LGPD: confira 10 boas práticas de proteção de dados e privacidade

Adequar-se à Lei Geral de Proteção de Dados (LGPD) envolve uma série de medidas, que variam de acordo com as particularidades de cada organização. No entanto, esse processo é facilitado com a implementação de algumas boas práticas de proteção de dados e privacidade.

Confira 10 boas práticas para a conformidade com a LGPD:

Confira neste artigo!

Baixe a nossa cartilha da LGPD!

Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!

1. Fazer um mapeamento de dados

O mapeamento de dados é não apenas uma boa prática, mas uma etapa essencial para garantir a conformidade com a LGPD.

Trata-se de conhecer o ciclo de vida dos dados pessoais que a empresa custodia, entendendo todos os canais de coleta, locais de armazenamento, com quem são compartilhados, quem possui acesso, período de armazenamento e destinação final dentre outras questões.

Esse conhecimento adquirido no mapeamento de dados é o que permite criar um plano de governança e de adequação à lei.

Sem o data mapping, não é possível identificar os riscos aos quais a empresa está exposta, como tratamento irregular e coleta desnecessária de dados sensíveis.

Além disso, o mapeamento de dados também garante à organização ter clareza e entendimento na gestão dos dados. Afinal de contas, só é possível proteger aquilo que se conhece.

2. Investir em Privacy by Design

O Privacy by Design é um framework que, além de facilitar a adequação à LGPD, também configura uma boa prática no tratamento de dados pessoais.

Ele tem como proposta central incorporar a privacidade e a proteção de dados pessoais em todos os projetos desenvolvidos por uma organização, desde a sua concepção.

O conceito foi desenvolvido na década de 90 por uma especialista em privacidade de dados, a Ph.D. canadense Ann Cavoukian, mas ganhou força com o surgimento de novas regulamentações de privacidade.

A LGPD, por exemplo, determina que os controladores devem adotar medidas de segurança desde a fase de concepção do produto ou serviço até a sua execução, o que é justamente uma das metas do Privacy by Design.

Como explicamos em detalhes nesse post sobre o assunto, os passos previstos pela metodologia também facilitam a adequação à LGPD e ajudam a reduzir custos. Isso porque permitem começar um projeto, serviço ou tecnologia já de forma aderente à lei, mesmo com poucos recursos.

3. Manter um registro das operações de tratamento

Outra boa prática da proteção de dados é manter um registro das operações de tratamento. Pensando em termos de LGPD, esse registro deve incluir a classificação das operações de acordo com sua base legal e a sua finalidade.

O registro é fundamental para demonstrar a órgãos de fiscalização, como a ANPD (Autoridade Nacional de Proteção de Dados), que o tratamento de dados é feito de forma legal e que a empresa está comprometida com a proteção de dados e a adequação à lei.

O registro de operações pode ser criado após a etapa de mapeamento dos dados pessoais que a empresa custodia, compreendendo-se todo o seu ciclo de vida.

Legítimo interesse e o registro das operações de tratamento

Um ponto de atenção na hora de registrar as atividades de tratamento é quando a base legal –ou seja, a hipótese da LGPD que justifica o tratamento de dados— for o legítimo interesse.

O legítimo interesse é uma das bases legais mais genéricas e flexíveis previstas na LGPD. A lei diz que dados pessoais podem ser tratados “quando necessário para atender aos interesses legítimos do controlador ou de terceiro”, desde que isso não se sobreponha a direitos e liberdades fundamentais do titular.

Justamente por seu caráter genérico, o legítimo interesse traz também mais responsabilidades para a empresa, que tem que estar preparada para justificar a qualquer momento o uso dos dados.

Portanto, é uma boa prática manter um registro da avaliação feita em relação ao legítimo interesse que a empresa pretende atender, identificando-o como necessário e avaliando se não existem direitos fundamentais que se sobreponham a este interesse.

Além disso, a LGPD deixa claro que, se o tratamento tiver como fundamento o legítimo interesse, a ANPD pode solicitar ao controlador o Relatório de Impacto à Proteção de Dados Pessoais, documento sobre o qual falaremos no próximo item.

4. Elaborar o Relatório de Impacto à Proteção de Dados Pessoais

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é um documento que deve ser elaborado pelo controlador sempre que o processo de tratamento de dados pessoais possa gerar riscos às liberdades civis e aos direitos fundamentais.

Basicamente, o RIPD cumpre a função de demonstrar que o controlador avaliou os riscos nas operações de tratamento de dados pessoais e adotou medidas para mitigá-los. Em outras palavras, é uma ferramenta de gestão de riscos à privacidade.

A LGPD prevê que a ANPD poderá solicitar este relatório a qualquer momento. Por isso, é fundamental manter-se em dia com essa obrigação.

Porém, mais do que uma obrigação legal, o RIPD configura boa prática da organização para mitigar os riscos envolvidos em determinada operação de tratamento de dados pessoais.

Para saber mais sobre como elaborar o Relatório de Impacto, confira o post que preparamos sobre o assunto.

5. Anonimizar dados quando possível

A anonimização é uma técnica recomendada pela LGPD em determinados casos, como nos estudos realizados por órgãos de pesquisa e nos estudos em saúde pública.

Além disso, ela é considerada uma boa prática nas situações em que for útil e puder ser aplicada pelo controlador dos dados.

Segundo a LGPD, a anonimização de dados é a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”.

Ou seja, a anonimização é o processo de fazer com que seja impossível identificar uma pessoa a partir do dado disponível. Assim, deixando de ser dado pessoal, a informação fica fora do escopo de aplicação da LGPD.

Para as empresas, a anonimização pode ser uma boa opção quando ainda é possível usufruir do valor da informação sem a necessidade de identificar o titular. Essa é uma situação comum, por exemplo, na realização de estudos estatísticos.

Um ponto importante a destacar é que, por lei, o processo de anonimização deve ser irreversível. Ou seja, o dado não pode ser restaurado nem recuperado.

6. Investir em Segurança da Informação

A Segurança da Informação para garantir a proteção de dados pessoais é não apenas uma boa prática, mas também um requisito de conformidade da LGPD.

A lei estabelece a segurança como um de seus dez princípios básicos, determinando que devem ser adotadas medidas técnicas e administrativas para proteger os dados pessoais “de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

Além disso, a LGPD também determina que o agente de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento é responsável por garantir a segurança dos dados pessoais, mesmo após o fim do tratamento.

Princípios da Segurança da Informação na LGPD

Na LGPD, a segurança norteia-se pelos seguintes princípios:

  • Confidencialidade (informação conhecida apenas por quem necessita conhecê-la);
  • Integridade (informação mantida íntegra, inalterada indevidamente);
  • Disponibilidade (informação disponível quando necessária).

Lembre-se que a LGPD é, acima de tudo, uma lei voltada para proteger dados pessoais — e uma premissa básica da proteção de dados é adotar medidas para garantir que eles estejam seguros de fato.

7. Escolher parceiros comprometidos com a proteção de dados

Por mais que uma organização invista em proteção de dados e privacidade, todo esse esforço pode ir por água abaixo caso seus parceiros e colaboradores não adotem a mesma postura.

Um vazamento de dados ocorrido após uma falha de um parceiro comercial, por exemplo, traz implicações legais e danos de reputação a todos os envolvidos.

Portanto, é uma boa prática fundamental estabelecer critérios para avaliar e exigir o cumprimento de medidas de proteção de dados e privacidade de todos os parceiros.

Isso pode ser feito através de medidas jurídicas, com a revisão de contratos, a inclusão de cláusulas específicas e a assinatura de acordos de confidencialidade. No entanto, o ideal é que a organização vá além e procure entender, de fato, como seus parceiros tratam a questão da proteção de dados.

O parceiro já indicou um DPO (encarregado)? Adota medidas de proteção de dados e segurança da informação? Controla o acesso de colaboradores a dados pessoais? Treina a equipe para sensibilizá-la a respeito do assunto?

Essas são todas questões que devem ser levadas em consideração na hora de avaliar a maturidade de um parceiro em relação à privacidade.

8. Atender os direitos dos titulares de dados

Como uma lei voltada a proteger os dados pessoais da pessoa natural (pessoa física), a LGPD estabeleceu também uma série de direitos aos denominados titulares dos dados. No infográfico abaixo, listamos os principais direitos previstos em lei.
Infográfico que mostra os direitos dos titulares de dados na LGPD

Ainda há alguns pontos que precisam ser regulamentados pela ANPD, relacionados principalmente aos prazos e à forma como esses direitos podem ser cobrados e devem ser respondidos.

No entanto, como a lei já está em vigor, os titulares dos dados podem sim exercer seus direitos diretamente ao controlador.

Por isso, é ideal que a organização já tenha de antemão estabelecido um processo de resposta às requisições dos titulares, possuindo um canal de comunicação com estes e padronizado suas respostas para cada tipo de solicitação bem como critérios para que a requisição seja atendida ou recusada.

Além disso, o processo deve preocupar-se com a confirmação da identidade do titular, sob pena de gerar um incidente de segurança.

9. Criar um protocolo de resposta a incidentes envolvendo dados pessoais

Toda organização precisa estar preparada para lidar com um incidente de segurança envolvendo dados pessoais. Vazamento, acesso indevido, alteração ou eliminação de dados… infelizmente, nenhuma empresa está imune a incidentes como esses.

Portanto, é uma boa prática criar um protocolo de resposta a incidentes envolvendo dados pessoais, de forma a responder o mais rapidamente possível à situação.

Este protocolo é basicamente um passo a passo de como agir caso a empresa vivencie um incidente de segurança envolvendo dados pessoais. Ele deve se basear, claro, nas determinações da LGPD para estabelecer o modus operandi em situações como essa.

Comunicação de incidente de segurança à ANPD

Inclusive, a LGPD estabelece a obrigação de comunicação do incidente à Autoridade Nacional e aos titulares de dados caso o incidente em questão possa acarretar em risco ou dano relevante aos titulares.

Tal comunicação deverá ser feita em prazo razoável e mencionar, no mínimo:

  • A descrição da natureza dos dados pessoais afetados;
  • As informações sobre os titulares envolvidos;
  • A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;
  • Os riscos relacionados ao incidente;
  • Os motivos da demora, no caso de a comunicação não ter sido imediata; e
  • As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. 

Além disso, a ANPD (Autoridade Nacional de Proteção de Dados) avalia a gravidade do incidente e pode determinar que o caso seja amplamente divulgado nos meios de comunicação dentre outras medidas.

Para criar esse protocolo de resposta a incidentes, a organização pode contar com a ajuda de uma consultoria especializada em LGPD, como a Get Privacy.

10. Treinar e conscientizar a equipe

Por fim, mas não menos importante, uma boa prática essencial é treinar e conscientizar a equipe a respeito da proteção de dados pessoais.

Isso facilita a adequação à LGPD e demais regulamentações de privacidade e ajuda a reduzir o risco de incidentes de segurança.

Afinal, uma equipe consciente do papel e das exigências da LGPD consegue identificar situações de tratamento irregular de dados e atuar de forma a proteger as informações com as quais a organização lida.

Além disso, treinar a equipe regularmente é uma forma de demonstrar à ANPD que a organização atua para garantir a conformidade com a lei.

Esse treinamento pode ser na forma de cursos online ou presenciais. O importante é escolher o formato que melhor se adequa às necessidades da empresa.

Adeque-se à LGPD com a consultoria da Get Privacy

O processo de adequação à LGPD engloba uma série de cuidados e pontos de atenção. Não há caminho único à conformidade. Assim, para garantir que ele seja executado da melhor maneira possível, o mais indicado é que a organização conte com uma assessoria especializada.

Na Get Privacy, nós contamos com uma equipe multidisciplinar especializada em proteção de dados para atender às suas demandas.

Comece já sua adequação à LGPD

A Get Privacy conta com uma equipe multidisciplinar especializada em proteção de dados para guiar seu programa de conformidade.

acompanhe
nossas redes
receba
mais notícias

CONFIRA
OUTROS POSTS