Você sabe o que é a LGPD e porque sua empresa precisa se adequar a ela?
A LGPD – Lei Geral de Proteção de Dados Pessoais, número 13.709/2018, está em vigor desde agosto de 2020 e tem como objetivo regulamentar o tratamento dos dados pessoais, desde a sua coleta até a classificação, processamento, armazenamento e, principalmente, a utilização e transferência destes dados. A LGPD se aplica aos dados pessoais coletados ou tratados no Brasil, quando utilizados para fins comerciais. Estes podem ser de clientes, funcionários, prestadores de serviço, entre outros, que são chamados de titulares dos dados.
Exclui-se, portanto, sua aplicação para dados com a finalidade de uso pessoal, acadêmico, jornalístico, artístico ou de segurança pública. Também não se faz necessário aplicar a LGPD nos dados provenientes de outros países, quando não houver tratamento ou compartilhamento dos mesmos.
Hoje, mais de 120 países no mundo já garantem a proteção de dados pessoais, visando a regulamentação do seu tratamento, evitando seu mau uso e consequente responsabilização das empresas, caso isso ocorra. Conforme mencionamos no artigo anterior “O que é LGPD?”, a lei prevê multa por infração de até 2% do faturamento limitado a R$50 milhões de reais. Então, é hora de verificar como a sua empresa pode se adequar a todas essas mudanças.
Passo a passo de como se adequar à LGPD
Para te ajudar a entender melhor como se adequar a esta nova lei, elaboramos este passo a passo, com informações importantes e algumas ações necessárias para que sua empresa se alinhe às novas demandas do mercado. Vamos lá?
1º passo
Além de conhecer a legislação trabalhista e as leis que regulamentam o seu negócio, tenha em mente os fundamentos e princípios da LGPD:
Fundamentos:
- Respeito à privacidade;
- Autodeterminação informativa;
- Liberdade de expressão, informação, comunicação e opinião;
- Inviolabilidade da intimidade, honra e da imagem;
- Desenvolvimento econômico, tecnológico e inovação;
- Livre iniciativa, livre concorrência e a defesa do consumidor;
- Direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania.
Princípios:
O Art. 6º da LGPD prevê que as atividades de tratamento dos dados pessoais deverão observar dez princípios. Aqui, citaremos brevemente cada um deles. Caso queira se aprofundar, aconselhamos acessar o site oficial para a leitura completa da lei número 13.709/2018.
- Finalidade: tratar os dados autorizados pelo titular de acordo com a finalidade proposta.
- Adequação: adequar o tratamento dos dados com as finalidades autorizadas pelo titular.
- Necessidade: tratar somente os dados necessários para a realização das atividades.
- Livre acesso: garantir que o titular tenha livre, fácil e gratuito acesso a consulta de seus dados, bem como garantir sua integridade.
- Qualidade: garantir aos titulares a clareza, exatidão, relevância e atualização dos dados de acordo com a finalidade autorizada.
- Transparência: deixar as informações claras, precisas e acessíveis aos titulares de dados, assim como, garantir sigilo por parte da empresa.
- Segurança: adotar medidas de segurança técnicas e administrativas para proteger os dados dos titulares de possíveis riscos e vazamentos.
- Prevenção: adotar medidas preventivas a fim de sanar riscos e danos no tratamento dos dados.
- Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
- Responsabilização e prestação de contas: adotar controles que demonstrem e comprovem que a empresa está de acordo com a LGPD no que se refere aos tratamentos dos dados dos titulares.
2º Passo:
Mapear todo o processo de entrada, utilização, compartilhamento e eliminação dos dados pessoais de seus clientes, funcionários, prestadores de serviços, candidatos e demais pessoas físicas das quais sua empresa tem acesso. Identificar e organizar esses dados, prestando muita atenção àqueles que exigem cuidados ainda mais específicos de tratamento, como dados pessoais sensíveis e informações de crianças e adolescentes.
Esta ação é de suma importância, pois a análise desse mapeamento determinará onde sua empresa precisará fazer os ajustes para atender os princípios da lei, como por exemplo ajustar contratos, acertar os fluxos de autorização das informações coletadas para tratá-las de forma adequada ao permitido pelo titular ou informar ao titular a finalidade dos dados coletados em cumprimento ao princípio da transparência.
É aqui também que se verificará todos os riscos e impactos que possam existir, inclusive no compartilhamento de dados com outras empresas, permitindo a construção de um plano de ação para sanar todas as não conformidades (ou gaps) antes de se caracterizar o mau uso, como dados coletados em excesso, sem necessidade ou finalidade para a empresa.
Além disso, o mapeamento irá permitir a elaboração do relatório de impacto à proteção de dados pessoais que será entregue à ANPD (Autoridade Nacional de Proteção de Dados) mediante solicitação. Este documento deverá conter a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Precisa de um sistema para gerenciar seu programa de privacidade? Conheça a LGPD Azul.
3º Passo:
Criar uma política de proteção de dados em concordância com o negócio da sua empresa e adaptar os documentos internos e externos de acordo com a política de proteção à privacidade estabelecida.
Esta informação deverá ser divulgada a todos os colaboradores para que eles estejam alinhados e realizem as boas práticas adotadas.
4º Passo:
Divulgar de forma clara e atualizada sua Política de Proteção de Dados, informando ao titular as finalidades da ação do tratamento de informações, os dados recolhidos e para quais objetivos. Deve-se informar também a quem os dados se destinam e os direitos do titular, referente à proteção das informações.
5º Passo:
Eleger um encarregado (mais conhecido pela sigla DPO – Data Protection Officer, proveniente da GDPR, a lei da União Europeia que inspirou a LGPD) com conhecimentos regulatórios sobre proteção de dados. Ele deverá receber e responder às solicitações dos titulares e fazer a ponte entre a ANPD e a empresa, além de garantir o compliance da proteção de dados e exigir que os colaboradores da empresa e fornecedores sigam as regras determinadas.
6º passo
Responder às demandas solicitadas pelo titular de dados com agilidade e precisão. Sua empresa deverá manter um canal de fácil acesso, com procedimentos e formulários claros para que o titular possa requisitar o cumprimento dos seus direitos a qualquer momento.
Os direitos do titular dos dados são:
- Confirmação da existência de tratamento;
- Acesso aos seus dados pessoais;
- Correção de dados pessoais incompletos, errados ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
- Portabilidade dos dados pessoais para outro fornecedor de um serviço ou produto, mediante requisição expressa;
- Solicitação de exclusão dos dados pessoais tratados com base no seu consentimento;
- Receber informação sobre com quem o controlador realizou compartilhamento de seus dados;
- Receber informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- Revogação de seu consentimento para utilização dos dados de forma geral ou em algum processo específico.
Como dito anteriormente, é importante ressaltar que cada empresa deverá adequar o tipo de solicitação ao seu negócio. Além da LGPD, o titular também tem direitos perante órgãos públicos regidos por outras legislações, como a Lei do Habeas Data, a Lei Geral do Processo Administrativo e a Lei de Acesso à Informação. Lembrando que a empresa deverá atender aos requisitos do Código de Defesa do Consumidor, da legislação trabalhista e às legislações específicas do seu segmento. Podemos citar como exemplo, a Lei n° 12.965/2014, conhecida como Marco Civil da internet, que prevê que os dados de acesso às aplicações de internet devem ser mantidos por 6 meses.
Então, uma solicitação por um titular para exclusão desses dados, dentro desse período, não poderá ser atendida. Isso ressalta a importância de que a implementação da LGPD seja feita por profissionais capacitados ou consultorias especializadas.
7º passo
Garantir que, a partir da implantação da Política de Privacidade, em concordância com a LGPD, a empresa, ao criar novos produtos ou adaptá-los, sempre aplique tais conceitos do início ao fim do processo.
8º passo
Efetuar análises de riscos periódicas, adotar medidas para o enfrentamento de falhas e desenvolver planos de resposta a incidentes que possam acarretar risco ou dano relevante aos titulares.
Encerramos aqui nosso passo a passo e entendemos que, diante destas demandas, é evidente que as empresas terão que investir em organização e tecnologia para se adequar à LGPD, assim como em profissionais capacitados para assegurar o tratamento adequado aos dados pessoais e direitos dos titulares.
Verifique a possibilidade de contratar uma consultoria especializada e softwares específicos que possam ajudar a sua empresa neste processo.