Pode parecer intimidador o processo de implementar a LGPD, mas não precisa ser. A nova regulamentação é sim cheia de detalhes e complexa, mas com o planejamento correto, consultoria jurídica e um time multidisciplinar, a adaptação será fácil.
É essencial aproveitar o período atual de vacatio legis da lei, que vai até 29 de dezembro de 2020 e basicamente significa que o prazo para entidades públicas e privadas se adaptarem à regulamentação. Antes de ver detalhes sobre como sua empresa deve se adequar, entenda um pouco mais sobre a LGPD em vigor no Brasil desde setembro de 2020.
O que é a LGPD?
A Lei Geral de Proteção de Dados (lei 13.709, de 14 de agosto de 2018), mais conhecida como LGPD em vigor desde setembro de 2020, tem como objetivo regulamentar o tratamento de dados no Brasil. A lei é considerada tão importante quanto o Marco Civil da internet, de 2014, pelas mudanças que causa nas relações diárias entre empresas e clientes.
O foco da LGPD e seu principal objetivo é regulamentar como dados de pessoas naturais, definidas pela constituição como físicas e vivas, podem ser colhidos, guardados e usados por empresas. O objetivo é trazer transparência e confiança a um processo que já existe, não proibir que ele aconteça.
Assim, a pessoa natural, chamada pela LGPD de titular de dados, está no controle das suas informações: sem seu consentimento expresso, nenhum dado pode ser captado, armazenado ou usado. Falamos em detalhes sobre os dados, infrações e penalidades neste post, se você quiser saber ainda mais.
Planejamento de transição para implementar a LGPD
É imprescindível que antes de implementar a LGPD de fato, a empresa esteja ciente de todos os detalhes sobre a lei. O governo federal disponibilizou um arquivo completo em seu site, nós já escrevemos anteriormente aqui e também recomendamos contratar assistência jurídica especializada.
Assim, quando as dúvidas surgirem, haverá alguém com experiência para mostrar o caminho.
Com isso, abaixo listamos pontos relevantes para se considerar no planejamento de transição e adaptação à LGPD. Boa leitura!
Time de compliance e DPO
Um bom começo para implementar a LGPD na sua empresa é montar o time de compliance interno, como um comitê LGPD. O responsável por liderar este grupo é o DPO – Data Protection Officer, profissional que tem conhecimento técnico, regulatório e jurídico para conduzir todo o processo.
O DPO também é o intermediador entre a agência de fiscalização, os titulares de dados, e a empresa. Ele, basicamente, tem que estar ciente de todos os processos e aptos a responder a todos pedidos.
Devem ser parte do time profissionais que lidam com dados no dia a dia da empresa, como por exemplo:
- Time comercial
- Time de vendas
- Departamento de TI
Recursos Humanos - Departamento Financeiro
Cada área pode ser responsável por um ponto focal da lei e da adaptação, e um representante de cada área pode integrar o comitê de compliance.
Mapeamento do curso das informações pessoais dentro da empresa
Conhecendo os detalhes da lei e com o time de compliance montado, é hora de fazer um mapeamento total da empresa: o objetivo dessa análise é reunir todas as fontes de dados que a empresa utiliza, sua movimentação interna e finalidades.
Lembre-se de não olhar apenas para os clientes: há uma razão pela qual o departamento de RH também integra o comitê de compliance. Dados dos funcionários também entram nesta etapa. Então, avalie clientes, funcionários, colaboradores terceirizados, fornecedores e parceiros.
Identificação de riscos de manuseio dos dados
Conhecendo todas as fontes de dados e entendendo o caminho que eles percorrem dentro da empresa, é possível também identificar onde estão os riscos e quais falhas podem acontecer.
É preciso se assegurar de que os softwares utilizados pela empresa são seguros, que seus servidores estão protegidos contra ciberataques, que tudo tem um back-up de confiança. Ataques cibernéticos são possíveis e uma rede integrada de segurança é um grande trunfo.
Mas falta de treinamento dos colaboradores e práticas internas indevidas, como não seguir os processos estipulados, também são falhas possíveis – e muito mais comuns.
O time de compliance deve identificar todos os possíveis erros, riscos e traçar estratégias para garantir que os dados estejam acessíveis apenas por colaboradores autorizados, e dentro das finalidades específicas autorizadas pelos seus titulares.
Revise contratos antigos para evitar irregularidades
Todos os contratos já existentes, digitais ou não, devem ser revisados com a LGPD em vigor. Se a empresa tem um departamento jurídico interno, ou uma assessoria interna já responsável, eles devem assumir esta tarefa.
De contrário, é recomendável que uma assessoria jurídica seja contratada para garantir que todos os documentos estejam de acordo com a LGPD, e que os futuros sigam as mesmas diretrizes.
Canais de comunicação, documentos e cookies
É fundamental que todos os processos sejam transparentes a colaboradores e titulares dos dados. Assim, internamente, é interessante ter um manual LGPD, um documento que reúna todas as diretrizes em relação a processos internos e funcione como um dia aos colaboradores.
Para os titulares de dados, principalmente clientes, um FAQ no site funciona muito bem, assim como informar a todos sobre a política de privacidade da empresa, adequação à LGPD e outros detalhes.
O site também deve informar os usuários da política de cookies, e permitir customização das informações compartilhadas pelo internauta.
Treinamento de colaboradores e terceirizados
Todos os colaboradores, terceirizados ou não, devem passar por um treinamento em relação à LGPD. Explicar, principalmente para quem lida diretamente com dados dos titulares, quais são as novas diretrizes e por que elas existem é imprescindível.
Isso pode ser feito em parceria com o time de compliance, e diversos materiais, como o manual mencionado no item acima, devem estar disponíveis para consulta no dia a dia, facilitando o trabalho e o relacionamento com clientes.
Política de Segurança e Privacidade e o Futuro
A LGPD em vigor fez com que muitos encarassem com mais seriedade a segurança da informação. Em uma sociedade em que informação é moeda de alto valor, é fundamental que ela seja tratada com o cuidado que demanda.
Ter um plano sólido e integrado de segurança da informação é algo essencial para toda empresa, independentemente do seu tamanho ou operação. Aliar proteções de servidor, firewall e cibersegurança a processos bem estruturados e treinamentos internos é a receita certa para uma operação sem grandes riscos.
Além disso, é o futuro. Garantir segurança e confiança para seus clientes é um diferencial neste mercado crescente da monetização da informação. E usar dados, com consentimento, é claro, é também uma ótima ferramenta de marketing para o crescimento do seu negócio.
Ficou com alguma dúvida sobre como implementar a LGPD na sua empresa? Entre em contato conosco ou deixe seu comentário, será um prazer orientá-lo.