Você conhece sobre a LGPD e como ela pode impactar na sua empresa? Neste artigo, vou te mostrar um pouco mais sobre essa lei e o que implementar para sua empresa estar em total compliance com suas exigências!

Atualmente, é indiscutível a importância da utilização de dados para nortear as empresas. Desde estratégias de vendas até questões de segurança interna, decisões são cada vez mais tomadas pela perspectiva data-driven, com base em dados.

A transformação digital que estamos vivendo facilita cada vez mais o alcance e coleta de dados. No entanto, isso levanta sérias questões sobre a segurança de nossos dados pessoais. Afinal, ninguém se sente confortável quando informações pessoais nossas são divulgadas para outras pessoas sem consentimento.

É nesse contexto que surge a Lei Geral de Proteção de Dados, ou LGPD.

Neste artigo, vou te falar sobre o que é a LGPD, como ela impacta na gestão das empresas e alguns passos essenciais para que sua empresa esteja em conformidade com a lei antes que ela entre em vigência.

O que é a LGPD

LGPD é a sigla adotada para Lei Geral de Proteção de Dados, de Nº 13.709.

Essa lei busca proteger dados de pessoas físicas e jurídicas, estabelecendo normas e regras quanto à coleta, tratamento, armazenamento e compartilhamento de dados pessoais.

Os principais objetivos dela incluem:

• Proteção à privacidade;
• Assegurar a transparência;
• Fomento do desenvolvimento;
• Padronização de normas;
• Segurança jurídica;
• Favorecimento à concorrência entre mercados.

Ela foi sancionada em 14 de agosto de 2018 e entrará em vigência a partir de agosto de 2020.

A LGPD surgiu como uma lei equivalente à GDPR (General Data Protection Regulation), que é vigente pela maior parte da Europa.

A GDPR foi criada após o vazamento em massa de dados pelo Facebook, onde foi vista a necessidade de controle e punições mais rigorosas para a falta de compliance.

Com isso, a LGPD surge em um contexto de garantir os direitos fundamentais da liberdade e da privacidade, assegurando a segurança de seus dados pessoais tanto digitalmente quanto pessoalmente.

Como a LGPD impacta em uma empresa 

A partir do período de vigência da LGPD, toda e qualquer empresa que lide direta ou indiretamente com dados de pessoas externas à organização precisará ter um controle e uma gestão desses dados que estejam em total conformidade com a lei.

Essas pessoas externas incluem visitantes, prestadores de serviços, leads, clientes, fornecedores e todo stakeholder que uma empresa pode ter.

Toda empresa lida com dados de algum desses stakeholders. Com isso, é possível dizer que as exigências da LGPD abrangem toda e qualquer empresa.

Torna-se então essencial que as organizações busquem adequar suas práticas e sua gestão de dados para que estejam em compliance com as exigências do governo após a vigência.

Não é apenas uma questão de ética: a multa para o vazamento de dados pessoais pode chegar até a R$ 50 milhões.

Como implementar a LGPD

Para garantir a conformidade com a LGPD, uma empresa deve reestruturar e readequar todos os seus processos internos que envolvam dados de terceiros de alguma maneira.

Sendo assim, existem 6 passos que são essenciais para garantir essa reestruturação na gestão interna:

1. Identifique os agentes envolvidos

Para implementar processos e ferramentas que garantem o compliance de uma empresa com a LGPD, primeiro é necessário observar todos os agentes envolvidos na lei.

Esses agentes incluem:

• O titular: é o stakeholder que fornece seus dados.
• O controlador: é a empresa que coleta os dados do titular. É responsabilidade do controlador decidir como esses dados serão tratados e geridos.
• O operador: é a empresa ou pessoa diretamente responsável pela gestão e tratamento dos dados. Ele realiza esses processos de acordo com o que é estabelecido pelo controlador.
• O encarregado: é a pessoa responsável por implementar os processos e ferramentas que garantem o compliance com a LGPD, e atua como comunicador entre os agentes envolvidos.

A empresa deve antes de tudo observar em quais momentos ela atua como controlador de dados e quais ferramentas que utiliza ou empresas que contrata que atuam como operador desses dados.

É essencial também identificar todos os tipos de titulares que a empresa tem contato. Isso vai desde visitantes que fazem um check-in na sua empresa, até os leads que são gerados pelas suas estratégias de marketing.

Esse processo de identificação não é tão simples quanto parece, e é importante que uma empresa possua suporte legal para essa etapa, principalmente se lida com dados de múltiplas fontes.

2. Identifique os dados essenciais

O próximo passo é identificar quais são todos os dados essenciais que sua empresa precisa coletar de seus titulares.

A coleta de dados é essencial para muitas empresas, tanto pensando em estratégias de crescimento e vendas que são data-driven, como também para a segurança do escritório, envolvendo visitantes e fornecedores.

No entanto, a empresa não deve coletar mais dados além do crucial para a execução de suas estratégias e garantir a sua segurança.

Liste todos os dados necessários e tenha eles mapeados com segurança, identificando quais etapas dos seus processos internos precisam ser alteradas em busca do compliance.

3. Garanta o consentimento na coleta de dados

Um dos pilares da LGPD é o consentimento do titular para a coleta e tratamento dos seus dados.

Em todo momento de coleta de dados, é obrigatório que exista alguma cláusula, termo ou ferramenta que garanta o consentimento no momento da coleta de dados.

Isso é representado pelo infame “Li e Aceito os Termos de Uso”, que pode ser um detalhe ignorado por muitos, mas que garante o consentimento dos dados fornecidos.

É importante também que uma empresa busque o compliance de suas próprias informações e dados quanto a terceiros como visitantes e fornecedores.

Um passo fundamental para aumentar a segurança dos seus dados é a implementação de um NDA (Non-Disclosure Agreement), ou Termo de Confidencialidade, que garante que seus dados estejam protegidos legalmente.

4. Garanta a conformidade dos fornecedores

Se tratando da LGPD, não é apenas você e os seus processos que devem estar em conformidade com a gestão de dados.

Alguns dos seus fornecedores vão atuar como operadores dos dados de alguns dos seus titulares. Sistemas de Controle de Visitantes, por exemplo, atuam como operadores dos dados de visitantes das empresas.

Com isso, você só deve trabalhar com fornecedores que também estejam em conformidade com a LGPD. Se não, você pode ser legalmente responsável por falhas e vazamentos causados por seus fornecedores.

5. Defina um responsável na empresa

Se a sua empresa lida com muitos dados de naturezas diferentes, principalmente dados coletados virtualmente, é importante que exista uma pessoa fixa na função de encarregado.

É nesse contexto que surge a necessidade de um Data Protection Officer (DPO), que se torna responsável pela gestão e controle desses dados. O DPO é uma função em crescimento dentro de departamentos de TI e empresas de tecnologia e extremamente recomendada para garantir uma boa gestão de dados e adequação perante à LGPD.

Em empresas menores e com menos envolvimento de dados, pode não ser necessária a criação de um cargo, mas é muito importante que exista um responsável na empresa pela função de encarregado.

6. Tenha apoio legal

Feito todos os outros passos, você vai estar muito encaminhado para estar em conformidade com a LGPD.

No entanto, ainda é muito importante que você tenha apoio legal. Afinal, apenas um especialista pode observar cada detalhe do seu negócio e identificar possíveis falhas na gestão de dados em seus processos ou alterações em seus contratos e documentos.

Portanto, após realizar as mudanças, procure alguma consultoria jurídica para garantir o compliance por toda a empresa.

O que você já está fazendo para garantir a conformidade com a LGPD?

Se precisar de apoio para o compliance com os dados dos seus visitantes, não deixe de falar conosco.

Compreenda o que são dados pessoais e dados sensíveis para a LGPD e a principal diferença entre os dois conceitos na prática para o compliance na sua empresa.

Já não é novidade que a Lei Geral de Proteção de Dados está chegando e com ela é inevitável um grande impacto na gestão e tratamento de dados nas empresas.

No entanto, o que pode não ser de conhecimento de todos é a distinção que existe entre esses dados perante a LGPD e como eles devem ser tratados de maneira diferente.

Neste artigo, vou te mostrar a diferença entre dados pessoais de dados sensíveis para a LGPD, e o que isso afeta na prática a gestão de dados.

Dados pessoais

Para a LGPD, dados pessoais são todos os tipos de dados que podem levar a identificação de uma pessoa, de forma direta ou indireta. Alguns tipos de dados pessoais incluem:

• Nome completo;
• RG e CPF;
• Passaporte e carteira de habilitação;
• Endereço;
• Telefone;
• E-mail;
• Endereço de IP;
• Data de nascimento;
• Localização via GPS;
• Entre outros.

Os dados pessoais protegidos pela LGPD vão muito além de documentos e informações tradicionais como nome e telefone.

É importante levar em consideração que a lei considera um dado pessoal algo que possibilite a identificação direta ou indireta de um indivíduo.

Com isso, os mais diversos tipos de informações podem ser então considerados dados pessoais perante a lei e são protegidos como tal.

Vale ressaltar que a natureza desses dados pode ser tanto física (coletada ou observada fisicamente e pessoalmente) quanto digital (coletado por meio de tecnologias), sendo ambas protegidas pela LGPD.

Dados sensíveis

Um tipo de dado que merece ainda mais atenção, dados sensíveis também são considerados dados pessoais para a LGPD.

No entanto, a diferença é que estes podem abrir margem para discriminação ou preconceito. São eles

• Origem racial ou étnica;
• Convicção religiosa;
• Opinião política;
• Filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
• Dado referente à saúde ou à vida sexual;
• Dado genético ou biométrico, quando vinculado a uma pessoa natural;

Esse tipo de informação normalmente não é coletado de maneiras tradicionais como formulários ou contratos, mas se unido a um dado pessoal identificável, pode comprometer imensamente a privacidade de um indivíduo e gerar sérios problemas legais.

Como tratar dados pessoais e sensíveis na LGPD

O primeiro passo para o tratamento de dados na LGPD é garantir o consentimento desses dados pelo seu titular.

Esse consentimento consiste não apenas em uma autorização na coleta, mas também em garantir que o titular esteja ciente de como esses dados serão tratados e qual a finalidade da coleta dos mesmos.

É comum que empresas e algumas ferramentas coletem informações que são caracterizadas como dados pessoais. A coleta desses dados é um processo importante para a segurança das empresas, garantindo a proteção de seus próprios dados e informações. No entanto, é essencial garantir o consentimento de todos os titulares que sua empresa tem contato.

Colete apenas os dados essenciais

Outro ponto relevante é levar em consideração uma gestão e tratamento apenas de dados essenciais para a segurança e a gestão da empresa. Se um dado não for de alguma maneira útil para esses aspectos, não existe a necessidade de coletá-lo.

Isso vale principalmente para dados sensíveis, que não possuem utilidade na maior parte das vezes. Caso o tratamento de um dado sensível seja necessário, garanta com ainda mais certeza o consentimento do mesmo.

A partir disso, você tem o primeiro passo para garantir a implementação do compliance com a LGPD.

Dados de crianças e adolescentes

Um caso à parte no tratamento de dados para a LGPD, a Seção III da lei é totalmente dedicada ao tratamento de dados relacionados à crianças e adolescentes (menores de idade).

Diferente de dados pessoais e sensíveis, dados referentes a menores de idade precisam não apenas do seu consentimento, mas também do consentimento de seus pais ou responsáveis legais.

Uma única exceção de dados que podem ser coletados sem o consentimento ocorre quando estes serão utilizados para contatar os pais ou responsáveis legais de uma criança, desde que nenhum deles seja armazenado após o uso.

Além disso, os tipos de dados que uma empresa coleta de crianças e o método de tratamento utilizado devem ser públicos. Ou seja, deve ser explícito a qualquer pessoa como esses dados são tratados e porquê são coletados.

Ainda em dúvida sobre a classificação de dados na LGPD? Não deixe de recorrer à ajuda de especialistas para garantir que sua empresa esteja adequada às exigências da lei.