LGPD - Como adequar a empresa

Na era digital, os dados sobre as pessoas tornaram-se uma moeda valiosa para organizações que têm seus modelos de negócio baseados neles. Esses dados permitem que a tomada de decisão seja mais precisas, além de otimizar estratégias, responder ao mercado com mais agilidade e avançar nas tecnologias de inteligência artificial.

Mas, para trabalhar com dados, é necessário que hajam políticas e estratégias transparentes. Afinal, eles carregam informações pessoais, muitas vezes sensíveis, que precisam ser protegidas contra fraudes, roubos, vazamentos e usos indevidos.

Justamente por esse motivo, apresentam desafios específicos de segurança e constantes reflexões legais, especialmente com relação aos seus limites de utilização. É aí que entra a LGPD e a importância de adequar sua empresa à essa legislação.

Desde que entrou em vigor em 18 de dezembro de 2020, a Lei Federal 13.709/18 traz para as empresas a duvida sobre como se adequar a nova legislação. Abaixo abordaremos mais sobre isso.

Entenda o que é a Lei Geral de Proteção de Dados

A Lei Geral de Proteção de Dados (LGPD) é a principal legislação brasileira sobre proteção e privacidade de dados pessoais. Tem como objetivo dar maior controle para os indivíduos sobre o tratamento dado a suas informações pessoais nos meios digitais e de proteger os direitos fundamentais de liberdade e de privacidade dos titulares.

Portanto, a LGPD prevê que as empresas que operam no Brasil tenham maior cuidado ao lidar com informações e dados pessoais, além de determinar como elas devem agir em relação à coleta, uso e compartilhamento de dados pessoais, evitando vazamento, abusos, perda ou uso dos dados para fins não autorizados.

Para isso, exige que as organizações adotem políticas para garantir a segurança dos dados de clientes, por meio de normas sobre o tratamento de dados pessoais por empresas privadas, poder público ou por outras pessoas, em qualquer meio (físico ou digital).

Isso significa que as empresas precisam ser mais transparentes sobre a coleta, utilização, armazenamento e transferência de dados pessoais, garantindo aos seus donos informações claras, precisas e acessíveis sobre a realização do tratamento e sobre os agentes envolvidos nessas atividades.

Antes da LGPD não existiam normas rígidas quanto ao uso de dados pessoais dos cidadãos e algumas empresas cometiam abusos comercializando-os com terceiros, de modo que as pessoas não tinham controle sobre as próprias informações.

Quais tipos de empresas devem se adequar à LGPD?

A LGPD se aplica a qualquer empresa que opera ou faz negócios no Brasil. Todos os tamanhos estão inclusos: pequena, média e grande. Todos os setores também estão inclusos, como, por exemplo, empresas das áreas de tecnologia, de finanças, de saúde e de educação.

Dentre as sanções administrativas previstas na LGPD para o caso de violação das regras previstas, destacam-se:

  • A advertência, com possibilidade de medidas corretivas;
  • A multa de até 2% do faturamento, com limite de até R$ 50 milhões;
  • O bloqueio ou a eliminação dos dados pessoais relacionados à irregularidade;
  • A suspensão parcial do funcionamento do banco de dados ou a proibição parcial ou total da atividade de tratamento.

Pensando nisso, nós criamos uma lista de dicas práticas para que você possa adequar a sua empresa à lei de forma tranquila e sem grandes estresses e dores de cabeça. Até porque o descumprimento das normativas da LGPD podem chegar a R$ 50 milhões por infração cometida. É muito dinheiro!

Confira em 10 passos para sua empresa se adequar a LGPD

1. Entenda o fluxo de informações dentro da empresa

O primeiro passo para se enquadrar à LGPD é entender o fluxo de informações e dados pessoais dentro da sua empresa. Ou seja, onde, como e quais dados de usuários, clientes, parceiros e funcionários são coletados, usados e armazenados.

Neste momento, é necessário realizar uma categorização, separando os dados pessoais daqueles que são sensíveis, para analisar quais informações são importantes manter e quais deverão ser descartadas. Além de saber onde armazená-las, do ponto de vista da segurança das informações.

2. Faça um mapeamento dos dados

O mapeamento do fluxo de dados pessoais na empresa é uma das etapas mais importantes do processo de adequação. É preciso entender o ciclo de vida do dado, incluindo a coleta, uso, compartilhamento, arquivamento e descarte.

Conheça e mapeie todos os dados sensíveis que são utilizados pela empresa. Onde eles estão armazenados? Como foram tratados? Determine por onde eles trafegam e verifique quais sistemas de controle são necessários para proteção.

É crucial também saber quais são os dados que você precisa coletar, quais já estão sob controle da empresa e como eles estão sendo tratados. Identifique as políticas, procedimentos e ferramentas que a sua equipe utiliza atualmente e quais posturas precisam ser revistas.

Com o fluxo de dados mapeado, é importante analisar o panorama completo e revisar a coleta e o tratamento de dados na empresa. O objetivo é mitigar riscos, avaliando a real necessidade de coletar determinado dado e se o tratamento se enquadra de fato nas premissas da LGPD.

A revisão de dados é especialmente importante caso a empresa esteja coletando dados sensíveis, que são dados relacionados a fatores como orientação sexual, saúde, religião, origem étnica etc. Este levantamento irá dar uma noção de quais os principais riscos e, consequentemente, quais as necessidades da empresa para poder minimizar perdas ou vazamentos.

3. Reformule contratos e documentos

Além de uma análise completa sobre o seu fluxo de dados, é necessário rever seus contratos de serviços. Na hora do mapeamento, identifique contratos e documentos relacionados ao tratamento de dados que a sua empresa utiliza.

Contratos com clientes e fornecedores ou documentos como a política de privacidade do site devem agora se alinhar às disposições da LGPD e esclarecer as formas de tratamento dos dados pela sua empresa.

Certifique-se de que esses contratos e documentos explicitam claramente a finalidade do tratamento dos dados pessoais, sempre de forma simples, clara e transparente. Se eles foram compartilhados com terceiros, essa informação também precisa constar.

4. Crie um canal de comunicação com os clientes e usuários

Segundo a lei, os clientes e usuários têm o direito de saber como as suas informações têm sido utilizadas e até a exigir uma cópia delas. Além disso, eles podem exigir que dados sejam apagados, editados e até desvinculados.

A empresa precisa elaborar políticas que estabeleçam de forma clara, precisa e acessível como ocorre a coleta, utilização, armazenamento, compartilhamento e transferência internacional de dados pessoais, medidas de segurança da informação, assim como os direitos do titular e instruções de como exercê-los.

Portanto, você só pode coletar dados de pessoas se tiver o consentimento delas e esse consentimento deve ser explícito. Desse modo, certifique-se de que os contratos perguntarão explicitamente pela autorização de uso de dados, e informem sempre a finalidade da coleta.

Deixe que o usuário decida se quer ou não entregar os dados à sua empresa, sem forçar a barra. No caso de dados de crianças e adolescentes, o consentimento deve ser dado por pelo menos um dos pais ou pelo responsável legal.

5. Defina uma equipe para a implementação

Defina uma equipe que vai ser responsável para colocar as mudanças em prática. Procure montar um grupo com colaboradores de várias áreas para motivar o engajamento de toda a empresa.

Essa equipe deve ser responsável pelo mapeamento dos dados, a revisão de contratos e a definição de políticas e medidas de segurança, além de promover treinamentos e materiais de orientação e conscientização. Depois da implementação, a equipe também deve monitorar a eficácia da aplicação das medidas e fazer os ajustes necessários.

A ideia é justamente atender de forma assertiva as demandas específicas da LGPD e conseguir dar conta dos três pilares que baseiam o processo de conformidade com a lei: base jurídica, segurança da informação e compliance.

6. Defina um DPO

De acordo com a lei, todo negócio precisa de uma pessoa responsável pela comunicação entre a empresa, os usuários (titulares dos dados) e o órgão de fiscalização. Essa pessoa é o DPO (Data Protection Officer) ou encarregado de dados, que informará às autoridades em casos de vazamentos de dados, e que prestará esclarecimentos ao público.

Esses Agentes de Tratamento de dados pessoais podem ser pessoas físicas ou jurídicas, de direito público ou privado. Ele(a) deve ser o controlador, responsável pelas decisões sobre o tratamento dos dados pessoais.

Dentre as funções do DPO estão, por exemplo, orientar os funcionários da empresa sobre a política de segurança da informação e atuar como canal de comunicação entre a empresa, os donos dos dados e também a autoridade nacional.

Veja algumas considerações sobre o DPO:

  • O cargo é obrigatório, mas a ANPD ainda poderá dispor sobre a sua dispensa em alguns casos, dependendo do tamanho da empresa ou volume de processamento de dados;
  • O DPO será o responsável por atuar como uma espécie de fiscal da lei dentro da empresa.

7. Colete apenas informações essenciais para o seu negócio

A lei reforça muito a questão dos dados essenciais, ou da minimização da coleta. Isto quer dizer que a sua empresa deve coletar apenas informações que tenham real importância para o seu negócio.

Por exemplo, algumas religiões não permitem transfusão de sangue. Sob a lei, o hospital ou clínica deve perguntar apenas se o paciente aceita fazer transfusão sanguínea e não qual é a religião dele.

8. Seja claro em relação ao tempo de uso dos dados

Um conceito importante que deve ser levado em consideração quando o assunto é LGPD é o de término de tratamento dos dados. Segundo a lei, as empresas precisam definir um tempo de vida útil dos dados.

Ou seja, o término do tratamento de dados pessoais deve acontecer, basicamente, quando o objetivo estipulado pela empresa foi alcançado.

9. Conscientize sua equipe sobre proteção de dados

O cumprimento da LGPD e das políticas internas de proteção aos dados dependam do envolvimento dos colaboradores, responsáveis por lidar com os dados dos clientes no dia a dia. Por isso, incentive a consciência e o comprometimento de todos os colaboradores com a segurança dos dados.

Desse modo, desenvolva uma cultura de proteção aos dados, de acordo com o conceito de privacy by design, em que todos os projetos já nascem com essa prioridade. Além disso, promova treinamentos sobre a importância da segurança da informação e do cumprimento da lei.

A forma mais recomendada para realizar o processo de adequação é envolver a organização como um todo, através da formação de grupos multidisciplinares de trabalho nas áreas de negócio que realizam o tratamento de dados pessoais, com a coordenação do Encarregado ou de um Comitê de Segurança da Informação.

10. Centralize as informações de seus clientes

É de extrema importância centralizar as informações dos seus clientes para poder controlar as informações de dados, como coleta, permissão e exclusão. Já que caso você não respeite os limites, sua empresa poderá ser gravemente penalizada.

Para isso, é possível utilizar programas como CRM e caso trabalhe com atendimento via WhatsApp e outros canais, a Duotalk se torna uma excelente opção para centralizar a comunicação entre funcionários e clientes.

Conclusão

Sabemos que não é fácil se adequar às determinações da LGPD. É preciso investir tempo e energia para entender e mapear o ciclo da informação dentro da sua empresa. Entretanto, as nossas dicas neste blogpost são um norte interessante.

Entenda que adequar sua empresa à Lei Geral de Proteção de Dados não significa apenas atuar em conformidade com a lei. Essas medidas também protegem de riscos que podem trazer grandes prejuízos e ainda ajudam a conquistar a confiança do consumidor.

A Duotalk está pronta para ajudar sua empresa, facilitando todo esse processo de como se adequar à LGPD dentro da nossa plataforma de atendimento. Para mais informações, entre em contato com nosso time comercial 🙂

  • Saiba como uma das estratégias que é tendência no mercado pode te ajudar a vender ainda mais todos os dias! Omnichannel é um termo que tem sido amplamente discutido no […]

    Continue lendo
  • A Duotalk conseguiu democratizar o acesso a criar campanhas no Whatsapp de maneira oficial, sem risco de bloqueio, com o módulo de campanhas, onde qualquer administrador da conta consegue criar […]

    Continue lendo
  • Quando se trata de gerar leads para uma universidade, é importante lembrar que a mídia paga não é a única opção. Existem diversas maneiras de gerar leads que podem ser […]

    Continue lendo
  • Saiba como uma das estratégias que é tendência no mercado pode te ajudar a vender ainda mais todos os dias! Omnichannel é um termo que tem sido amplamente discutido no […]

    Continue lendo
  • A Duotalk conseguiu democratizar o acesso a criar campanhas no Whatsapp de maneira oficial, sem risco de bloqueio, com o módulo de campanhas, onde qualquer administrador da conta consegue criar […]

    Continue lendo