Adequação à LGPD: primeiros passos ruma à conformidade da sua empresa.
Em primeiro lugar, é preciso esclarecer que não existe nenhum modelo padrão para adequar as empresas à LGPD, ou seja, cada projeto deverá ser elaborado de acordo com a realidade da companhia.
Portanto, a finalidade desse artigo é apontar o melhor caminho rumo à adequação à LGPD.
Porém, antes, devemos conhecer alguma termos da Lei, vejamos:
1. Consequência da LGPD no âmbito empresarial
A LGPD dispõe sobre o tratamento de dados pessoais, seja por meio físico ou digital, realizado por pessoa física ou por pessoa jurídica, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade das pessoas.
Além disso, a LGPD impõe às empresas obrigações sobre o tratamento de dados, ou seja, qualquer operação que processe dados de pessoas naturais.
Desse modo, as empresas devem cumprir com as diretrizes da LGPD e da Autoridade de Proteção de Dados (ANPD) a fim de:
- evitar sanções judiciais e/ou administrativas
- aumentar a confiabilidade da empresa com seus fornecedores e parceiros comerciais;
- garantir que os titulares de dados exerçam seus direitos plenamente
- evitar a perda de clientes em potencial devido à falta de adequação à LGPD
- estar em conformidade
- entre outras
1.2 Como identificar um dado pessoal?
Dados pessoais são informações de pessoas naturais que, direta ou indiretamente identificam um indivíduo (titular de dados).
A informação direta é aquela que permite a imediata individualização da pessoa.
A informação indireta, por sua vez, é a que permite, por meio da reunião de dados, chegar à identificação do sujeito.
Por exemplo:
- identificação direta: nome completo;
- identificação indireta: endereço, profissão, características físicas, nome etc.
1.3 Quem é o titular dos dados
O titular dos dados é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Por exemplo, um consumidor que entrega seus dados pessoais para obter algum desconto em uma loja.
Logo, neste caso, o consumidor é o titular dos dados.
1.4 Como identificar os agentes de tratamento de dados pessoais?
São pessoas físicas ou jurídicas que tratam dados pessoais com finalidade econômica, ou seja, a LGPD não se aplica a pessoas físicas com fins exclusivamente particulares e não econômicos.
Os agentes de tratamento são classificados como controlador e/ou operador.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
1.5 O que são Bases legais?
A LGPD limitou – taxativamente – as possibilidades de tratamento de dados, ou seja, somente poderá ser utilizado dados pessoais com fundamento em, pelo menos, uma das 10 bases legais previstas no art. 7.
Vejamos, portanto, as base legais no âmbito da atividade privada:
- consentimento pelo titular;
- cumprimento de obrigação legal ou regulatória pelo controlador;
- execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
- quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
- Tutela da Saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- e para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Desse forma, esclarecemos alguns dos principais termos técnicos que envolvem a LGPD.
2. Passos Iniciais para Adequação à LGPD
2.1 Conhecer o caminho dos dados
Primeiramente. os sócios e a alta direção das empresas precisam saber qual é o “caminho” dos dados.
A princípio, pode parecer estranho, mas muitos empresários não sabem quais informações coletam de seus clientes.
Aliás, muitas organizações compartilham dados com terceiros sem obter o consentimento dos titulares de dados.
Além disso, devido à complexidade do mundo digital, é cada vez mais difícil mapear quem tem acesso ao banco de dados.
Nesse sentido, por falta de conhecimento técnico, é comum que as empresas deleguem a gestão dos dados sem se preocupar com a privacidade e proteção de dados.
Nesse sentido, a alta direção da empresa precisa deve compreender como funciona todo o ciclo de vida dos dados (coleta, processamento, transferência, armazenamento e descarte).
2.2 Como mapear os dados?
Uma excelente forma de mapear os dados é por meio da criação de uma política privacidade, pois para elaborá-la é necessário esclarecer os seguintes pontos:
- Quem é o controlador dos dados e se há um ou mais operadores
- Quais tipos de dados são coletados
- Como os dados são coletados
- Quem têm acesso aos dados
- Quais finalidades e bases legais são utilizadas
- Se há compartilhado com terceiros
- Como são armazenados os dados e por quanto tempo
- Informar os direitos dos titulares
- Indicar um Encarregado;
- Disponibilizar um canal de contato para que os titulares exerçam seus direitos
- Informar as medidas se Segurança da Informação
Desse modo, se a empresa conseguir identificar e implementar os itens destacados, a princípio, já terá dando um grande passo rumo à adequação à LGPD.
2.3. Fortaleça as Medidas de Segurança da Informação (SI)
Em síntese, Segurança da Informação (SI) tem como objetivo proteger a confidencialidade (privacidade), integridade (garantir que os dados não sejam alterados de forma indevida) e disponibilidade das informações.
Vamos apresentar, então, algumas medidas de SI que a empresa pode aplicar, por exemplo:
- Controle de acesso à informação: disponibilização de login – individualizado e identificável – para cada colaborador com restrições de acesso;
- Segurança Física: portões e portas com trava reforçadas, entrada somente de pessoas autorizadas, câmeras de vigilância, alarmes, proteção contra incêndio, etc.
Portanto, existem diversas camadas de proteção que envolvem o tema SI.
Porém, é necessário identificar os riscos de SI e determinar a melhor forma, dentro da capacidade econômica da empresa, de saná-los, diminuí-los ou aceitá-los.
Aliás, a fim de auxiliar as empresas a Autoridade Nacional de Proteção de Dados (ANPD) elaborou uma Guia Orientativo sobre Segurança da Informação.
2.4. Adequação dos contratos à LGPD
Ao compartilhar dados pessoais com terceiros, é necessário revisar todos os contratos, principalmente com fornecedores, parceiros e prestadores de serviços. Esses contratos devem ser adequados à LGPD, com cláusulas claras sobre:
- identificar o controlador, o operador e se há a figura do suboperador;
- o controlador deve definir as finalidades do tratamento de dados;
- verificar se é preciso coletar consentimento dos titulares;
- analisar e revisar as bases legais que autorizam o tratamento de dados;
- quais dados serão compartilhados;
- definir as condições do término de tratamento de dados;
- descrever as medidas de segurança técnica e organizacional que deverão ser tomadas;
- obrigação de comunicar o controlador nos casos de incidentes de Segurança da Informação (SI);
- definir um plano de respostas no caso de incidentes, por exemplo: vazamentos de dados;
- apontar a responsabilização dos contratantes no caso incidentes de segurança.
Aliás, o controlador ou o operador que causar dano individual ou coletivo, em razão de tratamento de dados de forma irregular, deverá repará-lo.
2.5. Documentação e Conformidade com a LGPD
Uma das melhores forma de comprovar que uma determinada empresa está em conformidade com a LGPD é por meio de provas documentais.
Desse modo, no âmbito da LGPD os principais documentos de adequação são:
- registro de operações de tratamento de dados – modelo indicado pela ANPD
- Relatório de Impacto à Proteção de Dados Pessoais (RIPD);
- Contratos de Tratamento de Dados com seus parceiros comercias;
- Politicas de Privacidade;
- Política de Segurança da Informação;
- Códigos de Conduta;
- Contrato de prestação de serviços ou um ato administrativo para indicação do Encarregado;
- Termos de uso;
- Termos de confidencialidade;
- Modelo de coleta de consentimentos e autorizações;
- entre outros.
Destacamos que a documentação não tem a finalidade exclusiva de comprovar a conformidade com a LGPD, mas também visa demonstrar o compromisso da empresa com a privacidade e proteção dos dados de seus clientes, o que fortalece seu valor e credibilidade. Atualmente, grandes e médias empresas exigem que seus parceiros comprovem responsabilidade no tratamento de dados. Assim, imagine o diferencial competitivo que sua empresa terá ao apresentar antecipadamente a documentação mencionada.
6. Definir quem será o Encarregado
É fundamental para uma empresa que busca a adequação à LGPD nomear um Encarregado, igualmente conhecido como Data Protection Officer (DPO).
Em outras palavras, o DPO irá auxiliar a empresa implementar a LGPD, suas principais funções são:
- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- receber comunicações da autoridade nacional (ANPD) e adotar providências;
- orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
6.11 Quem pode exercer esse cargo?
De acordo com as orientações da ANPD, o DPO pode representar-se por:
- pessoa física, podendo ser um funcionário da organização ou um agente externo;
- pessoa jurídica, normalmente, são empresas especializadas a fim de atuar como “DPO as a service“.
Em regra, é obrigatório a indicação do Encarregado – artigo 41 da LGPD.
No entanto, houve a dispensa da indicação para os agentes de tratamento de pequeno porte. Neste caso, deverá ser disponibilizado um canal de comunicação (por exemplo, um e-mail) com o titular para aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.
Conclusão: como sua empresa pode se beneficiar da adequação à LGPD?
Adequar sua empresa à LGPD não é apenas uma obrigação legal, mas também uma excelente oportunidade de valorizar sua marca e ganhar a confiança de seus clientes, parceiros comercias e fornecedores. Portanto, empresas que demonstram compromisso com a privacidade e segurança dos dados se destacam no mercado, aumentando sua credibilidade e competitividade.
Checklist de Adequação à LGPD
Para facilitar a implementação da LGPD em sua empresa, preparamos um checklist com os principais passos que você deve seguir para garantir a conformidade legal.
Clique aqui para acessar o checklist completo e iniciar sua jornada rumo à adequação à LGPD!