LGPD, sua empresa está preparada?

Como sua empresa lida com os dados coletados dos clientes e colaboradores? Chegou a hora de refletir sobre isso,  rever a forma como seu negócio controla os dados de terceiros e se preparar para estar em conformidade com a legislação. 

Neste texto apresentaremos a Lei Geral de Proteção de Dados (LGPD), o impacto que ela gerará nas empresas e quais ações que você deve realizar (o quanto antes) para se adaptar a nova legislação.

O que é a LGPD?

A Lei Geral de Proteção de Dados é um decreto, sancionado em 2018, cuja as normas regulamentam a coleta, armazenamento e distribuição dos dados de pessoas físicas por empresas.  

Inspirada na GDPR (lei europeia), ela atribui às empresas a responsabilidade de justificar de forma explícita o uso dos dados captados de seus clientes, enquanto garante ao usuário meios de controle sobre suas informações fornecidas, inclusive a negação de compartilhá-las. 

Pontos básicos da LGPD

Antes de partir para ação e aplicação das normas da lei em sua empresa, é importante entender ao que ela se refere e qual sua base. Por isso, destacamos os quatro pontos básicos de sua estrutura:

A quais dados a lei se refere? 

Em síntese, os dados pessoais são qualquer informação que possa levar à identificação de uma pessoa, tanto on-line quanto off-line. Alguns exemplos são: dados cadastrais (CPF, endereço, etc), dados de GPS, identificadores eletrônicos, hábitos de consumo e outros

A lei se aplica a quem?  

Em termos de abrangência, a lei se aplica a qualquer pessoa natural ou jurídica que possua estabelecimento no Brasil, ofereça serviços ao mercado consumidor brasileiro, e colete ou trate dados de pessoas localizadas no país. Ou seja, ela será válida mesmo em casos de empresas com sede em outros países ou titulares com outra nacionalidade.

Igualmente, ela compreende qualquer ramo de negócio, mesmo aqueles que possuem outros empreendimentos como clientes (como escritórios de contabilidade ou transportadoras). 

Quais são os direitos do titular do dado?  

Com a LGPD, o usuário ganha maior controle nesta relação entre empresa e os dados cedidos. Visando sua segurança, o titular pode: ter acesso aos dados concedidos; controlar dados incompletos, inexatos ou desatualizados; anonimar, bloquear ou eliminar os dados; portabilizar os dados a outra companhia; revogar ou negar o consentimento de dados. 

Em situações de perdas de dados ou mudanças em relação ao uso, a empresa deverá notificar o titular imediatamente.

Quem é responsável por essa regulamentação?  

A lei será aplicada pela Autoridade Nacional de Proteção ao Dado, um órgão da administração pública federal, subordinado à Presidência da República. Dentro de dois anos, ele poderá ser alterado para uma entidade de regime autárquico especial (que rege sobre si mesmo). 

10 pilares para o tratamento de dados pessoais

FINALIDADE

Propósitos legítimos, específicos, explícitos e informados.

ADEQUAÇÃO

Compatível com as finalidades.

NECESSIDADE

Utilização (apenas) de dados estritamente necessários.

LIVRE ACESSO

Acesso ao tratamento e à integralidade dos dados.

QUALIDADE DOS DADOS

Dados exatos, claros, relevantes e atualizados.

TRANSPARÊNCIA

Informações claras e precisas aos titulares.

SEGURANÇA

Medidas técnicas e administrativas aptas a proteger os dados pessoais

PREVENÇÃO

Adoção de medidas para evitar danos ao titulares.

NÃO DISCRIMINAÇÃO

Não utilização para fins discriminatórios, ilícitos ou abusivos.

PRESTAÇÃO DE CONTAS

Demonstração de adoção de medidas eficazes aos cumprimento das normas.

Como isso afeta a minha empresa?

É importante conhecer a lei e entender os impactos que ela trará a sua rotina de trabalho e aos processos gerais da empresa. Pois, muito mais que se adaptar ou introduzir mecanismos de segurança, as normas se referem a uma mudança na cultura da empresa e na forma que enxergamos os dados do usuário. 

Principais setores afetados:  

A LGPD envolve muitos outros setores além do TI. Ele abrange todos as áreas que lidam com dados, inclusive serviços terceiros e externos. 

O cenário pode mudar de empresa para empresa, mas os principais setores envolvidos são: jurídico, análise de dados, marketing, TI, gerenciamento de produtos, recursos humanos, serviços e logística, segurança da informação. 

O encarregado pelo tratamento de dados:  

De acordo com a lei, todo empreendimento deverá ter um profissional ou pessoa jurídica encarregada do controle da relação dos dados, mediando a relação e comunicação entre os envolvidos – titular, controlador e autoridade nacional. 

Assim, ele é responsável por atender as demandas dos titulares dos dados, interagir com a ANPD e orientar os funcionários quanto a práticas de proteção de dados. 

Esse profissional ou terceiro deverá ter conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados. Terá autonomia em seu trabalho, mas deverá reportar ao nível mais alto da empresa e será regulamentado pela ANPD. 

Multas e penalidades:  

Em caso de infração no controle de dados ou vazamento, a lei prevê algumas sanções que podem impactar financeiramente a empresa. Dentre elas estão: advertência; multa de 2% do faturamento do grupo no Brasil (com teto de R$ 50 milhões); publicização da infração; bloqueio ou eliminação dos dados envolvidos; suspensão ou proibição do banco de dados ou dos serviços envolvidos com o tratamento de dados.

Quais atitudes devo tomar?

A nova legislação entrará em vigor em agosto de 2020. Visto isso, é importante que as empresas iniciem seu processo de transição e revisão do controle de dados o quanto antes, para não ter problemas maiores em cima da data. 

Não há uma receita pronta para se seguir neste caso. Mesmo assim, indicaremos dois passos importantes pelo qual você pode começar:

Conheça os seus dados:  

Antes de iniciar as medidas necessárias, é primordial identificar com quais dados sua empresa lida. Esse processo é muito importante pois muitas empresas acreditam não lidar com dados, quando, na verdade, isso é comum dentro de seu processo. 

Pense em todos os setores do negócio, quais caminhos os dados fazem por cada um deles e quais pessoas possuem acesso a eles. Mapeie visualmente todas as formas de coleta, manipulação e armazenamento de informações pessoais. Isso ajudará a entender com quais informações você lida e qual o caminho que elas percorrem. 

Feito isso, você tem certeza de ter cobrido todos os tipos de dados, sem deixar nenhum passar, e pode definir melhor quais ações devem ser tomadas para colocar tudo em conformidade.

Utilize as medidas de segurança:  

Comece pelas medidas mais amplas e vá listando todas até chegar nas mais específicas. 

Primeiro, todos dentro da empresa devem ser educados sobre as novas normas e como devem proceder segundo elas. Dentro disso, é importante que se implemente um fluxo de trabalho padronizado, que delimite o acesso aos dados para um número restrito de colaboradores. 

Adote medidas de segurança e administrativas, como, por exemplo, uso de criptografia, monitoramento, backup, controle reforçado de acessos e outras estratégias. Para isso, trabalhe com o setor de TI (segurança da informação) alinhado ao restante da empresa. 

Documente e armazene todos os dados de forma organizada, para que estejam acessíveis caso o titular solicite qualquer ação, além de estarem em conformidade para as auditorias referente ao uso correto de dados. 

Em geral, é preciso que as práticas de seguranças e manejo de dados da empresa sejam renovadas de acordo com as premissas da LGPD. Para auxiliar nesse processo é de extrema importância profissionais especializados e programas de qualidade, além da colaboração de todos dentro da empresa.

Garanta a segurança dos seus dados! Entre em contato conosco: garra@garra.inf.br

*Texto por Amanda Büneker

Compartilhar: