10 dicas para manter a conformidade com a LGPD na sua empresa
Com a revolução digital e o boom da era dos dados, a capacidade de coletar, armazenar e analisar informações pessoais e comerciais atingiu níveis nunca imaginados. No entanto, essa vantagem tecnológica também trouxe desafios significativos relacionados à privacidade e à segurança desses dados.
No Brasil, a Lei Geral de Proteção de Dados representa uma transformação na forma como as organizações lidam com informações pessoais dos seus funcionários, clientes e fornecedores. E, é fundamental que as organizações estejam em conformidade com a LGPD para proteger as informações desses usuários, além de evitar prejuízos financeiros como multas e sanções.
Neste artigo, vamos explicar mais como funciona essa legislação e dar dicas de como garantir que sua empresa siga todas as regras necessárias.
O que é e como funciona a LGPD?
A LGPD — Lei Geral de Proteção de Dados Pessoais — é uma legislação com o objetivo de estabelecer regras para operações que envolvam dados pessoais. Isso significa princípios que protegem a coleta, o processamento, o armazenamento e o compartilhamento dessas informações.
Vale destacar que estar em conformidade com a LGPD é algo que envolve informações de pessoas físicas ou jurídicas, independentemente de sua localização. A legislação estabelece direito aos titulares de dados e obrigações para os que operam.
Em resumo, o funcionamento da LGPD envolve vários princípios e obrigações, incluindo:
- Minimização de dados: as organizações devem coletar apenas as informações necessárias para a finalidade especificada inicialmente e devem restringir a coleta de dados em excesso.
- Segurança: as empresas devem implementar medidas de segurança apropriadas para proteger os dados contra vazamentos, acessos sem autorização e demais potenciais perigos.
- Direitos dos titulares de dados: a LGPD concede aos titulares dos dados diversos direitos, como o de acesso, correção, exclusão e portabilidade dessas informações.
- Autorização de uso: os dados devem ter autorização dos usuários para serem tratados e utilizados pelas empresas e dentro das finalidades acordadas no momento da coleta.
- Responsabilidade: as organizações são responsáveis pelo cumprimento da LGPD e devem nomear um encarregado de proteção de dados (DPO) para supervisionar as atividades relacionadas à privacidade e proteção do que é coletado.
- Sanções: a LGPD prevê penalidades para organizações que não estiverem em conformidade com suas obrigações, incluindo multas significativas – de até R$ 50 milhões ou 2% do faturamento da empresa.
Para supervisionar o cumprimento dessas regras, foi criada a Autoridade Nacional de Proteção de Dados (ANPD).
Quais são as atividades relacionadas aos dados?
A LGPD impõe uma série de atividades e responsabilidades relacionadas à proteção e ao tratamento de dados pessoais. Elas são imprescindíveis para que uma empresa se mantenha em conformidade com a legislação.
Veja abaixo algumas delas:
- Coleta de dados pessoais: essa é uma das principais atividades e acontece quando a organização efetua a coleta dos dados pessoais dos titulares, independentemente se são clientes, colaboradores, fornecedores ou demais partes interessadas.
- Obtenção de consentimento: antes de coletar ou processar essas informações pessoais, é imprescindível obter consentimento explícito dos titulares, exceto em situações em que há uma base legal para a operação, como dados essenciais para prestação de um serviço.
- Registro de atividades de tratamento: é preciso manter registros detalhados de todas as atividades de tratamento de dados, incluindo a finalidade da coleta, a base legal, a data e a duração do tratamento, entre outras informações.
- Segurança de dados: outra atividade importante envolve implementar medidas técnicas e organizacionais para garantir a segurança dos dados, incluindo criptografia, controle de acesso e monitoramento.
Opt-in: como aplicar na LGPD
O opt-in é uma prática muito utilizada para estar em conformidade com a LGPD. Em resumo, ele é uma autorização do usuário para a coleta, tratamento e utilização dos dados de um usuário para uma finalidade determinada.
Esse pedido de opt in é especialmente importante para atividades de marketing e vendas e deve ser solicitado sempre que um novo usuário entrar na sua base ou for necessária a comunicação para uma finalidade não acordada inicialmente.
Para estar em conformidade com as regulamentações é preciso seguir algumas etapas:
1. Solicite o consentimento de forma clara e inequívoca. Isso significa que os indivíduos devem entender exatamente para o que estão dando permissão.
2. Informe como os dados serão usados. Por exemplo, se estão se inscrevendo em uma newsletter informativa, esses dados não podem ser utilizados para divulgação de promoções sazonais.
3. Dê a opção de decisão para o recebimento de comunicações e as formas de contato que preferem (e-mail, SMS, telefone, etc).
4. Garanta que os indivíduos possam retirar seu consentimento a qualquer momento, de maneira fácil e sem complicações.
5. Mantenha um registro dos consentimentos obtidos, incluindo informações sobre quando e como foi obtido, e quais termos e condições foram apresentados.
Quais os requisitos da LGPD?
Existem diversos requisitos para uma empresa poder estar em conformidade com a LGPD. Veja os principais pontos:
- Consentimento: a coleta e o tratamento de dados devem ser baseados no consentimento explícito do titular dos dados, a menos que exista outra base legal para o processamento, podendo inclusive ser um contrato.
- Finalidade: as informações coletadas devem ter finalidades específicas e legítimas. Além disso, isso precisa ser informado ao titular dos dados. Caso haja utilização adicional, será necessário contar com o consentimento do usuário.
- Transparência: as empresas precisam fornecer informações claras e acessíveis sobre como os dados são coletados, processados e protegidos, bem como sobre os direitos de seus titulares.
- Acesso e portabilidade de dados: o direito de acessar seus dados pessoais, corrigi-los ou transferi-los é garantido aos titulares.
- Retenção: todas as informações pessoais devem ser armazenadas pelo período necessário para atingir a finalidade para a qual foram coletadas. Após esse prazo, os dados devem ser excluídos ou anonimizados.
- Segurança dos dados: outro requisito importante é a segurança, já que as empresas precisam implementar ações técnicas e organizacionais para manter a proteção dos dados contra possíveis violações e vazamentos.
- Dados sensíveis: dados pessoais sensíveis, como informações médicas ou sobre orientação sexual, necessitam tratamento especial e consentimento específico.
A LGPD se aplica a sua empresa?
As particularidades da aplicação da LGPD à sua empresa depende de vários fatores, incluindo o tipo de dados que você coleta e a finalidade para as quais você os coleta. No entanto, é preciso destacar que essa legislação é válida para todas as empresas que operem em território nacional.
Ou seja, não existem restrições ou isenções conforme o porte da organização. Se a sua empresa lida com dados pessoais, se torna necessário estar em conformidade com a LGPD. Por exemplo: se sua companhia lida com dados como nome, endereço, número de identificação, informações de contato, dados de saúde, entre outros, é preciso atender a todos os requisitos da legislação.
E engana-se quem pensa que isso não se aplica às empresas que atuam no setor B2B. Isso porque os dados dos seus colaboradores, alguns tipos de fornecedores e até mesmo dados de contato de clientes estão protegidos pela LGPD.
IMPORTANTE: Para o caso de clientes que já estavam na base da sua empresa antes da regulamentação da lei, é preciso criar estratégias para deixá-los em conformidade com a LGPD. Isso acontece porque não há distinção entre dados coletados antes ou depois da entrada em vigor da Lei Geral de Proteção de Dados.
Para resolver essa questão, o ideal é revisar e atualizar a política de privacidade da sua empresa, além de comunicar claramente aos clientes como seus dados serão usados e protegidos e pedir o consentimento deles para isso.
10 práticas para entrar em conformidade com a LGPD
Cumprir a lei com relação aos dados pessoais dos usuários é algo que implica uma abordagem bastante abrangente e complexa.
Mas, calma, estamos aqui para ajudá-lo! Conheça algumas práticas que podem ajudar sua empresa a se adequar à LGPD de forma mais simples e eficiente:
1. Conscientização e Treinamento
É imprescindível educar todos os seus funcionários sobre a LGPD e a importância da proteção de dados. Todos eles devem entender suas responsabilidades em relação às informações pessoais dos clientes, colaboradores e fornecedores.
2. Avaliação de Dados
Outro ponto importante é realizar uma avaliação completa dos dados pessoais que sua empresa armazena. Isso inclui identificar a natureza dos dados, sua função e a base legal para o tratamento.
3. Política de Privacidade Transparente
Tenha uma política de privacidade muito clara que explique para os usuários como os dados são coletados, processados, utilizados e protegidos. É importante se certificar que as regras sejam transparentes e de fácil entendimento para todos.
4. Consentimento Informado
Obtenha o consentimento adequado dos titulares dos dados antes de coletar ou processar suas informações pessoais. O consentimento deve ser específico, livre e informado.
5. Base Legal para o Tratamento
Identifique uma base legal apropriada para o tratamento de dados pessoais, como a execução de contratos, o cumprimento de obrigações legais, o consentimento ou o interesse legítimo.
6. Segurança de Dados
Faça a implementação de medidas de proteção de dados que envolvem aspectos técnicos e organizacionais para garantir a segurança contra acessos não autorizados, vazamentos e possíveis violações de segurança.
7. Registro de Atividades de Tratamento
Mantenha registros detalhados de todas as atividades de tratamento de dados, incluindo informações sobre a finalidade, a base legal, as medidas de segurança e a retenção de dados.
8. Resposta a Solicitações dos Titulares
Sempre que tiver solicitações dos titulares dos dados, procure respondê-las prontamente. Afinal, eles têm o direito de acessar, retificar, remover, transferir e recusar o processamento dos seus dados pessoais.
9. Avaliação de Impacto sobre a Proteção de Dados (AIPD)
Efetue Avaliações de Impacto sobre a Proteção de Dados (AIPD) sempre que o tratamento de dados representar riscos à privacidade dos usuários.
10. Notificação de Violações de Dados
Caso haja qualquer tipo de violação, é essencial implementar procedimentos para notificar a Autoridade Nacional de Proteção de Dados e os titulares dos dados.
Quais medidas técnicas e organizacionais implementar para estar em conformidade com a LGPD?
Medidas Técnicas
- Criptografia de dados: implemente a criptografia de dados em repouso e em trânsito. Isso ajuda a proteger os dados pessoais contra acessos não autorizados.
- Controle de acesso: defina controles de acesso rigorosos para garantir que apenas funcionários autorizados tenham acesso aos dados. Use autenticação em duas etapas quando necessário.
- Proteção contra malware: mantenha software antivírus e antimalware atualizados para proteger contra ameaças cibernéticas.
- Backups seguros: faça backups na nuvem regulares dos dados pessoais e armazene-os seguramente. Certifique-se de que os backups sejam testados regularmente para recuperação eficaz.
Medidas Organizacionais
- Políticas e procedimentos: desenvolva e implemente políticas de segurança de dados e procedimentos de conformidade que estabeleçam diretrizes claras para funcionários e fornecedores.
- Treinamento e conscientização: eduque seus funcionários sobre as políticas de segurança de dados e a importância da proteção de dados pessoais.
- Atribuição de responsabilidades: atribua responsabilidades claras para a proteção de dados, incluindo a nomeação de um Encarregado de Proteção de Dados (DPO) se necessário.
- Auditorias de conformidade: realize auditorias regulares para garantir que as práticas de proteção de dados estejam em conformidade com a LGPD.
Como deve ser o contrato com terceiros dentro da LGPD
Os contratos com terceiros desempenham um papel crucial na conformidade com a Lei Geral de Proteção de Dados. Isso porque, quando uma empresa compartilha dados pessoais com terceiros, como fornecedores, parceiros ou prestadores de serviços, ela continua sendo responsável pela proteção dessas informações.
Para evitar maiores problemas nesse quesito, é importante realizar uma avaliação minuciosa de fornecedores e parceiros para entender como eles coletam e usam os dados em suas bases.
Além disso, efetue auditorias regulares para verificar se eles estão em conformidade com a legislação e com a sua política de dados.
Por fim, inclua cláusulas contratuais específicas relacionadas à LGPD nos contratos com os terceiros. Elas devem estabelecer obrigações claras relacionadas à proteção de dados dos usuários.
Lembre-se de que estar em dia com as regras da LGPD é um processo contínuo, sendo importante manter-se antenado a qualquer atualização!