Baixe o app para aproveitar ainda mais
Prévia do material em texto
SUMÁRIO Introdução............................................................................................................. Conhecendo a LGPD........................................................................................... Você sabe o que é a LGPD e como ela afeta o seu dia a dia pessoal e profissional?........................................................................................... Importância dos dados.......................................................................................... Mas, afinal, o que é a LGPD e para que serve a proteção de dados?......... Objetivo da LGPD................................................................................................... Casos que não se aplicam à LGPD..................................................................... Dados pessoais e dados pessoais sensíveis...................................................... Dados pessoais de crianças e adolescentes.................................................... Quais são os casos em que o tratamento de dados é permitido?............... Em quais casos não é necessário consentimento do titular?........................ A LGPD nas empresas ........................................................................................ Como você preserva a integridade das informações da sua empresa......... e os dados dos seus clientes?............................................................................... Principais danos provocados por vazamento de dados.................................. Integridade e confidencialidade ......................................................................... Mas o que os especialistas recomendam para a conformidade com a LGPD?........................................................................................................... O que tenho que fazer para me adequar à LGPD?......................................... Quem vai fiscalizar a LGPD? ............................................................................... Boas práticas........................................................................................................ O que a minha empresa pode fazer para começar a...................................... cumprir a LGPD?.................................................................................................... Compliance como responsável pela adequação das...................................... organizações à LGPD............................................................................................. 03 04 05 06 07 09 10 11 12 13 15 16 17 17 18 18 19 19 20 21 21 22 23 24 Se você é uma pessoa conectada, certamente já leu algo sobre a Lei Geral de Proteção de Dados, a LGPD. Mas, você sabe exatamente como ela fun- ciona, quais são suas diretrizes e os impactos da sua implementação? Neste e-book, você descobrirá como a LGPD mudará a maneira de as empresas lidarem com dados pessoais. Boa leitura! 01 02 Conhecendo a LGPD Você sabe o que é a LGPD e como ela afeta o seu dia a dia pessoal e profissional? “Dados são o novo petróleo, exceto por um pequeno detalhe.” AJAY BANGA, CEO GLOBAL DA MASTERCARD. Atualmente, uma das maiores riquezas das organizações são os seus dados, que muitas vezes são utilizados com papel estratégico nos negócios. As novas tecnologias como Internet das Coisas, Aprendizado das Máqui- nas e Inteligência Artificial já são sistemas que aprendem sozinhos com a coleta, a análise e a comparação dos dados, transformando-os em in- formações e conhecimento valioso na competitividade do mercado. Importância dos dados Números de Ataques Cibernéticos Um dos principais motivos para o surgimento de leis de proteção de dados é o crescente volume de ataques cibernéticos às organizações. Veja a se- guir alguns números. 02 COMO USAR O PODER DE COMPRA DO ESTADO PARA FOMENTO ÀS MPES 0303 Conforme dados reportados ao CERT.br, foram 875.327 incidentes de Tecnologia da Informação (TI) em 2019. De acordo com o Internet Security Thread Report de fevereiro de 2019, houve um aumento de 56% de ataques web. De acordo com o website Information is Beautiful, abaixo estão (em in- glês) as maiores violações e hackeamento de dados do mundo. Mas, afinal, o que é a LGPD e para que serve a proteção de dados? A Lei Geral de Proteção de Dados é a Lei nº 13.709, aprovada em agosto de 2018 no Brasil. Ela cria normas para a coleta e o tratamento de dados pelas empresas. Seu objetivo é assegurar a privacidade e a proteção de dados pessoais e promover a transparência na relação entre pessoas físicas e jurídicas. A LGPD aplica-se a qualquer pessoa natural ou jurídica de direito público ou privada, que realize tratamento de dados pessoais, ou seja, que exerça atividade em que se utilizem dados pessoais (coleta, armazenamento, com- partilhamento, exclusão) em meio digital e físico. Essa lei é extremante abrangente incluindo a maior parte das atividades e dos projetos do cotidiano das organizações, envolvendo diversos processos como: • Compliance • Desenvolvimento de Softwares • Direito • Financeiro • Gestão de Produtos • Inteligência de Mercado • Recursos Humanos • Serviço de Atendimento ao Cliente (SAC) Objetivo da LGPD A LGPD tem como intuito proteger os direitos fundamentais de liberdade e de privacidade e a livre formação de cada indivíduo. Traz alinhamento ao tratamento de dados feito por pessoa física ou jurídica de direito públi- co ou privado e engloba um amplo conjunto de operações efetuadas em meios físicos e digitais. Por meio dela, as empresas passam a seguir os fundamentos listados abai- xo para realizarem o tratamento dos dados pessoais. • Respeito à privacidade • Direitos humanos, o livre desenvolvimento da personalidade • Autonomia, livre concorrência e a defesa do consumidor • Desenvolvimento econômico, tecnológico e inovador • Inviolabilidade da intimidade, da honra e da imagem • Liberdade de expressão, de informação, de comunicação e de opinião • Autodeterminação informativa • Dignidade e o exercício da cidadania pelas pessoas naturais 04 02 Saiba que, apesar de ampla, a LGPD também tem exceções. Acompanhe a seguir. Casos que não se aplicam à LGPD A LGPD não se aplica ao tratamento de dados pessoais, quando: • Realizado por pessoa natural para fins exclusivamente particulares e não econômicos. • Realizado para fins exclusivamente: a) jornalístico e artísticos; b) acadêmicos. • Realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; d) atividades de investigação e repressão de infrações penais. • Provenientes de fora do território nacional. Mas o que são os dados pessoais, objeto da proteção da LGPD? Saiba mais adiante. Dados pessoais e dados pessoais sensíveis Dados Pessoais De acordo com a LGPD, dados pessoais são qualquer informação que di- recione à identificação de uma pessoa, direta ou indiretamente. O mesmo pode ser diferenciado como Identificada e Identificável, como demonstra o exemplo abaixo. 05 Dados pessoais sensíveis São informações relacionadas à pessoa natural identificada ou identificá- vel, que pode gerar qualquer tipo de discriminação. Sendo elas: • origem racial ou étnica; • convicção religiosa ou filosófica; • opinião política; • filiação sindical ou à organização de caráter religioso; • orientação sexual; • histórico criminal; • dado referente à saúde; • dado genético ou biométrico, quando vinculado a uma pessoa natural. Dados pessoais de crianças e adolescentes Caso a sua empresa, por meio de produtos ou serviços, faça o tratamen- to de dados pessoais de crianças e de adolescentes, siga atentamente a LGPD. • Crianças - até 12 anos de idade • Adolescentes - 13 a 17 anos de idade 06 0207 § 1o - O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. (LGPD, Art. 14). Para ajudá-lo a compreender melhor o que é otratamento de dados, ação que será muito discutida neste curso, preparamos um exemplo. Acompa- nhe! Como você pôde ver através da animação, o tratamento de dados consiste em toda ação realizada pelos agentes de tratamento com dados pessoais. Na maioria dos casos, é preciso de permissão (consentimento do titular) para esse tratamento. Mas nem sempre isso é necessário. Veja as explica- ções adiante. Quais são os casos em que o tratamento de dados é permitido? O tratamento de dados pessoais somente poderá ser realizado: • mediante o fornecimento de consentimento pelo titular; • para o cumprimento de obrigação legal ou regulatória pelo Controlador; • pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas; • para a realização de estudos por órgão de pesquisa; • quando necessário para a execução de contratos; • para o exercício regular de direitos em processo judicial, administrativo ou arbitral; • para a proteção da vida ou da incolumidade física do titular ou de ter- ceiro; • para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; • quando necessário para atender aos interesses legítimos do Controlador ou de terceiro; • para a proteção do crédito. Em quais casos não é necessário consentimento do titular? Em situações excepcionais, quando houver interesse público ou riscos à vida e à saúde de terceiros, o tratamento de dados poderá ocorrer sem o consentimento do titular, como por exemplo, em alguns dos casos men- cionados acima: cumprimento à obrigação legal ou determinação judicial; exercício regular de direitos em processos judiciais ou administrativos; en- tre outros. Recomendamos que você consulte a íntegra da Lei e leia-a atentamente. http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm Por isso, a LGPD traz 10 princípios que devem ser observados no tratamen- to de dados pessoais pelas organizações. Acompanhe a seguir. Finalidade Realização do tratamento para propósitos legítimos, específicos, explíci- tos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível comessas finalidades; Adequação Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; Necessidade Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; Livre acesso Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; 08 0209 Qualidade dos dados Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; Transparência Garantia, aos titulares, de informações claras, precisas e facilmente aces- síveis sobre a realização do tratamento e os respectivos agentes de trata- mento, observados os segredos comercial e industrial; Segurança Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; Prevenção Adoção de medidas para prevenir a ocorrência de danos em virtude do tra- tamento de dados pessoais; Não discriminação Impossibilidade de realização do tratamento para fins discriminatórios ilíci- tos ou abusivos; Responsabilização e prestação de contas Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de da- dos pessoais e, inclusive, da eficácia dessas medidas. Em situações excepcionais, quando houver interesse público ou riscos à vida e à saúde de terceiros, o tratamento de dados poderá ocorrer sem o consentimento do titular, como por exemplo, em alguns dos casos menCo- mo você preserva a integridade das informações da sua empresa e os dados dos seus clientes? Vazamento de dados: um problema que pode se tornar irreparável! Nos últimos 10 anos, foram confirmados vários casos de vazamento de da- dos no mundo, coincidindo com o aumento vertiginoso da disponibilização de dados pessoais na web e nos servidores. Com as pessoas conectadas 24 horas por dia, cresceu o desejo dos criminosos virtuais de ter acesso a essas informações valiosíssimas. Abaixo, listamos alguns casos famosos de violação de dados. Confira! UBER Uma das empresas de aluguel de carros mais populares no mundo, a Uber, não escapou de ver os dados de seus usuários e motoristas sendo rou- bados por criminosos virtuais. O caso aconteceu em 2016 e foi revelado em 2017. No total, estima-se que dados de 57 milhões de pessoas, entre usuários e motoristas, foram vazados — nome, e-mail, telefone, números de cartão e diversas outras informações pessoais. FACEBOOK Com bilhões de usuários no mundo e uma produção de dados quase que imensurável, o Facebook se envolveu em um escândalo que ultrapassa a esfera digital. Ele envolveu a consultoria de marketing digital britânica Cam- bridge Analytica e afetou mais de 50 milhões de contas mundo afora. 10 A LGPD nas empresas 0211 Logins e senhas foram roubados. Isso pode parecer simples, mas tinha um objetivo muito bem definido: utilizar essas informações na campanha elei- toral de 2016, em prol do candidato Donald Trump. BANCO INTER O Banco Inter é um dos pioneiros em oferecer contas digitais no país. Um vazamento, em 2018, deixou cerca de 19 mil correntistas vulneráveis. O objetivo dos hackers era extorquir o banco, três dias depois de a empresa negociar suas ações na bolsa de valores. Em dezembro do mesmo ano, a empresa fechou um acordo com o Minis- tério Publico do Distrito Federal e Territórios, com o pagamento de R$1 milhão para instituições públicas que trabalham em combate ao crime ci- bernético e uma quantia relevante destinada a instituições de caridade. Os riscos extensos e as variáveis que as empresas enfrentam ao serem vítimas de uma violação de dados podem ser prejudiciais à sua receita e à sua reputação. Além disso, gerenciar as consequências desses vazamentos pode ser muito caro. Confira os principais prejuízos que podem ser provocados por um vaza- mento de dados. Principais danos provocados por vazamento de dados Perda financeira Dependendo da natureza da violação, podem ocorrer vários problemas fi- nanceiros nas empresas. As empresas que sofrem esses tipos de ataque podem ter que arcar com os custos incorridos com a contenção da viola- ção, compensando os clientes afetados, percebendo uma redução no valor das ações e elevados custos de segurança. 12 Danos à reputação O dano que um vazamento de dados pode causar em uma empresa pode ser devastador, especialmente se a violação for evitável ou colocar os da- dos do cliente em risco. A perda de confiança, a imprensa negativa, o roubo de identidade associado e as opiniões dos clientes em potencial em relação à sua empresa podem ser afetados, deixando nuvens sombrias sobre a re- putação da marca e criando complicações de longo prazo. Interrupções operacionais Desde o momento em que seus dados são comprometidos, até todo o processo de investigação e recuperação, os efeitos de uma violação de dados afetam significativamente as operações de negócios. Dependendo da gravidade, a violação pode resultar em uma perda completa de dados importantes, o que requer que as vítimas passem longos períodos se recu- perando. Implicações legais Violações cibernéticas envolvendo informações pessoais de indivíduos ge- ralmente resultam em ações judiciais coletivas. Junte todas as taxas legais que acompanham esses pagamentos, e as empresas enfrentarão custos muito mais altos do que a maioria pode arcar. 0213 Esses exemplos servem de alertapara possíveis ameaças de violações de dados. Saiba que tomar as medidas preventivas adequadas é a melhor ma- neira de garantir que sua empresa não seja vítima de um ataque ciberné- tico. Se sua organização não leva a sério a segurança da informação, pode haver sérias consequências. Diante disso, é de extrema importância assegurar os requisitos de integri- dade e confidencialidade de sua empresa. Integridade e confidencialidade Você sabe o que os governos, as entidades estatais e as empresas devem fazer para garantir a privacidade? Este assunto será bastante discutido nos próximos anos em debates jurídi- cos, econômicos e sociais, pois o tráfego crescente e os riscos de ataques e vazamentos de dados afetam praticamente toda a iniciativa pública e privada do país. Você já parou para pensar na quantidade de informações pessoais que cir- culam por redes virtuais diariamente? São milhares! Toda essa exposição de dados em larga escala mostra as fragilidades de sistemas e protocolos, inclusive por parte de quem deveria fiscalizar a se- gurança das operações: o Estado. 14 Os especialistas recomendam redesenhar a gestão organizacional, com ên- fase em alguns pontos: 1. nomear um encarregado de proteção de dados; 2. revisar as políticas de segurança e a realizar a auditoria completa dos dados; 3. elaborar mapas de temporalidade ou ciclo de vida dos dados; 4. reelaborar os contratos com fornecedores e parceiros e elaborar o rela- tório de impacto de privacidade. O que tenho que fazer para me adequar à LGPD? O ideal é que você mapeie todas as informações sensíveis que você já tem. Faça um raio-X de todas as informações e dados que você tem na sua base de clientes, banco de dados etc. Depois de nomear a equipe responsável pelo tratamento de dados, desenhe cada processo da sua empresa e peça para que todas as equipes ou colaboradores listem os dados que costumam manusear durante estas atividades. Abaixo, separamos algumas sugestões de como começar a mapear os da- dos. Acompanhe! 1 Liste todos os dados que você armazena de seus colaboradores, clientes e fornecedores (fale com a equipe de RH, marketing, controla- doria, financeiro, entre outros). 0215 2 Observe como estas informações são coletadas e armazenadas e se o armazenamento é feito de forma segura. 3 Verifique se estas informações têm autorização (opt-in) de seus donos e observe a data em que foram coletadas. 4 Verifique para qual finalidade as informações são coletadas, quem tem acesso a elas e o porquê. Lembre-se sempre de que o mapeamento deve acompa- nhar as mudanças da sua empresa! Algo necessário, é a criação de uma equipe técnica que tome decisões so- bre os dados. O primeiro passo para isso, é nomear, qualificar ou contratar três profissionais que possam cumprir com o papel de Controlador, Ope- rador e Encarregado e assim formar sua equipe de tratamento de dados. As informações roubadas foram logins e senha, o que pode parecer simples, mais tinha um objetivo muito bem definido: utilizar tais informações pes- soais na campanha eleitoral de 2016, em prol do candidato Donald Trump. Alguns especialistas sugerem que um desses profissionais seja o responsá- vel legal para gerenciar todos os dados, principalmente caso haja vazamen- tos. Assim, o ideal é que esse profissional tenha conhecimento sobre legis- lação e boas práticas de proteção de dados, além de acompanhar desde o início a separação dos documentos e o mapeamento dos dados dentro da empresa. Quem vai fiscalizar a LGPD? O órgão responsável por fiscalizar a LGPD é a ANPD, juntamente com o Poder Executivo Federal. A maneira como será feita essa fiscalização ainda não foi definida, porém especialistas afirmam que a ANPD pode atuar em conjunto com outros ór- gãos do governo. 16 0217 O tipo de pena que a ANPD poderá aplicar vai variar de acordo com: • a reincidência; • a vantagem econômica auferida pelo infrator e sua condição econômica • o grau do dano; • a adoção de políticas de boas práticas e governança; • a boa-fé do infrator; • a gravidade e a natureza das infrações e dos direitos pessoais afetados; • a cooperação do infrator; • a adoção demonstrada de mecanismos e procedimentos para minimizar os danos; • a proporcionalidade entre a gravidade da falta e a intensidade da sanção. Tudo certo até aqui? : Estamos chegando ao final deste tópico, mas, antes de concluir, queremos esclarecer quais sanções podem ser aplicadas às empresas que descumpri- rem a LGPD. De nada adianta haver regras e procedimentos definidos, bem como uma autoridade nacional para supervisionar o cumprimento da legislação, se não houver sanções aos infratores, não é mesmo? Agora, vejamos as nove sanções previstas na LGPD: 1. Advertência, com indicação de prazo para adoção de medidas corretivas; 2. Proibição parcial ou total do exercício de atividades relacionadas a trata- mento de dados; 3. Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período; 1. Advertência, com indicação de prazo para adoção de medidas corretivas; 2. Proibição parcial ou total do exercício de atividades relacionadas a trata- mento de dados; 3. Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período; 4. Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual pe- ríodo, até a regularização da atividade de tratamento pelo controlador; 5. Eliminação dos dados pessoais a que se refere a infração; 6. Publicização da infração após devidamente apurada e confirmada a sua ocorrência; 7. Multa diária, observado o limite total de R$ 50.000.000,00 por infração, devendo o valor da sanção de multa diária aplicável às infrações obser- var a gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pela ANPD; 8. Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, ex- cluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração; 9. Bloqueio dos dados pessoais a que se refere a infração até a sua regu- larização. O que a minha empresa pode fazer para começar a cumprir a LGPD? Há alguns passos que você deverá seguir para ficar compatível com a LGPD e, assim, zelar pelos direitos dos seus funcionários e dos seus clientes. Afi- nal, eles são os donos dos dados pessoais utilizados pela sua empresa. Veja a seguir! Nomear os “técnicos” do time A LGPD prevê os agentes de tratamento de dados pessoais: tem o contro- lador, que é a quem compete as decisões relativas ao tratamento; tem o operador, que é quem realiza o tratamento, em nome do controlador. Há ainda o encarregado, que, com autonomia e estabilidade, é o responsável por atender às demandas dos titulares, interagir com a autoridade nacional (ANPD) e orientar funcionários e contratados quanto às práticas de prote- ção de dados pessoais – e ele poderá ou não ser exigido, a depender da natureza ou porte da empresa e do volume de dados tratados por ela. 18 Boas práticas 0219 Gerir os dados e respeitar a privacidade Identifique, entre as informações que gerencia, quais são dados pessoais (cheque também se há aqueles que exigem um tratamento ainda mais es- pecífico, como os sensíveis, e sobre crianças e adolescentes). Verifique os meios em que se encontram (físico ou digital). Atenção ao consentimento e à guarda de provas O titular deve concordar, de forma explícita e inequívoca, que seus dados sejam tratados. E o empresário deve fazer esse tratamento levando em conta princípios da LGPD (finalidade, adequação, livre acesso, qualidade dos dados, transparência, prevenção, não discriminação, responsabilização). A exceção à regra diante de bases legais O consentimento é a palavra-chaveda LGPD. De modo geral, você não poderá enviar ofertas se o consumidor não permitir isso explicitamente. As exceções em que não é preciso o consentimento é quando tratar dados for indispensável em situações relacionadas: a uma obrigação legal; a políticas públicas; a estudos via órgão de pesquisa; a um direito, em contrato ou pro- cesso; à preservação da vida e da integridade física de uma pessoa; à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária; à prevenção de fraudes contra o titular; à proteção do crédito; a interesses legítimos da empresa, desde que esses interesses não firam direitos funda- mentais do titular. Apoio da alta liderança e dos funcionários A LGPD envolve mudanças profundas na forma de lidar com dados pes- soais e, para “pegar” na empresa, é preciso engajamento da diretoria e dos colaboradores. Para isso, é importante que gestores de dados e corpo fun- cional como um todo busquem conhecer boas práticas, participem de cur- sos de formação, entre outras ações. Menos “acaso” e mais prevenção para sua infraestrutura Elabore e adotes normas de governança para tratamento de dados pesso- ais, medidas preventivas de segurança. Replique boas práticas e certifica- ções aplicadas no mercado. 20 Errou? Assuma e corrija com rapidez Construa planos de contingência para tratar incidentes de segurança e tra- te os problemas com agilidade. Faça auditorias de tempos em tempos. Transparência e proatividade Seja ágil no atendimento aos pedidos do titular dos dados, segundo os cri- térios definidos pela LGPD e pela autoridade nacional. Se causou, compro- vadamente, algum dano patrimonial, moral, individual ou coletivo, responda por eles. Tenha atenção, ainda, às questões sobre quando deve encerrar um tratamento e informe sobre o término ao titular. Extraterritorial A LGPD se aplica a empresas que ou têm estabelecimento no Brasil, e/ou oferecem produtos e serviços ao mercado brasileiro, e/ou coletam e tratam dados de pessoas que estejam no país. Vale lembrar que não interessa: se o titular dos dados é brasileiro ou não; qual o meio de operação de tratamen- to dos dados (físico ou digital); qual o país sede da empresa; se os dados estão hospedados em datacenters no país ou não. Vale reforçar que a LGPD permite a transferência de dados além-fronteira, desde que seja: com o consentimento específico do titular; a pedido do titular para que esse possa executar pré-contrato ou contrato; para pro- teção da vida e da integridade física do titular ou de terceiro; para ajudar na execução de política pública; para país ou organismo internacional que projeta dados pessoais de forma compatível com o Brasil; para cooperar ju- ridicamente com órgãos públicos de inteligência, investigação, ou por conta de compromisso assumido via acordo internacional; para cumprir obrigação legal; com a autorização da ANPD; comprovado que o controlador segue a LGPD na forma de normas globais, selos, certificados e códigos de conduta. Saiba que a LGPD é a melhor saída! No cenário atual, em que as pessoas cada vez mais exigem saber o que é feito com seus dados, e em que para competir de igual pra igual é preciso investir em mudanças, sua empresa não pode “fazer de conta” que a Lei Geral de Proteção de Dados Pessoais não existe. 0221 Compliance como responsável pela adequação das organizações à LGPD A jornada para adequar o seu processamento de dados às novas regras da LGPD pode ser longa. Pensando nisso, listamos abaixo 12 ações que você deve fazer para estar em compliance com a LGPD. Acompanhe! 1. Mapear suas ações Para se adequar à LGPD, é imprescindível mapear todas as operações inter- nas que estão relacionadas com a captação e o tratamento de dados. Essas atividades geralmente estão ligadas aos setores de marketing, comercial e TI, mas é importante avaliar todas as áreas para que nenhuma ação passe despercebida. 2. Levantar dados Geralmente, as ações de captação e tratamento manipulam os dados pes- soais. Por isso, elas também precisam ser analisadas. Para facilitar a organi- zação, você pode ordenar os dados em classes de acordo com sua impor- tância e departamento. 3. Adequar ferramentas O próximo passo é avaliar se as ferramentas de tratamento de dados que você dispõe atendem às orientações da LGPD. Diversas plataformas já se adequaram ao GDPR, mas é fundamental verificar se elas também estão de acordo com a lei brasileira e fazer ajustes caso necessário. 4. Revisar materiais Reveja os principais materiais ligados à proteção de dados e à segurança digital, como os Termos de Uso e as Políticas de Privacidade. Até mesmo os contratos devem ser revisados para garantir que os conteúdos estejam de acordo com a LGPD. Lembre-se de que o ideal é contar com apoio jurí- dico sempre que precisar criar ou alterar materiais de efeito legal, como os contratos. 5. Corrigir contratos Tire um tempo para verificar se contratos de prestação de serviços – inter- nos e externos – de empresas e profissionais que tenham acesso ou tratem dados pessoais em seu nome necessitam de ajustes. 6. Analisar a segurança É fundamental que sua empresa analise os mecanismos de segurança e atualize-os. Todas as técnicas e os procedimentos de segurança devem ser documentados e informados ao consumidor, se necessário. 7. Planejar providências Liste tudo que precisará ser mudado, detalhe como será a transição para os novos processos e qual será o tempo e investimento necessário para chegar lá. 8. Criar guias e relatório Preocupe-se também em criar manuais, guias e outros materiais para des- crever a importância de seguir a legislação e as boas práticas. É bom que esses materiais estejam disponíveis para eventuais consultas. Como deve haver uma forte fiscalização do cumprimento da lei, vale a pena, ainda, criar um relatório de impacto à proteção de dados para relatar detalhadamente as ações tomadas pela sua empresa para estar em conformidade com a LGPD. 9. Reestruturar equipes Planeje uma reestruturação da equipe e faça eventuais contratações para garantir que todos estejam 100% acostumados com a nova rotina de traba- lho e as boas práticas do tratamento de dados. 10. Realizar treinamentos Saiba que não é do dia para a noite que seus colaboradores irão se ajustar aos novos procedimentos, nomenclaturas e atividades. Por isso, promova treinamentos periódicos e reciclagens para garantir que as informações fo- ram bem fixadas e estão sendo empregadas no dia a dia. 22 0223 11. Eliminar dados desnecessários A análise e a categorização dos dados podem revelar que sua empresa tem informações que não são mais necessárias. Cópias duplicadas, dados invá- lidos ou muito antigos, por exemplo, podem e devem ser eliminados. Além de abrir espaço para novas informações, essa prática permite que você foque seus esforços em dados que realmente valem a pena. 12. Nomear um DPO Por fim, não se esqueça de nomear um DPO (ou encarregado) para fazer a gestão. As atribuições do DPO incluem monitorar e orientar as atividades e os profissionais ligados à proteção de dados e mediar a comunicação com a ANPD e os titulares. Acreditamos que, por se tratar da área da organização responsável por ga- rantir que a empresa atue de acordo com a lei e com as melhores práticas, o compliance será também o “guardião” da LGPD. Diante disso ressaltamos a exigência da LGPD em um nível de maturidade dos Programas de Compliance no que diz respeito à privacidade e seguran- ça de dados. Assim, o setor de conformidade passará a contar com profis- sionais encarregados de desempenhar a função de “Agente de Proteção de Dados”, conforme estabelece a nova lei.
Compartilhar