Blog
por Luana da Silva
20 de maio de 2019
LGPD na prática: o que a sua empresa precisa saber
A Lei Geral de Proteção de Dados (LGPD), que entrará em vigor a partir de 2020, vem provocando uma verdadeira corrida para que as empresas já estejam adequadas antes deste prazo.
Afinal de contas, estamos falando da Lei nº 13.709/2018, que regulamenta o uso dos dados pessoais por parte de empresas públicas e privadas – lei inspirada no General Data Protection Regulation (GDPR), que entrou em vigor em 2018 na União Europeia.
Estes dois regulamentos, estão entre os mais importantes em relação à privacidade dos dados pessoais que circulam entre as empresas, sejam eles online ou offline. Todas elas precisam se adequar, ficando sujeitas a penalidades previstas na lei caso não cumpram as normas.
Separamos alguns pontos importantes da LGPD para que você também possa adotar o quanto antes em seu negócio.
O que a LGPD considera como dados pessoais
Esse é um ponto importante. A LGPD considera como dados pessoais todos aqueles que são referentes a uma pessoa (identificada ou identificável). Na prática, são todas as informações que permitem à empresa identificar quem está por trás da tela do computador, por exemplo.
Bom, mas sabemos que existem dados que não permitem atribuição a uma identidade – mas se eles forem complementados a outros dados (um endereço de e-mail, por exemplo), ou, de alguma forma, permitirem que o empreendimento atinja o usuário de forma individualizada, a pessoa acaba sendo identificada. Então, todas essas informações estão sujeitas à LGPD.
Mas, atenção: as empresas não devem se preocupar somente com os dados online. A papelada e os arquivos em computador referentes a dados pessoais também ficam sujeitos à lei. Até mesmo o descarte inadequado de informações é considerado como tratamento de dados pessoais.
Os direitos dos titulares dos dados
Os titulares dos dados são as pessoas (e não as empresas). Se um cliente forneceu a você um endereço de e-mail, este endereço continua sendo dele. Nesse sentido, a LGPD prevê uma série de direitos aos titulares, tais como:
- ser informados que o empreendimento está de posse de seus dados;
- ter acesso aos seus dados coletados pelas empresas;
- corrigir dados que estão desatualizados ou incompletos;
- solicitar eliminação, bloqueio ou anonimização dos dados a qualquer momento;
- solicitar portabilidade dos seus dados a outra empresa;
- pedir que eles sejam eliminados da base de dados da empresa, que deve garantir que isso ocorreu (com algumas exceções previstas no artigo 16);
- ser informados quando as empresas compartilharem seus dados com outras empresas, caso seja necessário;
- revogar o consentimento de seus dados pessoais permanecerem na base de dados da empresa;
- solicitar a revisão das decisões tomadas por computadores quando o tratamento de dados pessoais for automatizado – os titulares podem pedir informações mais claras sobre como a decisão automática foi tomada (observados os segredos industriais e comerciais, onde a autoridade nacional pode ser acionada para verificação das questões).
Como a empresa pode se adequar à LGPD
A seguir, separamos algumas boas práticas que a sua empresa já precisa começar a implementar para se adequar à LGPD:
1. Tenha uma estrutura de governança de dados
Certifique-se que a empresa tenha profissionais responsáveis pela gestão dos dados e dos procedimentos de segurança e privacidade, reportando incidentes sempre que eles surgirem.
2. Tenha uma política de privacidade de dados
A sua empresa precisa ter normas claras referentes à privacidade dos dados e tudo o que for relacionado à coleta, ao tratamento e ao monitoramento desses dados. Lembre-se de implementar também normas internas de uso de equipamentos pessoais dos colaboradores, evitando incidentes como o vazamento de dados (intencionado ou não).
3. Invista em Tecnologias de Segurança da Informação
É fundamental possuir mecanismos de proteção na empresa para evitar o vazamento malicioso de dados.
4. Saiba como gerenciar os riscos ligados à segurança da informação
Tenha uma política de segurança da informação com base em requisitos legais e também nos riscos aos quais a empresa está submetida.
5. Treine os colaboradores para se adequarem à LGPD
Monte um cronograma interno de treinamento e também de comunicação para que todos tenham clareza quanto a seus deveres e direitos no uso e tratamentos dos dados pessoais (próprios e também dos clientes e fornecedores da empresa).
6. Atenção às terceirizações
Como todos precisam estar em compliance com a LGPD, certifique-se que todos os contratados e terceirizados da empresa também já estejam adequados às normas internas e externas de privacidade de dados.
7. Monitore novas práticas operacionais
Fique atento a novos processos ou a mudanças nos já existentes, e que estejam relacionados ao tratamento dos dados. Implemente os princípios de Privacy by Design.
8. Responda a solicitações e reclamações de clientes e usuários
Certifique-se que existe uma comunicação eficiente com os indivíduos sobre seus dados pessoais. Responda prontamente à solicitações e reclamações.
9. Crie ferramentas para o usuário consentir o tratamento de seus dados
Esse consentimento deve ser dado por escrito ou por outro meio (como o virtual, por exemplo).
Na prática, verifique se o consentimento dado pelos titulares já está em compliance com a LGPD, ou seja, de acordo com as exigências da lei.
Por exemplo, se a autorização para a coleta e o tratamento de dados for “genérica”, ou seja, se o titular está consentindo sem saber exatamente qual será a finalidade dessa coleta, esse consentimento está em desacordo com a lei.
Será necessário que o titular consinta novamente e caberá à empresa ou ao operador (empresa que foi contratada para processar os dados em nome do seu empreendimento) entrar em contato com os titulares – uma dica é enviar um e-mail explicando sobre as mudanças por conta da LGPD e solicitando que os usuários leiam os novos termos de uso e política de privacidade, fornecendo, então, um novo consentimento, caso concordem.
10. Fique atento a mudanças na lei
Acompanhe sempre novas regulamentações, rastreie novos requisitos de compliance e verifique quais são as melhores práticas de mercado quanto a esse tema. Se for necessário, também consulte profissionais da área jurídica para esclarecer eventuais dúvidas.
Neste post aqui a gente complementa esse assunto com outras práticas, principalmente em relação ao setor de TI da empresa.
Todos nós seremos impactados pela LGPD, tanto como pessoas físicas quanto jurídicas. Trata-se de uma complexa mudança de cultura e para dar certo, a sua empresa precisa se planejar para se adequar em etapas.