As 10 boas práticas de adequação à LGPD no dia a dia das empresas
A Lei Geral de Proteção de Dados (LGPD) está em vigor e muitas empresas ainda estão em processo de adaptação. Siga a leitura e saiba mais sobre o tema!
LGPD: O que é?
A Lei Geral de Proteção de Dados (LGPD) foi sancionada em 2018, pelo então presidente Michel Temer. O objetivo da legislação é regulamentar o uso de dados pessoais pelas empresas, para que os cidadãos brasileiros possam ter mais segurança acerca das suas informações.
As penalizações em forma de multa começaram a ser aplicadas pela ANPD (Autoridade Nacional de Proteção de Dados) em agosto de 2021. Além da ANPD, órgãos como o Ministério Público e o Procon também podem realizar autuações às empresas que ainda não estão adequadas às novas normas.
O que mudou com a LGPD?
Em suma, para as empresas, o que mudou com a chegada da LGPD foi a necessidade de ter a autorização de clientes, fornecedores, funcionários ou qualquer outra pessoa, física ou jurídica, para manter seus dados pessoais armazenados.
Também surgiu uma nova figura nas organizações, o Data Protection Officer. Trata-se do profissional que cuida das questões relacionadas à proteção de dados, regulamentação da privacidade, entre outros assuntos referentes à LGPD.
Para empresas de médio e pequeno porte, que não têm tanta demanda, o DPO pode ser substituído por uma organização terceirizada que preste esse serviço. As empresas que não estiverem adequadas à LGPD e usarem os dados dos clientes de forma indevida poderão ser multadas com um valor de até 2% do faturamento total da pessoa jurídica, limitado a R$ 50 milhões.
Além disso, a empresa sofre advertência, com prazo para adoção de medidas corretivas, é punida com a exigência da eliminação de dados pessoais dos titulares, e passa a ter a publicização da infração, ou seja, terá o incidente divulgado de forma pública aos devidos responsáveis, causando danos à imagem do negócio.
Para que serve a Lei Geral de Proteção de Dados?
A principal função da LGPD é evitar que as empresas usem ou transmitam as informações de seus clientes, sem que haja o devido consentimento.
Ou seja, a Lei inibe que os dados sejam comercializados e explorados, sem que o usuário, que é dono de suas informações pessoais, deixe isso autorizado de forma explícita.
Qual é o impacto da LGPD nas empresas?
O descumprimento da LGPD ocasiona o pagamento de multas e outras penalidades, conforme explicamos. Nesse sentido, o principal impacto trazido é a adaptação, que precisa ser realizada da maneira correta.
Como as empresas estão se preparando para a LGPD?
As empresas estão se preparando para a LGPD por meio de boas práticas de adequação, que costumam ser mais facilmente empregadas com o acompanhamento de uma consultoria especializada.
Elaboramos uma lista com 10 boas práticas que podem ser executadas nas organizações para que a LGPD se cumpra. Confira!
1. Revise as políticas de segurança de informação da empresa
A primeira das boas práticas da LGPD é a revisão das políticas de segurança de informação da empresa. É preciso separar um tempo para analisar todas as medidas que já são adotadas pela organização para detectar e corrigir possíveis problemas quanto à proteção dos dados pessoais.
Considere criar um programa de governança corporativa para estar em compliance com a LGPD e ter diretrizes direcionadas a processos, pessoas e tecnologia. Isso significa ter normas e políticas claras e detalhadas para que todos tenham ciência de como os dados devem ser coletados, utilizados, monitorados e protegidos na sua empresa.
Lembre-se: a adoção de medidas de segurança para a proteção dos dados envolve necessariamente a capacitação e engajamento de seus colaboradores. Um ponto que merece destaque é que a LGPD não lista quais são as políticas necessárias para a conformidade. Porém, menciona inúmeras regras que devem ser obedecidas para garantir a privacidade dos dados pessoais.
A padronização das regras e processos, auxilia na criação de boas práticas de segurança da informação, para os processos que recebem, armazenam e tratam dados pessoais. Uma política de segurança da informação deve ser elaborada e utilizada como se fosse um planejamento do resultado esperado pela organização no tocante ao uso de dados.
Sem dúvidas, deve seguir os três princípios básicos da segurança da informação: integridade, confidencialidade e disponibilidade das informações.
2. Adote soluções de cloud computing
A computação em nuvem tem ajudado diversas empresas a estarem mais seguras, já que essas soluções cumprem vários requisitos de segurança, ajudando no armazenamento seguro dos dados e nos backups periódicos.
Quando falamos em boas práticas para a LGPD, a cloud computing é uma solução menos onerosa, mais ágil e que se adapta rapidamente às mudanças e às adequações necessárias para a conformidade.
Por ser uma “memória externa” aos dispositivos e computadores, é certo imaginar que os ataques cibernéticos são menos ocorrentes. Mas, vale destacar que isso depende bastante dos profissionais envolvidos nos processos.
A migração ou implantação de sistemas demanda não só boa intenção, mas planejamento e previsão de intercorrências. Assim, é possível alcançar um bom resultado com a computação em nuvem. Só então é que essa tecnologia poderá auxiliar de fato no processo de uso e tratamento de dados pessoais.
3. Fique atento aos dispositivos que os colaboradores trazem de casa
Mesmo que isso seja muito comum, permitir que os colaboradores utilizem dispositivos particulares para o trabalho (como smartphones, tablets, notebooks e pen drives) precisa ser analisado com cautela.
Nesse caso, é importante que todos conheçam as políticas de segurança de dados da empresa, e, claro, será preciso reforçar a segurança dos softwares utilizados nesses dispositivos, evitando vazamentos e invasões (intencionais ou não). Todos precisam estar cientes de suas responsabilidades no manuseio dos dados que circulam na empresa.
4. Defina um encarregado para a segurança dos dados
O artigo 41 da LGPD (Lei nº 13.709/201) esclarece que a empresa precisa nomear um encarregado pelo tratamento de dados pessoais, o DPO, cuja identidade e contato deverão ser divulgados publicamente, de preferência, no site da empresa.
Conheça as funções do DPO e veja como ele pode ser importante para as boas práticas LGPD:
- Aceitar reclamações e comunicações dos titulares dos dados, bem como prestar esclarecimentos e adotar providências;
- Receber comunicações da Autoridade Nacional (órgão subordinado à Presidência da República) e adotar providências;
- Orientar os funcionários e os contratados da empresa sobre as práticas a serem tomadas em relação à proteção dos dados pessoais;
- Executar as demais funções determinadas pela empresa ou estabelecidas em normas complementares.
5. Adote formas de consentimento para a coleta e o tratamento de dados
Falar de boas práticas da LGPD sem mencionar o consentimento é o mesmo que ter um manual em branco. O consentimento é um dos principais fundamentos da lei, que dá aos usuários um maior controle sobre o tratamento e o processamento de seus dados pessoais.
De acordo com o artigo 7º, inciso I da Lei, “o tratamento de dados pessoais somente poderá ser realizado [...] mediante o fornecimento de consentimento pelo titular”. Todos os dados pessoais que forem coletados, utilizados e armazenados pela empresa devem obter essa autorização.
Para isso, a Lei entende que é válido qualquer meio que demonstre a manifestação de vontade do usuário. Ou seja, é possível obter esse consentimento por escrito ou por meio virtual. Mas, essa não é a única regra que a empresa deve observar acerca do consentimento como uma das boas práticas da LGPD. Ela ainda deve saber que:
- O titular precisa saber exatamente a finalidade dessa coleta e como seus dados serão utilizados pela empresa, motivo pelo qual a empresa não pode pedir o consentimento de forma “genérica”;
- O titular dos dados pessoais pode revogar o consentimento a qualquer tempo, sendo suficiente uma manifestação expressa; e que
- O consentimento pode ser dispensado nas situações em que o usuário torne seus dados manifestamente públicos.
6. Monitore o ambiente de TI em tempo real
Os dados da empresa são ativos muito importantes e precisam de monitoramento e proteção em tempo real, evitando situações graves, como vazamentos e sequestro de dados.
Terceirizar a gestão do monitoramento da infraestrutura de TI em tempo real, 24x7x365, com uma equipe especializada, e com capacidade resolutiva, para um primeiro combate em momentos de crise, por exemplo, é uma excelente opção. A Flowti pode te ajudar com essa tarefa.
Webinar completo e gratuito sobre "LGPD: Por que sua empresa precisa se adequar?". Assista agora!
7. Reavalie os dados pessoais que a empresa já coletou
Caso os titulares não tenham consentido com a coleta e o uso de seus dados pessoais, será necessário entrar em contato novamente para solicitar. Essa é, sem dúvidas, uma das boas práticas da LGPD que você precisa adotar.
Uma dica para isso é enviar e-mail explicando sobre as mudanças ocorridas por conta da LGPD, afirmando que a empresa se preocupa em estar em dia com a Lei e com a segurança dos dados. Por fim, solicite que os usuários leiam os novos termos de uso e a política de privacidade, fornecendo um novo consentimento, caso estejam de acordo.
8. Revise os contratos com os fornecedores
Ao se adequar para a LGPD, também reveja os contratos com todos os fornecedores da empresa, de forma direta ou indireta. Se for preciso, é aconselhável que se estabeleça um novo contrato prevendo a conformidade legal no tratamento dos dados pessoais, sob a pena de responsabilização solidária.
Lembre-se de que basta um fornecedor ou parceiro sem seguir as boas práticas da LGPD para que exista a possibilidade de sua empresa ser responsabilizada por descumprimento à legislação.
9. Treine os colaboradores para que eles conheçam a LGPD
Promova um ciclo de palestras e debates com os colaboradores para que eles tenham conhecimento sobre a LGPD e como essa lei impactará a rotina da empresa.
É preciso que todos entendam seus direitos e deveres quanto ao uso e tratamento dos dados pessoais. Lembre-se que os dados pessoais de seus colaboradores também se enquadram na LGPD.
Realize palestras e debates de atualização, para que novos colaboradores também sejam colocados em sintonia com o tema da LGPD, bem como para manter a equipe atualizada com relação à eventuais mudanças da lei.
10. Fique de olho em possíveis mudanças na LGPD
É importante que você fique atento às mudanças que a LGPD pode passar. A criação da Autoridade Nacional de Proteção de Dados (ANPD), por exemplo, havia sido vetada no final de 2018, mas voltou ao texto original da Lei posteriormente.
Por isso, fique sempre de olho em novas alterações, medidas provisórias e novos requisitos de adequação à Lei sobre os dados pessoais. Se for preciso, invista em uma consultoria para esclarecer dúvidas eventuais. Se adequar à LGPD é uma necessidade para as empresas e é importante que você coloque isso em prática o quanto antes no seu negócio.
A Flowti oferece um Programa de Adequação à LGPD completo, que abrange governança, tecnologias e conformidade documental, para ajudar as organizações a se adequarem à LGPD. Solicite o contato de um especialista! Elaboramos também um guia simplificado com os principais pontos da LGPD. Baixe agora mesmo!