LGPD: 10 perguntas que toda empresa deve estar preparada para responder

Com a Lei Geral de Proteção de Dados (LGPD) em vigor desde setembro de 2020, espera-se que as empresas estejam adequadas à nova legislação ou ao menos caminhando para tanto. Afinal, toda organização que trata dados pessoais no Brasil está sujeita a sanções administrativas e também a ações judiciais em caso de descumprimento da lei.

A conformidade com a LGPD é fundamental também para poder dar uma resposta a possíveis questionamentos tanto dos titulares, cada vez mais antenados ao que é feito com os seus dados pessoais, quanto da ANPD, a autoridade responsável por fiscalizar o cumprimento da lei.

Para dar uma ideia do tipo de questionamento que a sua empresa pode esperar, nós separamos uma lista com 10 perguntas sobre LGPD e proteção de dados que toda empresa deve estar preparada para responder.

Além de um guia para os questionamentos que podem surgir, essa lista é um bom termômetro também para avaliar como está o grau de conformidade da sua organização. Confira!

1) Quais cuidados e ações a empresa adota para garantir que o tratamento está de acordo com a LGPD?

Esta é a pergunta mais básica e essencial, que pode partir tanto da ANPD quanto dos titulares de dados. Basicamente, a empresa deve estar preparada para mostrar e comprovar todas as medidas adotadas para garantir a conformidade com a lei.

Aliás, é importante lembrar que a LGPD opera sob a ótica da responsabilidade demonstrada. Ou seja, não basta afirmar que a empresa está em conformidade com a lei. É preciso ser capaz de demonstrar essa conformidade, comprovando as medidas adotadas.

Isso inclui, por exemplo, garantir que o tratamento de dados esteja enquadrado em uma base legal, adotar medidas de segurança para proteger os dados e permitir que eles sejam acessados apenas por quem precisa. Para saber mais, confira nosso checklist de conformidade com a LGPD.

2) Como a empresa recebe/tem acesso aos dados?

Esta é uma pergunta comum e especialmente importante para o titular de dados, que tem o direito de se certificar de que a empresa teve acesso ao seu dado de forma legal.

De maneira geral, a informação pode ter sido fornecida pelo próprio titular ou compartilhada por parceiro ou órgão público – sempre de acordo com os termos da lei. Vale lembrar que a prática de comprar ou vender uma base de dados pessoais é ilegal.

3) Qual a finalidade para o tratamento dos dados? Ou seja, por que a empresa trata os dados solicitados?

Por lei, todo tratamento de dados deve ser feito para cumprir uma finalidade específica – esse é um dos princípios da LGPD. Por exemplo, se uma empresa solicita um e-mail com a finalidade exclusiva de enviar um boleto de pagamento, ela não pode usar esse dado para enviar e-mails com promoções.

É importante que a finalidade do tratamento seja informada ao titular desde o início, para que ele saiba como seu dado será utilizado. Da mesma maneira, a empresa deve saber responder qual é a finalidade de cada tratamento realizado.

4) Por quanto tempo os dados são armazenados pela empresa?

Quando um titular fornece um dado pessoal, isso não significa que essa informação pode ser armazenada pela empresa por tempo indeterminado. Afinal, pela LGPD todo tratamento de dados deve ter um fim, que normalmente ocorre quando se cumpre a finalidade para o uso daquele dado.

É natural que o titular de dados queira saber por quanto tempo sua informação será armazenada, portanto a empresa deve estar pronta para responder esse questionamento. Da mesma maneira, a ANPD também pode solicitar essa informação.

Para saber mais, acesse nosso post sobre as regras para o término do tratamento de dados.

5) Quem tem acesso aos dados dentro da empresa?

Uma boa prática de proteção de dados é restringir o acesso ao dado apenas a quem necessariamente precisa dele para exercer seu trabalho. Estabelecer essa restrição e saber responder exatamente quem pode acessar dados pessoais ajuda a:

Evitar incidentes de segurança;
Identificar responsáveis caso haja algum incidente de origem interna;
Comprovar para a ANPD que a empresa adotou uma medida importante de conformidade com a lei;
Tranquilizar o titular de que seu dado está sendo tratado com critério.

6) Os dados são compartilhados com outras empresas ou organizações? Por qual motivo?

O compartilhamento indevido de dados pode se transformar numa dor de cabeça para a empresa, sendo um dos principais motivos de ações judiciais por parte dos titulares de dados.

Portanto, é fundamental saber apontar com quem a empresa compartilha dados e deixar claro que eles foram compartilhados dentro dos limites estabelecidos em lei (com o consentimento do titular, por exemplo).

7) A empresa emprega medidas de segurança da informação para proteger os dados?

Com ataques hacker, roubo e vazamento de dados cada vez mais frequentes, é importante que a empresa esteja preparada para lidar com perguntas a respeito das medidas de segurança que adota para proteger as informações sob sua responsabilidade.

Além de ser um ponto sensível para o titular de dados, a Segurança da Informação é também uma obrigação da empresa prevista na LGPD.

8) A empresa já sofreu algum incidente de segurança ou vazamento de dados? Se sim, como lidou com a situação? Possui um protocolo para responder a incidentes e preservar os dados pessoais?

Esta é uma pergunta diretamente relacionada à anterior e exige transparência por parte da empresa.

Tanto os titulares de dados quanto a ANPD podem questionar a organização a respeito de eventuais incidentes de segurança. Caso de fato tenha ocorrido algum incidente, é preciso que a empresa esteja pronta para responder detalhadamente sobre como agiu para prevenir e conter o estrago.

Aliás, vale lembrar que incidentes de segurança que tragam risco ou dano relevante ao titular devem obrigatoriamente ser informados à ANPD.Leia mais sobre como criar um plano de resposta a incidentes.

9) Como o titular pode consultar mais informações sobre os dados armazenados pela empresa? Por exemplo, saber quais dados a empresa possui ou solicitar a exclusão de algum dado.

O titular tem uma série de direitos previstos na LGPD, como confirmar a existência de tratamento e solicitar o acesso ou a exclusão de seus dados. É fundamental que a empresa estabeleça um canal de comunicação claro para que o titular possa fazer essas solicitações.

Além disso, idealmente a organização deve ter um protocolo de resposta a essas demandas, com um passo a passo definido para avaliar a solicitação e respondê-la.

Aliás, nem sempre o pedido do titular poderá ser atendido. Por exemplo, um pedido de exclusão de dados pode ser negado caso a empresa precise manter o dado para cumprir com alguma obrigação legal ou regulatória.

10) A empresa já indicou um DPO (Encarregado)? Como o titular pode contatar o DPO?

Uma última pergunta importante diz respeito ao DPO (Data Protection Officer), chamado na lei de Encarregado.

O DPO é o responsável, dentre outras coisas, por fazer a ponte entre a empresa, os titulares e a ANPD. A indicação de alguém para o cargo é obrigatória, exceto para startups e pequenas empresas.

Portanto, é preciso que a companhia esteja preparada para responder se já indicou alguém para atuar como DPO e como ele pode ser contatado.É importante destacar ainda que o cargo pode ser ocupado tanto por um funcionário da empresa quanto por um profissional terceirizado, como no DPO as a Service, oferecido pela Get Privacy.

Adeque-se à LGPD com consultoria especializada

O processo de adequação à LGPD engloba uma série de cuidados e pontos de atenção. Não há caminho único à conformidade. Assim, para garantir que ele seja executado da melhor maneira possível, o mais indicado é que a organização conte com uma assessoria especializada.

Na Get Privacy, nós contamos com uma equipe multidisciplinar especializada em proteção de dados para atender às suas demandas.

Fale conosco via WhatsApp e veja como podemos te ajudar!

Fale conosco para saber mais

acompanhe
nossas redes

receba
mais notícias

CONFIRA
OUTROS POSTS

Uso de imagem de clientes e colaboradores: entenda como realizar de forma correta