10 passos para demonstrar a conformidade com a LGPD

Ilustração mostrando fiscalização da LGPD

Com a Lei Geral de Proteção de Dados (LGPD) em vigor desde setembro de 2020, as empresas devem estar preparadas para uma nova fase: a de fiscalização. Sanções e ações fiscalizatórias podem partir tanto da ANPD (Autoridade Nacional de Proteção de Dados) quanto de órgãos como o Procon.

Para evitar dores de cabeça, é fundamental lembrar que a LGPD opera sob a lógica da responsabilidade demonstrada. Ou seja, não basta a empresa dizer que está em conformidade com a lei: é preciso ser capaz de demonstrar essa conformidade.

Portanto, nós separamos algumas dicas para ajudar as organizações a demonstrar a adequação à LGPD. Confira!

Confira neste artigo!

Comece já sua adequação à LGPD

A Get Privacy conta com uma equipe multidisciplinar especializada em proteção de dados para guiar seu programa de conformidade.

FALE CONOSCO

Como demonstrar a conformidade com a LGPD

1. Mantenha um comitê focado em LGPD e proteção de dados

Manter um comitê permanente focado em LGPD e proteção de dados é uma forma de demonstrar que a empresa se empenha em manter a conformidade com a lei para além da adequação inicial.

Além disso, tira a responsabilidade apenas do DPO (Data Protection Officer) e demonstra que a organização tenta reforçar a proteção de dados como parte da cultura empresarial. 

Por si só, isso é uma boa prática de conformidade. Ademais, conta pontos a favor da empresa no caso de questionamentos, ações ou processos administrativos.

2. Faça um registro das operações de tratamento

Outra forma de demonstrar a conformidade com a LGPD é manter um registro das operações de tratamento

Na prática, esse registro deve incluir a classificação das operações de acordo com sua base legal e a sua finalidade.

Um bom momento para criar o registro de operações é logo após a etapa de mapeamento dos dados pessoais, no início da adequação. Assim, a empresa pode aproveitar todas as informações já reunidas.

3. Invista em Privacy by Design

O Privacy by Design é um framework que facilita a adequação à LGPD e também ajuda a comprová-la.

Ele tem como proposta central incorporar a privacidade e a proteção de dados pessoais em todos os projetos desenvolvidos por uma organização, desde a sua concepção.

Ou seja, quando é implementado de forma sistemática pela empresa, ele permite começar novos projetos, serviços ou tecnologias já de forma aderente à lei. 

No caso de uma ação de fiscalização, o Privacy by Design é uma excelente ferramenta para demonstrar a conformidade com a legislação.

Baixe a cartilha gratuita sobre LGPD

Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!

4. Desenvolva políticas de controle de acesso a dados

Outra forma de demonstrar a adequação à LGPD é implementar políticas de controle de acesso a dados pessoais. 

Isso pode ser feito com duas ações complementares:

  • Limitando quem tem acesso aos dados;
  • Garantindo o controle e a verificação desse acesso.

Dessa forma, a empresa demonstra que restringiu o acesso aos dados apenas às pessoas que realmente precisam das informações para executar seu trabalho. 

Além disso, também mostra o empenho em impedir acessos não autorizados, reduzindo o risco para os titulares.

5. Utilize soluções de segurança da informação

Quando se fala em LGPD, um dos maiores riscos para os titulares e para as organizações é que ocorra um incidente de segurança. Por exemplo, acesso indevido, vazamento de dados, ataque hacker, alteração de informações ou mesmo exclusão não intencional de dados.

Para evitar esse risco, é fundamental investir em Segurança da Informação. Aliás, é mais do que fundamental: é obrigatório para garantir a conformidade com a lei, já que a LGPD deixa bem claro que os agentes de tratamento devem adotar medidas para proteger os dados pessoais.

Além de ser um requisito básico, a adoção de soluções de Segurança da Informação também é uma forma simples de demonstrar a conformidade com a LGPD.

6. Treine e conscientize a equipe com frequência

Uma das premissas básicas da LGPD é que a proteção de dados seja uma prática incorporada à cultura empresarial. 

Portanto, treinamentos e ações de conscientização da equipe são uma boa forma de demonstrar a adequação à lei.

Invista, periodicamente, em cursos, workshops e manuais de boas práticas de privacidade. E lembre-se que, sem a conscientização da equipe, é praticamente impossível garantir de fato a segurança dos dados.

7. Elabore o Relatório de Impacto à Proteção de Dados

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é um documento que deve ser elaborado pelo controlador sempre que o processo de tratamento de dados pessoais possa gerar riscos às liberdades civis e aos direitos fundamentais.

Basicamente, o RIPD cumpre a função de demonstrar que o controlador avaliou os riscos nas operações de tratamento de dados pessoais e adotou medidas para mitigá-los. Em outras palavras, é uma ferramenta de gestão de riscos à privacidade e serve como forma de demonstrar a adequação à lei.

Aliás, é importante destacar que a LGPD prevê que a ANPD poderá solicitar este relatório a qualquer momento. Portanto, mantenha a sua empresa em dia com essa obrigação.

8. Fortaleça o relacionamento com o titular

A figura central da LGPD é o titular de dados. Na prática, a lei trata de devolver ao titular o controle sobre o que é feito com as suas informações.

Por isso, uma medida importante para a empresa que quer demonstrar conformidade com a lei é simplesmente fortalecer o relacionamento com o titular.

Na prática, isso significa medidas como:

– Ter um canal de comunicação claro, acessível e amplamente divulgado;

– Criar um protocolo para avaliar e responder solicitações dos titulares;

– Respeitar os direitos dos titulares, atendendo aos seus pedidos sempre que for possível.

9. Crie um protocolo de resposta a incidentes de segurança

Toda organização precisa estar preparada para lidar com um incidente de segurança envolvendo dados pessoais. Infelizmente, nenhuma empresa está imune a incidentes, não importa seu porte ou área de atuação.

Inclusive, incidentes de segurança podem levar a sanções duras por parte da ANPD. Porém, a entidade deixa claro que leva em conta as medidas de segurança adotadas e a forma como a organização respondeu ao incidente.

Portanto, é uma boa ideia criar um protocolo de resposta a incidentes envolvendo dados pessoais, de forma a responder o mais rapidamente possível à situação.

Este protocolo é basicamente um passo a passo de como agir caso a empresa vivencie um incidente de segurança envolvendo dados pessoais. Ele deve se basear, claro, nas determinações da LGPD para estabelecer o modus operandi em situações como essa.

10. Indique um especialista em proteção de dados para o cargo de DPO

Por fim, mas não menos importante, indique um especialista em proteção de dados para o cargo de DPO (Data Protection Officer). 

Chamado na lei de encarregado de dados, o DPO é a principal figura para atuar na conformidade com a LGPD dentro da empresa.

De maneira geral, o cargo é obrigatório, exceto no caso de pequenas empresas. Porém, mesmo quando a função é opcional, indicar alguém para o cargo é sempre uma boa prática e demonstra o esforço da empresa em respeitar a lei.

O cargo de DPO pode ser exercido tanto por alguém do time interno quanto por um profissional externo. A Get Privacy, por exemplo, oferece o serviço de DPO as a Service, em que uma equipe especializada assume essa função na empresa.

Esteja sempre em conformidade com a LGPD

A Get Privacy ajuda empresas de diferentes portes e setores a se manterem em dia com as determinações e regulamentações da LGPD. Ligue para (41) 2391-0966 (Whatsapp) ou preencha o formulário abaixo para saber mais.

Entre em contato para saber mais
acompanhe
nossas redes
Linkedin Instagram Facebook Twitter
receba
mais notícias

CONFIRA
OUTROS POSTS