10 dicas práticas para adequar sua empresa à LGPD

A Lei Geral de Proteção de Dados (LGPD), em vigor desde setembro de 2020, determina como as empresas devem agir em relação à coleta, uso e compartilhamento de dados pessoais. Todas as organizações precisam se adequar, mas este está longe de ser um processo simples. Por isso, separamos 10 dicas práticas para ajudar a sua empresa a se adequar à LGPD.

*Lembrando, claro, que esse post é uma orientação geral e não esgota as exigências da lei nem atende circunstâncias específicas que variam de empresa para empresa.

Fiscalização.

Precisa se adequar à LGPD?

Fale com a Get Privacy. Nós analisamos a situação da sua empresa e ajudamos com todo o processo de adequação à lei.

1) Crie um comitê de adequação à LGPD

Defina uma equipe que vai ser responsável por acompanhar o processo de adequação à LGPD, unindo profissionais das áreas mais relevantes para a empresa em termos de tratamento de dados. Esse grupo pode incluir, por exemplo, integrantes da equipe de TI, da equipe jurídica e dos setores que mais coletam e processam dados pessoais, como marketing e RH.

Normalmente, esse comitê conta com a ajuda de uma assessoria externa e especializada em privacidade e proteção de dados. A ideia é justamente atender de forma assertiva as demandas específicas da LGPD e conseguir dar conta dos três pilares que baseiam o processo de conformidade com a lei: base jurídica, segurança da informação e compliance. 

Na Get Privacy, por exemplo, nós temos especialistas nas três áreas e atuamos de forma conjunta com a equipe interna das empresas.

2) Mapeie o fluxo de dados na empresa

O mapeamento do fluxo de dados pessoais na empresa é uma das etapas mais importantes do processo de adequação. É preciso entender o ciclo de vida do dado, incluindo a coleta, uso, compartilhamento, arquivamento e descarte. 

É nessa etapa que a empresa deve entender de maneira bastante clara quais dados pessoais são coletados e por meio de quais canais; onde ficam armazenados; quem tem acesso a que tipo de dado; quem manipula e usa os dados; quais dados são compartilhados com quais parceiros externos etc.

Para isso, é preciso fazer entrevistas e enviar questionários aos diferentes setores da empresa, além de avaliar os processos executados por parceiros. Há ferramentas que podem ajudar nesse processo, mas o ideal é que ele seja guiado por profissionais especializados na lei.

3) Revise quais dados são coletados e se há embasamento legal

Com o fluxo de dados mapeado, é hora de analisar o panorama completo e revisar a coleta e o tratamento de dados na empresa. O objetivo é mitigar riscos, avaliando a real necessidade de coletar determinado dado e se o tratamento se enquadra de fato nas premissas da LGPD.

A revisão de dados é especialmente importante caso a empresa esteja coletando dados sensíveis, que são dados relacionados a fatores como orientação sexual, saúde, religião, origem étnica etc. Por conta da natureza da informação, o tratamento de dados sensíveis têm exigências específicas na LGPD, o que aumenta o risco para as empresas.

Assim, nesta etapa a empresa poderá revisar seus processos, verificando a real necessidade da coleta de determinado dado pessoal, a exemplo dos dados de saúde de um colaborador. Ou se há necessidade do cliente informar seu estado civil na hora de preencher um cadastro, por exemplo.

Evita-se, assim, a coleta excessiva de dados que não atendam a finalidade pretendida. Afinal, quanto mais dados custodiados, maior a responsabilidade da empresa. A ideia deve ser a de minimização dos dados.

Além disso, é preciso avaliar se o tratamento de dados é justificado. Afinal, a LGPD estabelece que para poder fazer o tratamento de dados pessoais as empresas devem se enquadrar em algumas hipóteses, que são as chamadas bases legais da LGPD. O consentimento do titular dos dados é uma das hipóteses previstas na lei, mas não necessariamente a mais adequada para o negócio.

Por isso, é preciso fazer uma avaliação jurídica minuciosa dos processos empresariais para determinar qual a melhor base legal para o tratamento de dados dentro da empresa.

4) Garanta uma comunicação transparente com o titular dos dados

A transparência é um dos princípios que guia toda a LGPD e o próprio conceito de proteção de dados. Isso envolve ser transparente a respeito de quais dados são coletados, o que é feito com eles e para qual finalidade. Aliás, esta regra vale para dados coletados em qualquer ponto de contato – site, formulários em papel, contratos, cadastro de currículos etc.

Definir de maneira clara a finalidade da coleta e do tratamento de dados é fundamental para poder justificar o tratamento sob a LGPD. Por isso, é importante que a finalidade esteja clara tanto para a empresa quanto, principalmente, para o titular dos dados. Afinal, ele tem o direito de saber exatamente de que forma a sua informação pessoal será utilizada.

Além disso, a empresa também deve estabelecer um canal de comunicação para que o titular possa entrar em contato. Isso é importante porque dentre os direitos do titular estão, por exemplo, ter acesso aos seus dados pessoais, ter informações sobre como e com quem os dados são compartilhados e pedir alterações nos dados.

5) Revise e adeque contratos, políticas de privacidade e outros documentos

Outro ponto importante no processo prático de adequação à LGPD é revisar e adequar documentos como contratos, políticas de privacidade e termos de consentimento. Ou seja, toda a documentação relacionada à coleta e tratamento de dados envolvendo funcionários, parceiros, clientes e visitantes do site. 

É preciso que todos os documentos estejam dentro dos parâmetros da LGPD e prevejam a conformidade com a lei, especialmente no caso de contratos com terceiros. Nas documentações direcionadas aos titulares dos dados, é preciso expor de maneira clara e inequívoca a finalidade da coleta e do tratamento dos dados.

Caso seja um termo de consentimento, como um banner alertando sobre cookies no site, é preciso dar a opção do usuário não conceder o consentimento. Neste caso, deve-se explicar as consequências da negativa (como falhas no funcionamento do site, por exemplo).

Vale destacar que é comum que as empresas tenham a impressão de que a adequação se limita a essa revisão e criação de documentos, mas este é apenas um ponto dentro de um processo de adequação muito maior e mais complexo.

6) Avalie e reforce sua política de segurança da informação

A adequação à LGPD é muitas vezes confundida com um processo puramente jurídico. No entanto, um pilar fundamental previsto na lei é a segurança dos dados pessoais. 

A LGPD estabelece dez princípios que devem nortear o tratamento de dados pessoais. Um deles é justamente a segurança. Segundo a lei, as empresas devem tomar medidas para garantir a proteção dos dados contra acessos não autorizados, perdas, adulterações e vazamentos.

Por isso, é fundamental investir em uma política de segurança da informação consistente, que minimize os riscos de ataques hacker, vazamentos intencionais e perda de dados devido à queda ou instabilidade de sistemas. Caso contrário, a empresa pode sofrer sanções administrativas e ser alvo de ações individuais e coletivas por parte dos titulares que tiverem seus dados vazados, por exemplo.

O primeiro passo é fazer um diagnóstico da situação de segurança na empresa, com uma análise de vulnerabilidades. Depois, é preciso ajustar os pontos que mais exigem atenção, minimizando os riscos aos dados pessoais.

Uma equipe especializada em segurança da informação, como a que temos aqui na Get Privacy, oferece uma ajuda fundamental nesse processo. 

7) Defina quem será o DPO

Um cargo que a LGPD exige que exista nas empresas é o do DPO (Data Protection Officer) ou encarregado de dados. De acordo com a LGPD, o encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.

Ele será o responsável por atuar como uma espécie de fiscal da lei dentro da empresa, atuando com independência para orientar de maneira técnica e embasar as decisões corporativas para que estejam aderentes à legislação de proteção de dados pessoais.

Portanto, a adequação à LGPD passa por definir quem ocupará o cargo de DPO na empresa. O profissional pode ser tanto um funcionário interno quanto um terceirizado especializado na função. Na prática, o cargo tem sido ocupado por advogados, consultores e profissionais de segurança da informação.

A LGPD determina que a agência reguladora poderá dispor sobre a dispensa da exigência do cargo de DPO em alguns casos. No entanto, ainda que não haja a obrigatoriedade legal, conforme regulamentação a ser editada pela ANPD, a presença de um DPO configura boa prática para a manutenção do programa de conformidade da organização.

8) Invista em treinamento e conscientização de equipe

Manter-se em conformidade com a LGPD é um processo contínuo, que vai exigir atenção de toda a equipe e mudanças na cultura organizacional. É preciso que todos entendam os fundamentos da lei e incorporem a prática da proteção de dados pessoais ao dia a dia, em todas as atividades que realizam. Afinal, são os colaboradores que estão na linha de frente, manuseando dados pessoais em suas rotinas de trabalho.

Para que isso ocorra, é essencial investir em treinamentos e conscientização de equipe. Isso pode ser feito inclusive com medidas simples, como compartilhar textos e postagens sobre a LGPD, como as que oferecemos aqui na Get Privacy. Ou então de forma profissionalizada, com a contratação de cursos e workshops. 

O importante é trazer o aprendizado para o debate interno e permitir que a cultura de proteção de dados seja incorporada à empresa de forma definitiva.

9) Estabeleça medidas de governança

Como mencionamos acima, estar em conformidade com a lei não é uma tarefa que termina depois que as principais medidas de adequação foram implementadas. É algo que deve ser feito de forma contínua, com medidas de governança que garantam que as premissas da lei estejam sendo cumpridas por todos na empresa.

É preciso criar processos que foquem na análise e controle de riscos, investindo de maneira forte em boas práticas. A ética tem que ser um pilar sólido, definido por políticas internas e colocado em prática em todas as relações da organização.

Há várias medidas de governança que podem ser adotadas com foco na LGPD. Por exemplo, a implementação de um canal de denúncia, programas de formação contínua, reformulação do Código de Ética, criação de políticas específicas para determinadas situações etc.

10) Conte com a ajuda de uma assessoria externa

Como você deve ter percebido ao longo desse texto, o processo de adequação à LGPD é complexo e passa por muitas etapas que demandam conhecimento especializado. Quanto maior o tamanho e os riscos da organização, mais cuidado é preciso na hora de adotar cada uma das medidas citadas. 

Por isso, é importante contar com uma assessoria especializada em LGPD. Preferencialmente, ela deve ser capaz de atender o programa de adequação de forma completa, de ponta a ponta. Ou seja, cumprindo requisitos jurídicos, de TI e segurança da informação, e de compliance.

É este serviço que nós oferecemos aqui na Get Privacy. Nossa equipe é referência em LGPD e proteção de dados, e atua de forma integrada com a sua empresa. Para saber mais, fale conosco. Nós podemos te ajudar no processo de adequação à LGPD.

Fiscalização.

Confira nosso diagnóstico para LGPD!

Responda o questionário e entenda os riscos e a situação da sua empresa em relação à Lei Geral de Proteção de Dados.

acompanhe
nossas redes

receba
mais notícias

Receba dicas e notícias sobre LGPD, privacidade e segurança de dados.

CONFIRA
OUTROS POSTS