LGPD: 5 passos para conferir se sua empresa está adaptada

LGPD: Uma sugestão prática em cinco passos sobre como se preparar para a obrigatoridade. Tópicos fundamentais da adaptação como equipe, políticas de segurança, ciclo de vida dos dados, cultura de segurança e respeito aos direitos das pessoas.

Em meio a tantos assuntos que estão no radar das empresas, sejam pequenas médias ou grandes, um deles é a Lei Geral de Proteção de Dados (LGPD).

Caso esteja começando a se inteirar sobre o assunto, antes de prosseguir com a leitura sobre como colocá-la em prática, entenda quais são os princípios dela em: LGPD – Lei Geral de Proteção de Dados.

A seguir, elaboramos uma lista com os 5 passos que você pode seguir para saber se a sua empresa está adaptada.

 

1. Criar um grupo de trabalho para adequação à LGPD

É extremamente importante que se tenha um grupo de pessoas que estará trabalhando em prol da adequação à Lei.

Dependendo do tamanho da empresa, ela pode ser constituída por pessoas ligadas à tecnologia, processos e jurídico.

Mas, muitas vezes, a empresa não dispõe de colaboradores ligados em tarefas específicas e acaba que uma pessoa apenas vai desempenhar várias ou todas as funções.

Nos casos em que a pessoa está sozinha nessa jornada, precisará estudar todas as áreas para entender tudo o que precisa ser feito. Talvez, se for o caso, até contratar algum profissional externo que possa ajudar.

Dentro da empresa haverá a figura do Data Protection Officer (DPO).

Podemos entender o DPO como sendo o encarregado pelos dados.

Cabe ao DPO o papel de ser o principal responsável pela proteção dos dados.

Além disso, o DPO será o elo de ligação entre a empresa e a Autoridade Nacional de Proteção de Dados (ANPD).

A empresa assume o papel de controlador dos dados conforme as regras da LGPD.

Para trabalhar com esses dados que são coletados, vai existir a figura de um operador.

Logo, se este operador fizer mau uso destes dados, a responsabilidade (culpa) recairá sobre o controlador.

 

2. Ter uma política de segurança

Sabe aqueles termos de uso que muita gente aceita sem ler?

Eles servem, dentre outras coisas, para informar a todos como e para o quê os dados são usados.

A informação sobre a forma de uso dos dados das pessoas deve ser pública, seja essa pessoa interna ou externa à empresa.

É importante que se divulgue de forma clara e sempre atualizada essa informação, além de mostrar a base legal, os seus procedimentos e práticas do uso de dados.

O jeito mais simples de manter essa informação pública é através de um site.

Mas podem ser usadas outras formas que sejam de fácil acesso, tais como, contratos de prestação de serviços, contratos de trabalho e termos de consentimento.

Revisar os procedimentos e formulários onde se solicitam as informações também é outro ponto importante. Não é raro um setor da empresa necessitar e solicitar uma nova informação.

Por isso a revisão periódica é importante. Faz-se necessário, também, que haja protocolos para gerenciar e notificar brechas de segurança e vazamento de dados.

Um vazamento de dados pode ser acidental ou ilícito. Qualquer violação precisa ser notificada ao DPO e também à ANPD, o mais rápido possível.

Lembre-se de não coletar nenhuma informação que não seja necessária.

Só colete informações que façam sentido, pois cada dado coletado pode expor a empresa de uma forma desnecessária.

 

3. Saber o ciclo de vida dos dados

Deve-se saber como os dados são coletados e por quais caminhos eles passam até chegar ao ponto de serem armazenados nos seus sistemas, planilhas, servidores ou num simples papel.

É importante mostrar para a pessoa quais os dados que são coletados, como são armazenados, quem terá acesso, quanto tempo eles serão retidos e, depois de passar a necessidade de retenção, como eles serão descartados:

Observando o fluxo desenhado acima, um dado percorre um caminho desde a sua coleta até a eliminação.

Esse seria o ciclo de vida de uma informação:

Coleta	Representa o momento em que o dado é criado, produzido, recepcionado ou extraído.
Distribuição	De que maneira o dado é transportado de um lado para o outro, como ele é comunicado aos setores que o utilizarão. Não se pode transferir os dados para outras empresas sem consentimento do titular.
Manuseio	Como o dado será classificado, utilizado, alterado.
Armazenamento	Após o manuseio, onde ele será guardado. Recomenda-se, por exemplo, que as informações sejam armazenadas de forma criptografada nos computadores.
Descarte	Ao final da utilização, como a informação será eliminada? Sabe-se que existem dados que nunca serão descartados. Isso precisa ficar claro para o usuário e, nessa situação, o descarte não será realizado.

 

4. Cultura de segurança

A sua empresa, controladora dos dados, precisa repassar com os funcionários e fornecedores quais são as normas de segurança.

Todos devem ter a cultura da segurança. Assim, desde o menor nível hierárquico, até o mais algo cargo dentro da empresa, terão consciência de não transgredir as regras impostas pela LGPD.

 

5. Respeitar os direitos das pessoas

O respeito aos direitos das pessoas é outro fator que precisa estar muito claro.

É preciso ter agilidade nas respostas de questionamentos de qualquer pessoa envolvida.

Uma pessoa tem direito de se opor ao tratamento que as informações estão recebendo. Mas, para isso, é necessário apresentar o real motivo pelo qual a oposição está sendo feita.