10 dicas práticas para adequar sua empresa à LGPD

Ilustração mostrando pessoas em escritório rodeadas de elementos relacionados à adequação.

A Lei Geral de Proteção de Dados (LGPD), em vigor desde setembro de 2020, determina como as empresas devem agir em relação à coleta, uso e compartilhamento de dados pessoais.

Todas as organizações precisam se adequar, mas este está longe de ser um processo simples. Por isso, separamos 10 dicas práticas para ajudar a sua empresa a se adequar à LGPD.

Confira!

*Lembrando, claro, que esse post é uma orientação geral e não esgota as exigências da lei nem atende circunstâncias específicas que variam de empresa para empresa.

Confira neste artigo!

Contrate uma consultoria de adequação à LGPD

A Get Privacy é especializada em projetos de adequação à LGPD e proteção de dados para empresas de todos os portes.

PEÇA UM ORÇAMENTO

1) Crie um comitê de adequação à LGPD

Defina uma equipe que vai ser responsável por acompanhar o processo de adequação à LGPD, unindo profissionais das áreas mais relevantes para a empresa em termos de tratamento de dados.

Esse grupo pode incluir, por exemplo, integrantes da equipe de TI, da equipe jurídica e dos setores que mais coletam e processam dados pessoais, como marketing e RH.

Normalmente, esse comitê conta com a ajuda de uma assessoria externa e especializada em privacidade e proteção de dados.

A ideia é justamente atender de forma assertiva as demandas específicas da LGPD e conseguir dar conta dos três pilares que baseiam o processo de conformidade com a lei: base jurídica, segurança da informação e compliance. 

Na Get Privacy, por exemplo, nós temos especialistas nas três áreas e atuamos de forma conjunta com a equipe interna das empresas.

2) Mapeie o fluxo de dados na empresa

O mapeamento do fluxo de dados pessoais na empresa é uma das etapas mais importantes do processo de adequação. É preciso entender o ciclo de vida do dado, incluindo a coleta, uso, compartilhamento, arquivamento e descarte. 

É nessa etapa que a empresa deve entender de maneira bastante clara fatores como:

  • Quais dados pessoais são coletados e por meio de quais canais;
  • Onde ficam armazenados;
  • Quem tem acesso a que tipo de dado;
  • Quem manipula e usa os dados;
  • Quais dados são compartilhados com quais parceiros externos etc.

Para isso, é preciso fazer entrevistas e enviar questionários aos diferentes setores da empresa, além de avaliar os processos executados por parceiros. Há ferramentas que podem ajudar nesse processo, mas o ideal é que ele seja guiado por profissionais especializados na lei.

3) Revise quais dados são coletados e se há embasamento legal

Com o fluxo de dados mapeado, é hora de analisar o panorama completo e revisar a coleta e o tratamento de dados na empresa. O objetivo é mitigar riscos, avaliando a real necessidade de coletar determinado dado e se o tratamento se enquadra de fato nas premissas da LGPD.

A revisão de dados é especialmente importante caso a empresa esteja coletando dados sensíveis, que são dados relacionados a fatores como orientação sexual, saúde, religião, origem étnica etc.

Por conta da natureza da informação, o tratamento de dados sensíveis têm exigências específicas na LGPD, o que aumenta o risco para as empresas.

Portanto, nesta etapa a empresa pode aproveitar para:

  • Revisar processos;
  • Verificar a real necessidade da coleta de determinado dado pessoal (por exemplo, dados de saúde de colaboradores);
  • Adotar o princípio de minimização dos dados, com medidas para evitar a coleta excessiva de dados que não atendam a finalidade do tratamento.
Lembre-se: quanto mais dados custodiados, maior a responsabilidade da empresa. 
 

Além disso, é preciso avaliar se o tratamento de dados é justificado. Afinal, a LGPD estabelece que para poder fazer o tratamento de dados pessoais as empresas devem se enquadrar em algumas hipóteses, que são as chamadas bases legais da LGPD.

O consentimento do titular dos dados é uma das hipóteses previstas na lei, mas não necessariamente a mais adequada para o negócio.

Por isso, é preciso fazer uma avaliação jurídica minuciosa dos processos empresariais para determinar qual a melhor base legal para o tratamento de dados dentro da empresa.

4) Garanta uma comunicação transparente com o titular dos dados

A transparência é um dos princípios que guia toda a LGPD e o próprio conceito de proteção de dados. Isso envolve ser transparente a respeito de quais dados são coletados, o que é feito com eles e para qual finalidade.

Aliás, esta regra vale para dados coletados em qualquer ponto de contato – site, formulários em papel, contratos, cadastro de currículos etc.

  • Defina de maneira clara a finalidade da coleta e do tratamento de dados. Isso é fundamental para poder justificar o tratamento sob a LGPD.
  • A finalidade deve estar clara tanto para a empresa quanto para o titular dos dados. Afinal, o titular  tem o direito de saber exatamente de que forma a sua informação pessoal será utilizada.
  • Estabeleça um canal de comunicação para que o titular possa entrar em contato para solicitar os seus direitos (como ter informações sobre como e com quem seus dados são compartilhados) .

5) Revise e adeque contratos, políticas de privacidade e outros documentos

Outro ponto importante no processo prático de adequação à LGPD é revisar e adequar documentos como contratos, políticas de privacidade e termos de consentimento.

Ou seja, toda a documentação relacionada à coleta e tratamento de dados envolvendo funcionários, parceiros, clientes e visitantes do site. 

Por exemplo:

  • Todos os documentos devem estar dentro dos parâmetros da LGPD e prever a conformidade com a lei, especialmente no caso de contratos com terceiros.
  • Nas documentações direcionadas aos titulares dos dados, é preciso expor de maneira clara e inequívoca a finalidade da coleta e do tratamento dos dados.
  • Caso seja um termo de consentimento, como um banner alertando sobre cookies no site, deve-se dar a opção do usuário não conceder o consentimento. Neste caso, deve-se explicar as consequências da negativa (como falhas no funcionamento do site, por exemplo).

Vale destacar que é comum que as empresas tenham a impressão de que a adequação se limita a essa revisão e criação de documentos, mas este é apenas um ponto dentro de um processo de adequação muito maior e mais complexo.

Baixe a cartilha gratuita sobre LGPD

Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!

6) Avalie e reforce sua política de segurança da informação

A adequação à LGPD é muitas vezes confundida com um processo puramente jurídico. No entanto, um pilar fundamental previsto na lei é a segurança dos dados pessoais. 

A LGPD estabelece dez princípios que devem nortear o tratamento de dados pessoais. Um deles é justamente a segurança. Segundo a lei, as empresas devem tomar medidas para garantir a proteção dos dados contra acessos não autorizados, perdas, adulterações e vazamentos.

Veja algumas vantagens de investir em segurança da informação:

  • É um ponto fundamental para garantir a adequação à LGPD;
  • Minimiza os riscos de ataques hacker, vazamentos e perda de dados devido à queda ou instabilidade de sistemas;
  • Reduz a chance de sanções administrativas e ações individuais e coletivas;
  • Evita perda de reputação e danos de imagem causados por incidentes de segurança.

O primeiro passo é fazer um diagnóstico da situação de segurança na empresa, com uma análise de vulnerabilidades. Depois, é preciso ajustar os pontos que mais exigem atenção, minimizando os riscos aos dados pessoais.

Uma equipe especializada em segurança da informação, como a que temos aqui na Get Privacy, oferece uma ajuda fundamental nesse processo. 

7) Defina quem será o DPO

Um cargo que a LGPD prevê para as empresas é o do DPO (Data Protection Officer) ou encarregado de dados.

De acordo com a LGPD, o encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.

Veja algumas considerações sobre o DPO:

  • O cargo é obrigatório, exceto no caso de startups e pequenas empresas, que podem optar ou não por indicar alguém para a função;
  • O DPO será o responsável por atuar como uma espécie de fiscal da lei dentro da empresa;
  • Ele deve atuar com independência para orientar de maneira técnica e embasar as decisões corporativas para que estejam aderentes à LGPD;
  • O profissional pode ser tanto um funcionário interno quanto um terceirizado especializado na função;
  • Na prática, o cargo tem sido ocupado por advogados, consultores e profissionais de segurança da informação.

Vale lembrar que, mesmo no caso das empresas que não são obrigadas a indicar um DPO, a nomeação é considerada uma boa prática de privacidade e proteção de dados da organização.

8) Invista em treinamento e conscientização de equipe

Manter-se em conformidade com a LGPD é um processo contínuo, que vai exigir atenção de toda a equipe e mudanças na cultura organizacional.

É preciso que todos entendam os fundamentos da lei e incorporem a prática da proteção de dados pessoais ao dia a dia, em todas as atividades que realizam.

Afinal, são os colaboradores que estão na linha de frente, manuseando dados pessoais em suas rotinas de trabalho.

Para que isso ocorra, é essencial investir em treinamentos e conscientização de equipe. Isso pode ser feito inclusive com medidas simples, como compartilhar textos e postagens sobre a LGPD, como as que oferecemos aqui na Get Privacy. Ou então de forma profissionalizada, com a contratação de cursos e workshops

O importante é trazer o aprendizado para o debate interno e permitir que a cultura de proteção de dados seja incorporada à empresa de forma definitiva.

9) Estabeleça medidas de governança

Como mencionamos acima, estar em conformidade com a lei não é uma tarefa que termina depois que as principais medidas de adequação foram implementadas.

É algo que deve ser feito de forma contínua, com medidas de governança que garantam que as premissas da lei estejam sendo cumpridas por todos na empresa.

É preciso criar processos que foquem na análise e controle de riscos, investindo de maneira forte em boas práticas. A ética tem que ser um pilar sólido, definido por políticas internas e colocado em prática em todas as relações da organização.

Há várias medidas de governança que podem ser adotadas com foco na LGPD. Por exemplo:

  • Implementação de um canal de denúncia;
  • Programas de formação contínua;
  • Reformulação do Código de Ética;
  • Criação de políticas específicas para determinadas situações etc.

10) Conte com a ajuda de uma consultoria de LGPD

Como você deve ter percebido ao longo desse texto, o processo de adequação à LGPD é complexo e passa por muitas etapas que demandam conhecimento especializado. Quanto maior o tamanho e os riscos da organização, mais cuidado é preciso na hora de adotar cada uma das medidas citadas. 

Por isso, é importante contar com uma assessoria especializada em LGPD.

Preferencialmente, ela deve ser capaz de atender o programa de adequação de forma completa, de ponta a ponta. Ou seja, cumprindo requisitos jurídicos, de TI e segurança da informação, e de compliance.

É este serviço que nós oferecemos aqui na Get Privacy. Nossa equipe é referência em LGPD e proteção de dados, e atua de forma integrada com a sua empresa.

Fale conosco e veja como podemos ajudar

acompanhe
nossas redes
Linkedin Instagram Facebook Twitter
receba
mais notícias

CONFIRA
OUTROS POSTS