LGPD: sua organização se adequou à Lei Geral de Proteção de Dados?

imagem de um cadeado meio escuro com um LGPD escrito na frente.Essa imagem simboliza o artigo sobre Lei geral de proteção de dados

Falar sobre LGPD (Lei Geral de Proteção de Dados) e Segurança da Informação está na moda, não é mesmo?! Nos últimos meses esse assunto foi e está sendo o foco da maioria das organizações que prezam o bom relacionamento com o cliente

A Lei Geral de Proteção de Dados, também conhecida como lei nº 13.709/2018, é baseada na General Data Protection Regulation (GPDR), assinada em 2016 na União Europeia e foi sancionada em agosto de 2018 aqui no Brasil. Entretanto, só passou a ter vigência em 27 de agosto de 2020. Essa lei tem como principal objetivo a implementação de medidas de segurança, em empresas públicas e privadas que utilizam dados pessoais para gerir seus negócios, para promover a proteção dos dados pessoais que tenham sido coletados em território brasileiro.

Geralmente, quando se fala em proteção de dados, logo vem na cabeça que isso se aplica nos meios digitais, em meios eletrônicos, na internet das coisas. As regras devem ser seguidas em todos os  tratamentos de dados, inclusive àqueles que estão em meio físico!

Mas o que é, e qual é a abrangência da LGPD? 

A LGPD é uma lei que afeta setores e serviços completamente diversos, e abrange a todos os brasileiros, seja no papel individual, empresa pública ou privada. Ela dispõe sobre o tratamento de dados pessoais no intuito de proteger os direitos fundamentais de liberdade e privacidade, e o livre desenvolvimento da personalidade da pessoa natural. A intenção é proteger, garantir a segurança e a defesa do cidadão, e mais, propõe que cada um tenha autonomia para tomar ações quando o tema for o tratamento dos seus dados.

Para entendermos melhor a Lei Geral de Proteção de Dados, primeiro vamos ter clareza em algumas terminologias:

  • Dados pessoais – qualquer dado que está relacionado a pessoa natural identificada ou identificável, ou seja, qualquer dado que pode identificar uma pessoa (nome, cpf, rg, qualificação, dados genéticos, competências…)
  • Dados pessoais sensíveis – qualquer dado que implique sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
  • Dados pessoais anonimizados – dados relativos a um titular que não possa ser identificado por ter passado pelo processo de anonimização, ou seja, por um processo que remove ou modifica informações que possam identificar uma pessoa.
  • Titular – é o dono do dado, à quem o dado se refere.
  • Controlador – é o responsável por tomar decisões referente ao tratamento dos dados pessoais.
  • Operador – é o responsável por realizar o tratamento de dados em nome do controlador.
  • Encarregado – é o responsável escolhido pelo controlador para tratar os dados e intermediar a comunicação entre o titula, o controlador e a ANPD (Autoridade  Nacional de Proteção de Dados. É chamado também de DPO (Data Protection Officer)

Quando falamos sobre abrangência, temos que a LGPD regulamenta qualquer atividade que envolva dados pessoais em território nacional. Desta forma, quando vou à farmácia comprar um Dorflex e fazem meu cadastro, eu tenho o direito de não fazer ou saber como essa farmácia vai tratar meus dados, o que será feito com esses dados e o porquê precisam disso. Essa lei também se aplica extra territorialmente caso o tratamento de dados seja feito em território nacional e caso os dados tenham sido coletados em território nacional.

É preciso ter consentimento dos titulares e manter registros!

O titular, nada mais é que a pessoa ao qual se referem os dados pessoais, é o dono da informação e para que a LGPD seja cumprida é necessário consentimento. Há algumas exceções como por exemplo: cumprir obrigações legais, realização de estudos por órgãos de pesquisa que garantam a anonimização, proteção à vida e outros que podem ser consultados na lei nº 13.709/2018. Entretanto, o consentimento do cidadão é a base legal mais comum e mais apropriada, para que os dados pessoais sejam tratados.

O Art. 8 da Lei Geral de Proteção de Dados deixa claro que deve haver manifestação do consentimento, se possível, por escrito ou qualquer outro meio que evidencie a manifestação de vontade do titular e pode ser revogado a qualquer momento pelo titular, ou seja, se eu não quiser que meus dados sejam utilizados por alguma organização posso dizer “não”.

Para fins do consentimento é necessário clareza sobre o tratamento dos dados, é direito do titular saber a finalidade de uso do dado, como será utilizado e por quanto tempo. Ele pode saber também a identificação do controlador e suas informações de contato, pois se houver alguma alteração na finalidade do tratamento dos dados é necessário que o controlador do dado notifique o titular sobre as mudanças.

A qualquer momento o titular poderá solicitar relatórios e informações sobre seu dado de forma gratuita, portanto o controlador deve ter registros claros e completos sobre o tratamento dos dados. E após o objetivo alcançado com o tratamento dos dados, é necessária a exclusão das informações visto que os dados tratados não são mais necessários para aquela finalidade.

Além do titular, a Autoridade Nacional de Proteção de Dados (ANPD) também pode solicitar aos controladores, relatórios para avaliar os impactos do tratamento dos dados pessoais que incluem detalhes que evidenciem as medidas de segurança e prevenção quanto à riscos que inferem os dados dos titulares.

Foco na Gestão de Riscos e nas Ações

Não precisa sair que nem louco excluindo a base de dados de colaboradores, clientes, fornecedores e mascotes da sua organização. Calma! É hora de trabalharmos na gestão de mudanças para atingirmos os resultados desejados, então tenha foco total no planejamento das transformações dos processos!

O primeiro passo é iniciar o tratamento de sua base dados e garantir que os dados sejam acessados por pessoas que têm permissão para isso, caso ainda não tenha feito essas definições, para se adequar à LGPD. 

Tenha paciência e seja cauteloso. Esse projeto não vai rodar do dia pra noite, dependendo da organização serão necessários de 6 à 12 meses para adequação à nova lei, um passo de cada vez:

1 – Conscientize seu time

Se o mindset da sua organização está vivendo em 2017, você precisa trazer o pessoal para realidade. A importância do tratamento de dados deve estar claro na sua empresa assim como os impactos do não cumprimento da lei. É uma mudança de cultura mesmo e um trabalho que deve envolver todos os seus colaboradores, pois agora uma folha de papel com informações simples (nome completo e empresa) do seu cliente poderá causar danos, aos clientes à sua organização, se tratados de maneira incorreta.

2- Mapeie os dados e desenhe seus fluxos

Tenha definido que tipos de dados a sua organização manipula e classifique-os se são pessoais, sensíveis, se são realmente utilizados. Pois haverá caso em que não há necessidade de ter o endereço do titular, por exemplo. Dê fim no que é trivial e controle apenas dados essenciais para seu negócio.

Depois de classificar os dados, é hora de montar o caminho pelo qual a informação do titular passa, mapear o fluxo dos dados. Por onde o dado entra na empresa, pelo nosso site? Para onde esse dado vai, onde e como é armazenado, quem têm acesso? Até quando eu preciso gerir essa informação, qual a vigência? Contrate uma consultoria para te ajudar, ninguém disse que seria fácil, rsrs.

3 – Monte um Comitê

Treine um time com profissionais que se qualifiquem na lei e entendam de compliance e proteção de dados para apoiar a organização no tratamento de dados, monitorar os riscos e as falhas, e para apurar erros e agiliza correções. Selecione quem será o Data Protection Officer (DPO), ou seja, quem terá o papel de gerenciar e cuidar das questões relacionadas a proteção de dados para realizar a gestão dos dados e intermediar as relações com a ANDP.

4 – Tenha informação documentada baseada nos princípios da LGPD

Crie documentos orientando seus colaboradores sobre a proteção de dados com boas práticas e regras que devem ser seguidas.

Crie políticas, atualize contratos, termos e tenha procedimentos descrevendo como os colaboradores devem agir diante reclamações e exigências dos titulares para mitigar riscos e reduzir impactos, valorizando a transparência e a integridade.

É de responsabilidade da sua empresa resguardar a consciência dos seus colaboradores sobre a importância do cuidados com os dados pessoais que são tratados ali.

5 – Treinamento

Promova ações educativas e treine toda a sua equipe mantendo-os atualizados sobre os princípios e boas práticas da sua empresa com relação à LDPG. Traga para rotina dos colaboradores eventos que aconteceram que infligiram a lei focando na prevenção de riscos.

6 – Auditorias

Nada mais justo, não é?! Após executarem as ações realize auditorias para identificar os gaps dos processos, validar a eficácia das ações implementadas e prover melhorias.

A Lei deve ser cumprida

Como é uma lei, a escolha é cumprir ou cumprir! Se você adiou a adequação a sua organização pode estar em risco, então mãos à obra.

Se você já trabalhou nisso durante os meses passados, parabéns! Como diz a minha avó: “ Melhor prevenir do que remediar”. A adequação da sua organização à LGPD vai facilitar a sua relação com o titular, e mais, ela ajuda a construir um relacionamento de confiança entre a organização e seus clientes e atualmente um relacionamento de confiança é um grande diferencial no mercado! 

Se cansou de ler e quer ouvir um pouco mais sobre a LGPD, acesse nosso Qualicast #40. O Eduardo Broering da empresa Platon – Tecnologia em nuvem nos trouxe uma visão geral sobre o tema e esclareceu o que são dados pessoais, falou sobre a importância de proteger esses dados e os riscos e impactos da LGPD nas organizações.

whatsapp

Receba as melhores notícias do dia por WhatsApp.

Clique aqui e confira nossos grupos!