10 passos para iniciar a adequação da sua pequena/média empresa à LGPD
- Luana Jacudi
- 11 de fev. de 2022
- 8 min de leitura
Atualizado: 19 de jul. de 2022
O ano de 2022 começou agitado para quem está acompanhando a aplicação da Lei Geral de Proteção de Dados - LGPD.
Com o início do processo de fiscalização e das sanções administrativas (bloqueio do banco de dados e multas podendo chegar a 50 milhões de reais, por exemplo), realizado pela Autoridade Nacional de Proteção de Dados - ANPD, a esperança é que ainda em 2022 tenhamos regulamentos práticos e aplicáveis a casos ainda incertos acerca da proteção de dados no Brasil.
Apesar disso, a realidade no Brasil não é das melhores.
Segundo um estudo desenvolvido pela RD Station e divulgado pela CNN Brasil, as empresas não estão conseguindo se adequar à LGPD, e uma das razões é o não entendimento claro da Lei.
Apenas 15% estariam prontas ou na reta final de preparação.
Isso ocorre principalmente dada à origem da Lei em questão: ela nasceu de uma necessidade do mercado, e não como exigência dos cidadãos brasileiros. Assim, a cultura de proteção de dados está sendo criada somente agora no Brasil, o que dificulta a implementação da Lei nas organizações.
Pensando em nossos leitores aqui do Blog, principalmente aqueles que possuem empresas de pequeno e médio porte, separamos um guia simples com 10 passos para você começar de vez a adequar sua empresa à LGPD.
Importante destacar: o passo a passo a seguir é apenas para você dar o START. Uma adequação efetiva apenas é possível com o auxílio de um profissional especializado na área e que conheça o cenário da sua organização.
Não existe uma receita de bolo, infelizmente. Não por ser difícil e extremamente burocrático, mas sim por depender muito da área de atuação e do porte da organização, bem como da qualidade e quantidade dos dados pessoais tratados pela empresa.
Dito isso, vamos iniciar a adequação à LGPD da sua empresa?
Com o bloco de anotações preparado, vem com a gente...
10 passos para iniciar a adequação da sua pequena/média empresa à LGPD
Antes de tudo: o que são dados pessoais?
Você sabe o que são dados pessoais?
Eles não se resumem a nome, CPF, RG, endereço e telefone, como muitos pensam!
Dados pessoais são todos aqueles que identificam ou possam identificar, junto a outro dado, uma pessoa física viva.
Alguns exemplos menos conhecidos são: localização de GPS, origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dado referente à saúde ou à vida sexual, dados biométricos (impressão digital; reconhecimento facial, de íris, de voz, de retina e de digitação; arcada dentária; outras características corporais, tais como o seu modo de andar, manias de movimentação, estética etc.), endereço de IP, dados bancários, foto, e muitos outros.
Agora que você sabe o que são dados pessoais, pense em quais dados sua organização trata. Conseguiu pensar em alguns? É sobre o uso deles dentro da sua organização que estamos falando aqui.
Vamos para o passo a passo para começar a adequar sua organização à LGPD!
Passo 1 - Conheça os dados pessoais que a sua empresa trata
É hora de fazer o que chamam de mapeamento de dados pessoais. Para isso, sente com o responsável por cada setor da sua empresa e pergunte:
Quais dados pessoais eles têm armazenados/arquivados?
Qual é a finalidade desse armazenamento/arquivamento?
Existe uma política para o manuseamento desses dados (regras internas)?
Existe um padrão estabelecido de tempo de armazenamento para cada caso.
A partir dessas informações, entenda o “ciclo de vida” de todos os dados pessoais que sua empresa trata, identificando desde o momento de coleta do dado (ficha de cadastro, formulário etc.) até o arquivamento e descarte.
Esse mapeamento pode ser feito em planilha ou até mesmo folha de papel. Mas recomendamos que seja feita da forma mais clara e organizada possível, e por mais que tenha sido feto em papel, seja digitado e guardado em local de fácil acesso em seu computador, nuvem ou HD.
Essas informações vão facilitar a sua vida em caso de solicitação do titular de dados (pessoa a quem o dado se refere) ou a requerimento da ANPD (órgão responsável por fiscalizar a adequação à LGPD no âmbito nacional).
Ideias para os campos da planilha a serem preenchidos:
1. Descrição dos dados pessoais (ex.: cadastro do cliente, prontuário...);
2. Tipo de dados (ex.: dados pessoais simples, sensíveis, ou de crianças e adolescentes);
3. Propósito (para que servem os dados pessoais na organização);
4. Segurança aplicada (ex.: antivírus em caso de estarem em dispositivo eletrônico, cadeado em caso de estarem em arquivos físicos);
5. Quem tem acesso dentro da organização;
6. Responsáveis (quem responde caso haja alguma violação?);
7. Algum software é utilizado?;
8. Local de armazenamento dos dados;
9. Por quanto tempo é arquivado?;
10. O dado é compartilhado com terceiro? Quem e por quê?
Passo 2 - Atribua uma base legal para o tratamento de cada dado pessoal
O tratamento de dados pessoais só poderá ser realizado nas seguintes hipóteses:
1. Consentimento pelo titular;
2. Cumprimento de obrigação legal ou regulatória;
3. Execução de Políticas Públicas;
4. Estudos por órgãos de pesquisa;
5. Execução de contrato;
6. Exercício regular de direitos em processo judicial, administrativo ou arbitral;
7. Proteção da vida ou da incolumidade física do titular ou de terceiro;
8. Tutela da Saúde;
9. Legítimo interesse, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
10. Proteção do crédito.
Pensando nisso, pense em cada dado pessoal tratado por sua organização com o mapeamento realizado no passo 1, e pense no objetivo desse tratamento. Esse objetivo é para alguma situação acima? Se não, analise a possibilidade de solicitar o consentimento do titular de dados ou seguir pelo legítimo interesse. Se você achar muito difícil, talvez seja o momento de contratar uma consulta para um profissional analisar o seu caso.
Atenção: recorrer ao consentimento do titular ou ao legítimo interesse pode parecer mais fácil, mas na prática o que ocorre é um risco maior!
Essas não são bases legais recomendadas para todo e qualquer tipo de tratamento por serem muito genéricas, difíceis de documentar, podendo ser questionadas a qualquer momento, e no caso do consentimento, também poderá ser revogado pelo titular de dados a qualquer tempo!
Passo 3 - Documente tudo
Guarde o mapeamento que você fez (seja num documento word ou planilha). Assim, se e quando o titular de dados ou alguma autoridade governamental (ANPD ou Tribunal) solicitar informações sobre os dados pessoais, você poderá consultar esse documento e cumprir o prazo para a resposta.
De preferência, faça um controle dos prazos legais já estipulados para auxiliar e não ter complicações por falta de organização, já que essas solicitações podem ocorrer a qualquer momento.
Além disso, registre todos os passos que você decidiu dar em direção à adequação, como data e ação.
Guarde, também, todos os termos de consentimento e confidencialidade que você decidir utilizar.
Passo 4 - Faça um plano de ação para responder a possíveis incidentes
Além de ter tudo documentado, é necessário que exista um plano de respostas a possíveis incidentes que os dados podem sofrer enquanto detidos. Em caso de ocorrer um vazamento desses dados, por exemplo, haverá uma resposta já prevista no regulamento interno da sua organização, bastando segui-lo, demonstrando a atenção à segurança, aumentando a credibilidade da sua organização.
Para se ter uma resposta de incidentes eficaz, avalie e mitigue os riscos nos quais os dados pessoais podem estar submetidos (aumentando a segurança e a limitação de acesso apenas para aqueles que dependam disso para exercer as atividades internas), lembrando-se sempre de manter o mapeamento de dados sempre atualizado.
Passo 5 - Mantenha a transparência e dê atenção ao consentimento dos titulares de dados
É importante que você permita aos titulares de dados a gerência de seus próprios dados pessoais, dando ciência de quais dados pessoais estão sendo tratados e o porquê, além de possibilitar que facilmente solicitem informações sobre os dados.
Assim, disponibilize e divulgue (em cartaz, panfletos, sites) um telefone e/ou e-mail e esteja sempre atento às dúvidas recebidas.
Não é legal que sua empresa demore a responder ou dê respostas obscuras!
Passo 6 - Crie uma cultura de proteção de dados na sua equipe
Seus empregados sabem da importância de proteger os dados pessoais que eles têm acesso na empresa?
Houve algum treinamento, informativos, reunião a respeito disso?
Não se tem proteção de dados sem conscientização de todos os envolvidos no tratamento.
Se a resposta às perguntas acima foi negativa, não perca mais tempo!
Você pode conversar com a sua equipe sobre como tratar os dados da melhor maneira, criar um Código de Boas Condutas e até criar uma cartilha/manual.
Mas aqui vai uma dica: não adianta copiar e colar da internet!
Você precisa pensar no dia a dia da sua organização.
Sabe aquele mapeamento de dados pessoais? Pode te ajudar aqui também. Considere todo o ciclo de vida dos dados para criar normas de segurança.
Exemplo: como são descartados os dados após o tratamento? Sabia que existe uma maneira mais correta de se fazer esse descarte?
Passo 7 - É preciso nomear um Encarregado/DPO?
A ANPD isentou dessa obrigação criada pela LGPD os agentes de pequeno porte. Você pode ler o regulamento aqui.
São agentes de pequeno porte: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Isso significa que, caso você se enquadre como um desses agentes, você não precisa indicar um Encarregado de dados – também conhecido como Data Protection Officer - DPO.
Neste caso, é obrigatória a disponibilização de um canal de comunicação (e-mail, telefone, WhatsApp) para o titular de dados.
Agora, se você não é considerado agente de pequeno porte: sua empresa precisa nomear um Encarregado/DPO!
Encarregado de dados/DPO, é um cargo criado pela LGPD.
Esse profissional é responsável por:
▪︎Auxiliar a organização a adaptar seus processos aos cuidados com a privacidade e proteção de dados;
▪︎Orientar os funcionários e os contratados;
▪︎Garantir a transparência ao titular de dados;
▪︎Ser canal de comunicação entre o titular de dados, a organização e a ANPD.
Segundo a ANPD, o encarregado pode ser tanto um funcionário da empresa quanto um terceirizado, inclusive PJ. Ainda não há obrigação de certificação para esses profissionais, o que facilita na contratação de qualquer pessoa de sua confiança.
O importante é que o indicado para o cargo possua conhecimento mínimo sobre Proteção de Dados, seja como profissional de Segurança da Informação ou do Jurídico, bem como tenha liberdade para exercer as suas atribuições.
Recomenda-se que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.
Quando nomeado, compartilhe o canal para contato com esse DPO em lugar de fácil acesso: uma aba no site que explicitamente trate da proteção de dados pessoais, ou quadro de aviso da sala de espera do estabelecimento.
Passo 8 - Contratos e convênios precisam ser revisados
Separe todos os contratos e convênios em vigência que sua empresa possui e revise-os.
Veja se há cláusulas sobre a proteção de dados e confidencialidade, assim como regras e multas previstas em caso de violação de dados, como compartilhamento dos dados pessoais não autorizado.
De preferência, contrate um(a) advogado(a) que entenda de proteção de dados para te auxiliar.
Aproveite para avisar a todos os parceiros que sua organização está se adequando à LGPD.
Passo 9 - Tem site/app? Crie um Aviso de Privacidade Externo
Se você utiliza sites e redes sociais, tenha atenção no que você posta e compartilhe as regras internas de privacidade, para que seus usuários se sintam confortáveis em ter os dados pessoais tratados e ficarem cientes sobre quais dados são tratados, o porquê, e por quanto tempo, por exemplo.
O que não pode faltar no Aviso de Privacidade do seu site/app?
▪︎ Quais dados pessoais são tratados e sua respectiva finalidade;
▪︎ Existência de compartilhamento dos dados com terceiros, quem são e o motivo do compartilhamento;
▪︎ Medidas de segurança aplicadas ao tratamento dos dados pessoais;
▪︎ Canais de atendimento aos titulares de dados;
▪︎ E por último e talvez mais importante: clareza!
Por ser um documento que busca se comunicar com o titular de dados, ele precisa ser acessível ao seu público. Seja simples e objetivo.
Passo 10 - Acompanhe as publicações da Autoridade Nacional de Proteção de Dados - ANPD
No portal da ANPD são publicados guias, regulamentos e agenda de fiscalização, o que pode ser interessante para a sua organização.
Conclusão
Esperamos que este passo a passo tenha te ajudado a entender por onde começar a adequação da sua empresa de pequeno/médio porte à LGPD.
Sabemos que são muitas novidades e que a adequação leva tempo. Mas acredite: não é um gasto de tempo, mas sim um investimento.
Opte pelas ações de prevenção, pois processos administrativos e judiciais podem gerar muitos transtornos.
Faça o que estiver ao seu alcance!
Que a privacidade esteja com você.
Comentários