Como implementar a nova Lei Geral de Proteção de Dados (LGPD) na sua empresa?

Cientes do impacto que a LGPD terá em seus negócios, empresas buscam estar em compliance com a lei o quanto antes.

Com a nova Lei Geral de Proteção de Dados (LGPD), além dos riscos de segurança que você corre, a não conformidade à legislação irá gerar pesadas penalidades financeiras e de imagem para o seu negócio. 

Empresas e as organizações terão grandes responsabilidades em relação à proteção de todos os dados pessoais de seus funcionários, fornecedores e clientes. Então, é preciso se mover hoje mesmo e já aparar as arestas.

Para te ajudar, neste post citamos as principais características dessa nova lei e como, na prática, você pode começar a implementá-la em seu empreendimento.

O que é a nova lei de dados?

Podemos dizer que 2018 foi o ano em que vários países colocaram em xeque como anda a segurança da informação de pessoas físicas e jurídicas, em um ano marcado por grandes escândalos de vazamentos de dados de empresas que são familiares a nós, como o Facebook, por exemplo.

Este é um assunto tão sério que em maio de 2018 a União Europeia transformou a proteção de dados em lei – a GDPR (General Data Protection Regulation), e, três meses depois, foi a vez do Brasil, por meio da Lei nº 13.709/2018.

A nossa Lei Geral de Proteção de Dados (LGPD) regulamenta o uso e tratamento dos dados pessoais, tanto pela iniciativa privada quanto do poder público, na tentativa de protegê-los contra vazamentos e uso indevido.

Mas o que é exatamente o tratamento de dados pessoais?

É todo procedimento que você realiza que envolva a utilização de dados pessoais de alguém, o que pode incluir:

Nesse caso, caberá a todas as empresas e órgãos públicos que lidam com dados pessoais (estejam eles em meio digital ou não) algumas responsabilidades. Ou seja, se a sua empresa realiza um simples cadastro de CPF, por exemplo, você precisa se ajustar à nova lei de dados. Se você tem um cadastro físico com os dados pessoais de seus funcionários também.  

Os dados pessoais que se enquadram na LGPD

A nova lei de dados classifica-os em dois tipos: dados pessoais comuns e dados pessoais sensíveis.

Os dados pessoais são informações referentes a uma pessoa natural, que poderão individualizá-la. Ou seja, com os dados conseguimos identificar quem é a pessoa em questão. 

Exemplos:

Já os dados pessoais sensíveis são todas as informações que possam levar a eventuais discriminações a seus titulares, como por exemplo:

Quanto ao tratamento de dados de crianças e adolescentes, sempre será preciso ter a aprovação de pelo menos um dos pais ou responsável legal. Além disso, as empresas precisarão ter tecnologias que sejam capazes de identificar que a aprovação realmente foi dada por um responsável pelo menor de idade. 

O tratamento de dados pessoais que não se enquadram na LGPD são os seguintes:

Eis alguns pontos importantes sobre a LGPD:

Assunto sério, não é mesmo? Por isso é que desde já as empresas precisam se mover para que em 2021 estejam plenamente estruturadas. 

Antes de prosseguirmos para as boas práticas de adequação à LGPD, precisamos falar sobre três pontos importantes: os direitos dos titulares dos dados, os deveres das empresas e os novos papéis que surgem com a lei – encarregado, controlador e operador. 

Os direitos dos titulares dos dados 

Os titulares dos dados pessoais – ou seja, as pessoas que cedem seus dados pessoais ao seu empreendimento – têm direitos assegurados pela LGPD. 

São eles:

Os deveres das empresas

Todos os direitos dos titulares querem dizer, na prática, uma coisa: a partir de agora, as empresas precisam pedir o consentimento dos titulares dos dados antes da coleta e tratamento posterior. 

Além disso, ela deve trabalhar de forma mais transparente possível no que diz respeito ao manuseio desses dados, respondendo sempre à solicitação dos titulares quanto a informações sobre os dados tratados. E, claro, investir nas melhores práticas de segurança da informação para proteger os dados. 

Eis os deveres resumidos:

Os novos papéis que surgem com a nova lei de dados

A LGPD também estabelece três novas funções para a proteção dos dados pessoais das empresas: o Controlador, o Operador e o Encarregado – este último merece uma atenção especial.

Controlador: responsável pelas regras do tratamento de dados

O Controlador é uma pessoa física ou jurídica (governo ou empresa privada) que é a responsável pelas decisões relacionadas ao tratamento dos dados pessoais, definindo as regras desse tratamento – como será a coleta, o armazenamento, etc. 

Na prática, a empresa em que você atua e que realiza o tratamento de dados é considerada a Controladora. 

A Autoridade Nacional de Proteção de Dados (ANPD), que veremos logo adiante no artigo, poderá a qualquer tempo solicitar ao Controlador relatórios descrevendo o processo de tratamento dos dados da empresa. 

Operador: o executor do tratamento de dados

A nova lei de dados afirma que o Operador pode ser uma pessoa natural ou jurídica, que é quem de fato executa o tratamento dos dados pessoais em nome do Controlador

O Operador deve manter o registro de todos procedimentos do tratamento de dados que realiza, já que o Controlador e a ANPD pode solicitar.

Vamos a um exemplo prático sobre a diferença entre Controlador e Operador?

Você tem uma empresa prestadora de serviços de internet – a empresa, então é a Controladora, que definirá as regras do tratamento de dados de seus clientes, colaboradores e fornecedores.

Se, por acaso, a empresa contratar uma empresa de call center para auxiliar no atendimento ao cliente, essa empresa terceirizada passa a ser a Operadora, já que ela trabalhará diretamente com os dados dos clientes, sob as regras da empresa contratante.

Ficou mais fácil de entender?

Então agora, vamos entender sobre uma terceira figura dentro da LGPD e que requer uma atenção especial: o Data Protection Officer (DPO)

Encarregado: Data Protection Officer (DPO)

O Encarregado é uma função atribuída pela empresa a uma pessoa que terá a função de ser a mediadora entre empresa, os titulares dos dados pessoais e o governo

Ou seja: é um cargo dentro da empresa. Se um cliente solicitar informações sobre seus dados pessoais, por exemplo, ele vai recorrer ao Encarregado, também chamado de Data Protection Officer (DPO). 

O Encarregado de Dados é o responsável por todas comunicação junto a ANPD.

Quem vai fiscalizar o cumprimento da LGPD?

A ANPD – Autoridade Nacional de Proteção de Dados. Ela será um órgão da administração público federal direta, ou seja, integrante da Presidência da República, formada por 23 representantes. Após dois anos de funcionamento, ela poderá ser transformada em autarquia.

De acordo com a nova lei de dados, as principais atribuições da ANPD são:

Como implementar as novas boas práticas da LGPD na empresa?

A seguir, vamos a um passo a passo para te ajudar a aparar as arestas da segurança da informação e proteção de dados da sua empresa:

  1. Procure por um aconselhamento jurídico para saber os impactos legais dessa nova lei na sua empresa;
  2. Busque um profissional de segurança da informação para adotar um plano de mudanças que foque na adequação à nova lei;
  3. Antes de adotar um plano estratégico, é preciso revisar todos os controles e processos da empresa para que seja construído um mapa dos dados sensíveis e dos atuais níveis de proteção;
  4. Elabore um Mapa de Riscos de Tratamento de Dados Pessoais da sua empresa;
  5. É preciso saber como, quando e onde todos os dados pessoais de funcionários, clientes e fornecedores são coletados – todos mesmo: de uma simples data de nascimento a informações de folha de pagamento. Onde esses dados ficam armazenados? Quais são as camadas de proteção?
  6. Depois do planejamento feito, comece fazendo ações corretivas. Isso quer dizer reestruturar as políticas e acordos de confidencialidade e acordo. Sempre que for coletar algum dado pessoal de forma física ou pela internet, a pessoa precisa consentir, ou seja, assinar um termo de consentimento e uso desses dados. A empresa deve ser transparente e o cliente precisa saber como esses dados serão usados e armazenados;
  7. É preciso, também, elaborar um verdadeiro programa de educação e conscientização dos funcionários da empresa. Eles precisam saber evitar vazamentos e ter a noção das responsabilidades e consequências do mau uso dos dados;
  8. Estabeleça um Comitê de Proteção de Dados com as áreas de Negócio da empresa. Lembre, esse não é um tema da TI e sim da empresa.

Especificamente para o departamento de TI, invista nas seguintes soluções:

  1. Busque um parceiro de tecnologia e infraestrutura de TI especializado em Segurança da Informação para apoiar a sua empresa na preparação da TI para a LGPD, do Assessment de Vulnerabilidades, Construção do Roadmap de Ações priorizadas e Sustentação da Segurança da Informação;
  2. SOC - Monitoramento da Segurança da Informação;
  3. Soluções contra Vazamento de Dados (DLP);
  4. Monitoramento do processo de tratamento de dados;
  5. Monitoramento dos riscos de tratamento dos dados na empresa e em terceiros;
  6. Gestão de Acessos;
  7. Implementação de Controles de Auditoria;
  8. Soluções para Proteção de Perímetro (Firewalls/IPS) e Proteção dos Dispositivos (Antivírus);
  9. Implementação de Controles de Acessos a Rede e aos Dados da Empresa;
  10. Arquiteturas tecnológicas e práticas de proteção de dados incorporadas em todo novo ambiente e aplicação de TI por padrão (privacy by design) – como o acesso controlado e a encriptação nativa de dados pessoais assim que forem coletados, bem como a guarda segura deles.

Quer uma ajuda para começar o planejamento e a implementação da nova lei de dados em sua empresa? Conheça o Programa de Adequação à LGPD da Flowti e solicite o contato de um especialista!

Até a próxima!

 

Quer falar com um especialista da Flowti?

Solicite o contato agora mesmo!