O que você precisa saber para adequar a sua empresa à LGPD

O que você precisa saber para adequar a sua empresa à LGPD

A realidade do universo empresarial mudou drasticamente com a introdução da Lei Geral de Proteção de Dados (LGPD), algo que já abordamos em nosso artigo “LGPD em vigor, o que (efetivamente) mudou?”. Mas, você quer saber como adequar sua empresa à LGPD?

O investimento sério em proteção de dados não pode ser mais enxergado como uma mera trivialidade, e as informações utilizadas dentro da empresa não devem ser tratadas apenas como itens de apoio aos negócios principais.

Muito pelo contrário, as informações e os dados utilizados nos processos da empresa são um verdadeiro ativo patrimonial da organização e, por esse motivo, são alvos constantes de ameaças e ataques cibernéticos.

Acompanhe neste artigo como se adequar a LGPD. Siga a leitura!

A importância da proteção de dados

No Brasil temos uma situação especialmente perigosa às atividades empresariais on-line. De acordo com a empresa Check Point Software Technologies, os ciberataques a corporações aumentaram 62% no Brasil, com uma média semanal de 967 ataques semanais, e as expectativas para 2022 são de um aumento ainda maior do número de ameaças.

De acordo com a empresa Netscape, nosso país é o 2º mais atingido por ataques cibernéticos no mundo todo, somando mais de 439.000 ocorrências apenas entre 1º de Janeiro e 3 de agosto de 2021.

Por isso, é importante que todas as organizações se mantenham atualizadas com todos os requisitos de segurança de tecnologia da informação e de proteção de dados.

Estando em conformidade com os padrões nacionais e internacionais de proteção de dados, serão evitadas não somente as expressivas sanções da LGPD, mas também a queda prolongada dos serviços e o roubo de informações pessoais, o que poderia causar enormes prejuízos ao negócio.

Quais são os conceitos que você precisa conhecer?

Antes de mais nada, alguns termos essenciais precisam ser conhecidos pela empresa e todos os seus membros, a fim de possibilitar a compreensão das normas de proteção de dados.

A LGPD lista 4 entes que participam do processo de tratamento de dados (toda operação realizada com dados pessoais):

  • Titular: é a quem se refere os dados coletados. Ex: a pessoa a quem diz respeito um CPF ou RG.
  • Controlador: é a entidade ou organização a quem cabe as decisões referentes ao tratamento de dados. Ex: uma empresa que recolhe dados de usuários para a direta prestação de seus serviços.
  • Operador: é a entidade ou organização terceirizada responsável por realizar o tratamento de dados em nome do controlador. Ex: uma empresa terceirizada que realiza backups dos dados de outras empresas.
  • Encarregado: é a pessoa indicada pelo controlador e operador para realizar comunicações com a Agência Nacional de Proteção de Dados (ANPD). Ele é também conhecido como Data Protection Officer (DPO) e normalmente lidera todos os procedimentos relativos à proteção de dados na empresa.

Além disso, é muito importante saber que a LGPD não dispõe somente de dados pessoais. São 3 os tipos de dados abordados na lei:

  • Dado pessoal: é qualquer informação relacionada a pessoa identificada ou que possa ser identificada. Ex: CPF, RG, faturas de cartão de crédito etc.
  • Dado sensível: São dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico dos titulares.
  • Dado anonimizado: são dados que passam por um processo de anonimização, tornando impossível ou extremamente dificultosa a identificação de seu titular. Estes dados não precisam ser protegidos como os pessoais ou sensíveis.

De que forma posso efetuar a coleta de dados?

Outro ponto muitíssimo importante introduzido pela LGPD foi a criação de diversas bases legais que autorizam o tratamento. O consentimento do titular para o tratamento é a base mais comentada, mas ele não será necessário em alguns casos previstos no art. 7º da LGPD.

As bases legais para o tratamento de dados pessoais são:

  • O Consentimento do titular.
  • O Cumprimento de obrigação legal ou regulatória.
  • A execução de políticas públicas e outras atividades feitas pela administração pública.
  • A realização de estudos por órgãos de pesquisa.
  • A execução de contratos.
  • O exercício regular de direito em processos administrativos, judiciais ou arbitrais.
  • A proteção da vida ou saúde do titular ou de terceiros.
  • A prestação de serviços e procedimentos de saúde.
  • O atendimento aos interesses legítimos do controlador ou de terceiro, exceto quando devam prevalecer os direitos e liberdades fundamentais do titular.
  • A proteção do crédito.

As hipóteses mencionadas acima são as mais comuns para o tratamento de dados. Contudo, algumas situações excepcionais requerem cuidados adicionais.

Os dados sensíveis possuem bases legais mais restritivas, que se encontram no art. 11 da LGPD. Estas limitações se dão porque o vazamento de dados sensíveis tem capacidade de causar lesões muito mais graves que o de informações comuns aos titulares, e por isso não devem ser coletados se não forem estritamente necessários para o negócio.

Por fim, quando o titular dos dados for uma criança ou adolescente, de acordo com o art. 14 da LGPD, também será necessário o consentimento específico e destacado dos pais ou responsáveis legais, sendo expressamente vedado o tratamento de dados contrário aos interesses do menor.

O respeito às bases legais é suficiente?

Enquanto o obedecimento às bases legais é extremamente importante, o tratamento de dados não pode ser realizado para fins antiéticos ou ilegais, devendo obedecer uma série de princípios disponibilizados no art. 6º da LGPD:

  • Finalidade: cada coleta de dados deve possuir um fim legítimo e  específico que deve ser informado aos titulares.
  • Adequação: O tratamento dos dados deve ser compatível com a finalidade passada aos titulares.
  • Necessidade: a coleta de dados deve ser realizada na estrita medida do necessário para o cumprimento da finalidade.
  • Livre acesso: os titulares devem ter acesso livre e facilitado a todos os seus dados que foram coletados pela empresa.
  • Qualidade dos dados: os dados coletados devem ser mantidos exatos, claros, relevantes e atualizados, de acordo com as necessidade do tratamento específico
  • Transparência: as informações referentes ao tratamento de dados serão transmitidas de forma clara e precisa aos titulares.
  • Segurança: serão utilizadas as medidas técnicas de segurança adequadas para proteger os dados pessoais contra acessos não autorizados.
  • Prevenção: as medidas adotadas devem priorizar a não ocorrência de danos.
  • Não discriminação: é vedada a utilização de dados para fins discriminatórios
  • Responsabilização e prestação de contas: o agente responsável pelo tratamento precisa demonstrar aos titulares que está cumprindo todas as normas legais e de segurança durante o tratamento de dados.

A empresa também deve fornecer uma série de garantias aos titulares, certificando-se de que o tratamento está ocorrendo da maneira adequada:

  • Confirmação da existência de tratamento.
  • Acesso aos dados.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei.
  • Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa.
  • Eliminação dos dados tratados com consentimento, exceto quando utilizado para o cumprimento de obrigação legal, estudo por órgão de pesquisa, transferência a terceiros e o uso exclusivo pelo controlador desde que o dado seja anonimizado.
  • Receber informação de com quem os dados foram compartilhados.
  • Receber informações sobre a possibilidade de não fornecer consentimento e sobre as consequências da recusa.
  • Revogar o consentimento.

Quais são os passos para se adequar à LGPD?

A implementação de medidas em prol do cumprimento dos requisitos legais acima pode ser uma tarefa muito complexa, e é por isso que as atividades do encarregado, ou DPO, são tão relevantes. Através do trabalho destes profissionais, a empresa terá diretrizes concretas sobre as quais se apoiar para introduzir medidas de segurança da informação.

Para fazer isso, o encarregado e a empresa deverão criar um projeto de adequação com a LGPD, no qual serão estabelecidos os requisitos, procedimentos e práticas que devem ser seguidos para assegurar a proteção de dados na empresa.

O projeto de adequação será realizado pensando nas peculiaridades e necessidades de cada negócio. A partir desses conhecimentos, será promovida a conscientização sobre boas práticas do tratamento de dados e realizado o mapeamento dos dados da empresa.

O mapeamento de dados é um processo que visa conhecer todos os processos que envolvam o tratamento de dados na empresa, com o intuito de corrigir, melhorar, e proporcionar o correto funcionamento das atividades de acordo com as exigências da LGPD.

Passada esta etapa de conhecimento, serão elaboradas normas, procedimentos e diretrizes, como políticas de privacidade e de segurança da informação, que irão reger todas as atividades da organização, de seus colaboradores e de terceiros em relação com a empresa.

Por fim, gerados esses documentos e prescritas medidas corretivas, a última etapa é monitorar constantemente os resultados do projeto de adequação, fazendo alterações de acordo com as necessidades da empresa e as mudanças legais ou regulatórias. 

Como escolher um DPO?

Dada a essencialidade das tarefas acima, eleger um encarregado ou DPO pode ser uma escolha difícil. Muitas empresas escolhem seus próprios colaboradores para exercer a função de encarregado, mas ainda são escassos os profissionais com capacidade para exercer essa profissão e os custos podem ser elevados

Para as empresas que desejam conveniência e menores custos, a contratação de serviços de DPO terceirizados, como o DPO as a service da Data Guide, podem ser uma grande vantagem.

Para saber mais sobre os prós e contras desses dois tipos de serviço, confira nosso artigo “DPO interno x DPO as a service”.