrato ou contrato; para proteção da vida e da integridade física do titular ou de terceiro; para ajudar na execução de política pública; para país ou organismo internacional que projeta dados pessoais de forma compatível com o Brasil; para cooperar juridicamente com órgãos públicos de inteligência, investigação, ou por conta de compromisso assumido via acordo internacional; para cumprir obrigação legal; com a autorização da ANPD; comprovado que o controlador segue a LGPD na forma de normas globais, selos, certificados e códigos de conduta.
Não há saída. Ou melhor, a LGPD é a saída!
No cenário atual, em que as pessoas cada vez mais exigem saber o que é feito com seus dados, e em que para competir de igual pra igual é preciso investir em mudanças, sua empresa não pode “fazer de conta” que a Lei Geral de Proteção de Dados Pessoais não existe. Evite vazamentos de dados, multas, descontentamento de clientes e se manter vivo no mercado depende de sua postura proativa!
