Sua empresa sabe como implementar a LGPD nas empresas na prática? Se adequou às novas regras previstas na legislação? A nova lei entrou em vigor em setembro de 2020, porém suas penalidades já podem ser aplicadas desde agosto de 2021. Assim, é fundamental que empresas de todos os portes comecem a implementar medidas para cumprir com a LGPD.
A LGPD (Lei Geral de Proteção de Dados) surgiu para garantir mais segurança no tratamento de dados, além de assegurar a privacidade de seus titulares. Em vigor desde 2020, a lei vale para todas as empresas que realizam o tratamento de dados pessoais, independentemente do porte ou do ramo. Desta forma, se a sua empresa coleta e armazena dados de clientes, funcionários ou fornecedores, é essencial adequar suas rotinas e proteger essas informações, evitando assim uma série de penalidades.
No post de hoje vamos falar sobre o passo a passo para implementar a nova lei, além de boas práticas para cumprir com a LGPD. Para saber mais, não deixe de conferir!
Passo a passo para implementar a LGPD nas empresas
Antes de começar, é fundamental entender que o processo de implementação da LGPD nas empresas demanda organização e tempo. A execução de suas medidas ocorre em fases, mas isso não significa que a empresa precisa paralisar suas atividades, nem tampouco se tornará mais burocrática em razão do compliance. A LGPD demanda uma mudança de cultura, especialmente com relação à segurança de dados. Assim, é importante que todos os colaboradores estejam conscientes do que diz a lei e do que irá mudar na empresa.
LGPD nas empresas e responsáveis pela gestão e segurança de dados
O primeiro passo para a implementação é definir quem serão os responsáveis pela gestão e segurança de dados. Segundo a LGPD, toda empresa deve ter um controlador e um operador, que ficarão incumbidos de administrar todos os dados pessoais que a empresa coleta e armazena. O primeiro será responsável pelo guarda, processamento, descarte ou reutilização de dados. Já o segundo deve realizar na prática tudo aquilo que for definido pelo controlador.
Dependendo do porte da empresa e do volume de dados que ela opera, as funções de controlador e operador podem ser realizadas pela mesma pessoa, ou ainda, por uma empresa terceirizada. Assim, o primeiro passo para implementar a LGPD nas empresas é justamente definir quem serão essas pessoas ou empresa responsável.
Além do controlador e do operador, a empresa também deve contar com um encarregado (data protection officer, ou também chamado de “DPO”). Ele é nomeado pelo controlador e sua função é se comunicar com os responsáveis pela gestão e segurança de dados, com os titulares dos dados e também com a Agência Nacional de Proteção de Dados (ANPD). Esse profissional deve responder dúvidas dos titulares de dados, além de prestar informações e esclarecimentos solicitados pela ANPD. O encarregado deve ser um profissional capacitado em tecnologia da informação, bem como, deve possuir habilidades para lidar com pessoas. Assim como no caso do controlador e do operador, o encarregado também pode ser uma empresa terceirizada especializada no ramo e é fundamental que seus dados de contato sejam divulgados nos canais da empresa.
Promova o mapeamento de dados e diagnóstico da empresa
Depois de definir os responsáveis, a empresa deve promover um mapeamento de todos os seus dados e, posteriormente, montar um diagnóstico. Assim, para a implementação da LGPD nas empresas, o ideal é elaborar um documento que esclarece alguns pontos, tais como:
- O que a empresa faz com os dados pessoais que coleta e qual tipo de processamento a empresa realiza?
- Quais são os dados que são tratados pela empresa?
- Quais são as operações de tratamento realizadas pela empresa?
- Quais medidas de segurança a empresa realiza para proteger tais dados?
Montar esse documento nem sempre será uma tarefa simples. Em muitos casos, o controlador deve se reunir com os profissionais do jurídico e de TI para mapear os dados e desenvolver esse diagnóstico.
Por fim, é importante destacar que esse tratamento deverá ser realizado para toda e qualquer coleta e processamento de dados realizada pela empresa, independentemente dela ser feita de forma digital ou manual.
Estabeleça um canal de comunicação com os titulares de dados pessoais
Um dos principais aspectos da LGPD é garantir a transparência no tratamento de dados. Por isso, a criação de um canal de comunicação, além de cumprir com a lei, facilita que os titulares de dados tirem dúvidas e saibam mais sobre como seus dados são tratados e processados pela empresa. Além de esclarecer sobre o tratamento de dados, esse canal deve explicar qual é o ciclo de vida dos dados dentro da empresa, bem como, quais são as medidas tomadas para garantir a privacidade do titular. Esse canal pode estar alinhado com o Serviço de Atendimento ao Cliente, por exemplo. Contudo, em casos assim, esses atendentes precisam de treinamentos específicos para realizar esse tipo de suporte aos titulares. O ideal é que esse canal tenha capacidade de atender tanto no meio digital, quanto físico, além de promover a acessibilidade da informação.
Crie mecanismos possíveis para o consentimento do titular
A LGPD determina que o titular deve consentir, ou seja, deve autorizar a coleta, armazenamento e tratamento dos seus dados. Da mesma forma, a lei prioriza o tratamento, portanto, esse consentimento deve ser inequívoco, isto é, o titular de dados sabe exatamente porquê e para quê seus dados serão utilizados.
Vale destacar que todos os dados solicitados pelo titular devem contar com esclarecimentos. Autorizações genéricas para o consentimento no uso de dados são nulas segundo a LGPD. Portanto, se você solicita o telefone, o endereço, o endereço de e-mail e o CPF em um formulário de cadastramento, por exemplo, é fundamental explicar para que esses dados serão preenchidos.
Caso a empresa opte por solicitar o consentimento do titular em um documento com outras disposições, que tratem sobre outros assuntos ou temas, a cláusula que trata sobre o consentimento no uso de dados deverá ser destacada. A empresa também deve disponibilizar a possibilidade do titular revogar a qualquer momento o seu consentimento.
Por fim, caso exista qualquer questionamento do titular com relação aos seus dados, o ônus de provar que a empresa cumpriu com a LGPD é do controlador. Tendo isso em vista, as empresas devem se preocupar em criar sistemas capazes de armazenar o consentimento dado pelos titulares.
Estabeleça um sistema de correção de dados
O titular de dados pode solicitar para a sua empresa a correção de dados incompletos, desatualizados ou incorretos. Assim, é necessário que as organizações tenham um sistema para a correção e verificação da veracidade dos dados, afinal, essa retificação de dados só é necessária quando de fato existir inconsistência ou falhar no registro. A empresa não é obrigada a corrigir dados de acordo com a vontade do titular.
LGPD nas empresas: invista em treinamento
A LGPD se aplica à empresa como um todo. Assim, é essencial que todos os funcionários que manipulam dados direta ou indiretamente conheçam a legislação bem como as suas sanções. Um dos aspectos mais sensíveis da lei, além do consentimento e da transparência, é justamente a segurança dos dados. Nesse sentido, é importante implementar uma nova cultura de proteção de dados, mostrando aos colaboradores a sua importância na hora de manter todos esses dados seguros.
Essas são algumas das medidas que todas as empresas devem se adequar. Contar com o suporte de uma empresa especializada em tecnologia da informação é um diferencial, tanto no mapeamento e diagnóstico de dados, quanto na implementação de sistemas de segurança. A LGPD está aí e suas penalidades são pesadas, já que a empresa que descumpre com a lei pode ser multada em até R$ 50 milhões e ter suas atividades paralisadas.
Você já sabia como implementar a LGPD nas empresas? Entre em contato com nosso time de especialistas e conheça as soluções da ASTA para o seu negócio.
