Lei Geral de Proteção de Dados (LGPD): como implementar?
A Lei Geral de Proteção de Dados (LGPD) é baseada no General Data Protection Regulation (GDPR), que entrou em vigor na Europa em 25 de maio de 2018. A LGPD tem como objetivo preservar a privacidade de todos os que interagem com as organizações, tanto interna quanto externamente.
A Lei nº 13.853, de 2019, entrará em vigor em agosto de 2020. Por isso, a maioria dos empresários já corre contra o tempo para adequar todos os processos a esta nova realidade.
A LGPD alcança todas as operações que envolvam transferência, coleta, utilização, reprodução, armazenamento, arquivamento e processamento de dados pessoais. Portanto, qualquer organização que armazene dados, inclusive cadastro de funcionário, precisa se adequar à lei.
Não sabe por onde começar? Continue a leitura e aprenda como implementar a Lei Geral de Proteção de Dados na sua empresa!
Faça uma análise de todos os dados armazenados pela sua empresa
O primeiro passo é fazer uma análise sobre quais são os dados coletados, utilizados e armazenados atualmente pela sua organização. Verifique também os documentos de funcionários, clientes e fornecedores.
É necessário saber onde, quando e como essas informações são coletadas, desde os dados mais simples como uma data de nascimento, até os mais complexos, como folha de pagamento, e os sensíveis, como formulários para planos de saúde.
Feito o mapeamento, separe toda a documentação (física e digital) e a registre, catalogando-a. Vale ressaltar que o tratamento de dados é permitido pela LGPD, desde que haja o consentimento do titular ou que seja para cumprimento de obrigação legal. Por isso, é importante criar um Termo de Uso e uma Política de Privacidade para nortear todos os processos de acordo com a nova legislação.
Adote um plano de mudanças para adequar o que for necessário
Antes da legislação, muito provavelmente você não tinha um cuidado especial com o tratamento de dados. Por isso, agora é o momento para criar um plano de mudanças e adequar tudo o que for necessário para cumprir a Lei Geral de Proteção de Dados.
Para ajudar no processo, é importante (e obrigatório) nomear um Data Protection Officer (DPO), ou seja, um responsável legal por gerenciar a entrada, tratamento e saída de dados da sua empresa. Ele é o principal responsável por treinar a sua equipe no processamento de informações e promover auditorias regulares para garantir a segurança da sua empresa.
Faça um mapa de riscos de tratamento de dados pessoais
Mapeie a gestão de riscos: avalie como está a maturidade da sua empresa no que tange o universo da proteção de dados.
Verifique a estrutura de segurança e de controle:
- inventarie os dados tratados, mapeando-os;
- categorize-os — por exemplo: anônimos, sensíveis, pessoais, diretos, indiretos, crianças, adolescentes etc.;
- entenda como funciona o ciclo dos dados: como são coletados, onde são armazenados e qual a sua finalidade;
- confira se todos os dados coletados realmente são essenciais para o seu negócio;
- confira como funciona o compartilhamento de informações com terceiros (quando necessário);
- analise/verifique qual é o perfil dos usuários que atualmente têm acesso ao banco;
- analise/verifique quais são os processos e ferramentas utilizados (WhatsApp, Dropbox, Sofwtare de Gestão);
- verifique todos os setores da empresa que devem ser influenciados pela nova legislação;
- trabalhe em conjunto com as áreas de gerenciamento de riscos da sua empresa;
- defina como será o processo de descarte de dados; e
- elabore um documento para formalizar o descarte de informações dos usuários.
Faça uma análise corretiva para atender à LGPD
Como vimos, é necessário analisar e gerenciar todas as suas políticas de segurança e privacidade, além de revisar todos os contratos com terceiros.
Em cada documento é preciso ter cláusulas que garantam o uso e a confidencialidade dos dados a que o terceiro terá acesso e outras informações específicas e importantes para seguir a legislação de acordo com a realidade do seu negócio.
Portanto, faça uma análise corretiva para conferir todos os documentos que precisam ser alterados para cumprir a legislação.
Treine os colaboradores
Com o auxílio do DPO, os funcionários precisam de treinamento e monitoramento para conferir a efetividade do seu trabalho com relação à legislação. Então, ofereça um bom treinamento para que todos compreendam a importância do assunto, bem como as consequências do mau uso de dados.
Todos os envolvidos na organização, sejam funcionários, freelancers, sócios, profissionais autônomos, diretores, consultores, entre outros, precisam ter a consciência sobre a necessidade da transformação dos processos para o cumprimento da lei.
Manter toda a equipe interna engajada e envolvida nesse processo é uma das principais garantias de que a sua empresa implementará a LGPD sem complicações.
No entanto, treinamento e auditoria devem ser constantes: alinhe com os departamentos de comunicação interna, gestão de riscos e marketing a fim de construir ações de conscientização frequentes.
Afinal, toda a sua equipe é a principal responsável por compreender o processo e dar continuidade a essa nova cultura.
Defina quem poderá ter acesso a cada tipo de dado
Avalie quem pode ter acesso à determinada informação. Por exemplo, o departamento de Recursos Humanos deve ter acesso aos dados dos funcionários, no entanto, será que o time de produção de uma fábrica precisa ter essa mesma permissão?
Então, analise a rotina de trabalho de cada setor, levando em consideração a necessidade de acesso a cada tipo de dado, e determine quem poderá ter acesso a cada tipo de informação, criando usuário e senha para todos com as suas devidas permissões. Assim, o funcionário só terá acesso a um determinado dado sigiloso quando realmente necessário — devido a alguma ação essencial e justificada dentro da empresa.
Promova a integração entre as áreas jurídica, de TI e de segurança da informação
As áreas jurídica, de tecnologia da informação (TI) e de segurança da informação precisam estar alinhadas.
Por isso, faça uma reunião presencial ou on-line com os responsáveis para conversar sobre a LGPD e verificar quais são as ações cabíveis em cada departamento para atender à nova lei.
Procure aconselhamento jurídico
Por mais que você colete diversas dicas no mundo dos negócios, é essencial procurar aconselhamento jurídico para conhecer os impactos legais da LGPD na sua empresa.
A assessoria jurídica ajuda a identificar os riscos, prevenir e remediar passivos contingentes. Além disso, a assessoria também pode ajudar nas seguintes ações:
- inventário e categorização de dados;
- controles e políticas;
- elaboração e revisão de contratos;
- implementação e aplicação das novas políticas (baseadas na captura de informações e também no processamento e uso);
- controle e auditoria;
- melhoria contínua (com treinamentos e revisões).
A Lei Geral de Proteção de Dados tem como objetivo principal proteger os dados de todos os envolvidos com uma determinada organização. Por isso, é muito importante buscar aconselhamento jurídico a fim de conferir os reais impactos da LGPD no seu negócio e, assim, providenciar as melhorias sugeridas.
Neste post, você conferiu algumas dicas sobre como implementar a Lei Geral de Proteção de Dados. Você tem alguma dúvida sobre o assunto? Podemos lhe assessorar a encontrar a melhor solução para a sua empresa. Entre em contato conosco agora mesmo!