LGPD: Como Implementar? Essa tem sido uma das principais dúvidas entre profissionais da tecnologia da informação e empresários nos últimos meses.
Afinal, você sabe tudo que muda com a nova legislação? Mesmo para quem leu o texto da lei na íntegra, pode ser um pouco complicado aplicar as mudanças em todos os processos de uma empresa.
A auditoria e implementação de novos processos, afinal, sempre é uma operação de larga escala. Se você está se preocupando sobre como garantir que sua empresa não sofrerá penalidades, não está sozinho. Mas não se preocupe. Pensando nessa dificuldade, criamos esse guia completo sobre LGPD: como implementar na sua empresa.
A seguir, vamos discutir o que é a nova lei e o que ela abrange. Além disso, você encontra um passo a passo de como implementar a LGPD de maneira simples e eficaz.
Hoje, você vai aprender:
- LGPD: como implementar?
- 15 passos para implementar a Lei Geral de Proteção de Dados
- Conclusão
Boa Leitura!
LGPD: como implementar?
Se você acompanha as notícias do setor de TI, certamente notou que a pergunta do momento é “LGPD: como implementar?”
E não é para menos – com um novo órgão dedicado a fiscalização das irregularidades definidas pela lei, empresas estão fazendo de tudo para evitar as penalizações. Afinal, elas não são leves. As multas são aplicadas por cada incidente, e podem chegar a R$ 50 milhões, dependendo do faturamento bruto da empresa.
Isso sem contar que empresas com irregularidades podem ser ter suas atividades que envolvem o manejo de dados pessoais suspensas, ou ser impedidas de atuar no mercado até a regularização.
E então, você já sabe tudo que precisa sobre a nova lei? Não precisa se preocupar se ainda tiver dúvidas: esse artigo vai explicar tudo que você precisa saber.
O que é a LGPD?
A LGPD, ou Lei Geral de Proteção de Dados, refere-se a Lei nº 13.709, de 14 de agosto de 2018. As normas entram em vigor em agosto de 2020, e visam a proteção ao direito à privacidade e liberdade do cidadão, abordando especificamente o manejo de dados pessoais pelas empresas.
Esse é um direito concedido pela constituição de 88. No entanto, com tanta mudança na tecnologia e na maneira que lidamos com dados e informações, uma atualização se fez necessária.
A LGPD, então, foi redigida visando a defesa dos direitos do consumidor em relação ao uso de seus dados pessoais por empresas e órgãos governamentais.
Se quiser entender mais sobre a LGPD, temos um artigo completo explicando os princípios da lei nesse link.
Quem deve se adequar à LGPD?
A LGPD, apesar de abordar temáticas específicas à segurança da informação, irá afetar empresas de todos os setores. Isso porque todas as instituições brasileiras, públicas e privadas deverão adequar-se à s novas normativas.
Se você estiver interessado, o Art. 3º e 4º da LGPD definem a aplicação da lei e suas exceções.
No geral, se sua empresa coleta ou armazena qualquer tipo de dado pessoal dos seus clientes, é necessário realizar a adequação. Isso inclui cadastros para programas de fidelidade, listas de email e contatos para suporte.
Assim, podemos dizer que virtualmente todas as empresas brasileiras precisarão passar por auditoria e mudanças para evitar penalizações.
15 passos para implementar a Lei Geral de Proteção de Dados
Agora você já entende melhor o que é essa lei. Mas a pergunta principal sobre a LGPD é como implementar. Pensando nessa dúvida frequente, criamos esse guia.
A seguir, você encontra 15 passos simples para garantir que você não vai esquecer de nada. Assim, a implementação da LGPD fica mais simples e você pode ficar tranquilo. Vamos lá:
#Passo 1: Estude a LGPD
O primeiro passo no nosso Guia LGPD: Como Implementar, é justamente entender a nova lei. E isso não significa apenas ler o texto na íntegra.
Antes de continuar, é preciso entender quais são as obrigações legais da sua empresa. Assim, é muito mais simples identificar processos inadequados ou entender como realizar as mudanças necessárias sem abalar a estrutura dos seus processos.
#Passo 2: Abra um Canal de comunicação no seu Site
A comunicação transparente com seus cientes é fundamental. Com a implementação da LGPD, os titulares de dados passam a ter alguns direitos em relação a isso. Então, pode ser que você receba algumas solicitações mais específicas, que sua empresa precisa estar preparada para atender.Â
Veja alguns ajustes importantes para realizar nos canais de comunicação:Â
Confirmação e Acesso aos Dados
O titular tem direito de acessar todos os seus dados pessoais coletados pelo controlador. Por isso, é importante que ele possa verificar quais dados estão sendo utilizados pela sua empresa, quais são eles e por que são necessários.
Retificação
A correção de dados incompletos, errados ou desatualizados também é um direito. Assim, seus clientes precisam ter a opção de alterar todos os dados pessoais guardados pela sua empresa.
Restrição de tratamento
O titular poderá consentir para alguns tipos de tratamento de dados, e não para outros. Por exemplo, pode concordar que sua empresa guarde seu e-mail para o envio de atualizações sobre suas compras, mas não para newsletter. Dessa forma, cada tipo de tratamento deve pedir consentimento expresso do cliente.
Cancelamento ou Exclusão
Seus clientes têm o direito de pedir o cancelamento ou exclusão de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
Portabilidade
Os titulares têm o direito de transferir os seus dados pessoais de um controlador para outro.
Revogação de Consentimento
Seus clientes têm o direito de revogar a autorização para o tratamento de seus dados pessoais a qualquer momento. Isso é, bastando apenas uma manifestação expressa, por procedimento gratuito e facilitado.Â
Oposição
O dono tem o direito de se opor a quaisquer tratamentos e informações que não estejam em conformidade com a lei, assim como as decisões automatizadas que afetem seus interesses. Um exemplo são decisões destinadas a definir seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
Explicação
O titular dos dados tem direito a receber informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados pela sua empresa. Isso é, seu site deve ser transparente quanto ao uso dos dados pessoais e processos envolvidos em sua guarda.
Direito à informação
O titular tem o direito de receber informações sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados. Assim, seu cliente deve ter acesso a todas as entidades que possuem acesso a seus dados pessoais.
#Passo 3 Habilite Consentimentos de Cookies no Seu Site.Â
Como você viu, um dos mais importantes pontos da LGPD é o consentimento do titular para que sua empresa lide com seus dados pessoais. E um dos requisitos mais importantes é compreender o qual é a definição de consentimento e quais as características definidas pela LGPD para consentimento do usuário.Â
Primeiramente, ele deve ser livre. Ou seja, o usuário deve ter pleno controle de seus dados pessoais. Assim, o usuário deve optar por aceitar ou recusar os vários tipos de cookies – informações utilizadas pelo site. Esse deve ser um procedimento fácil e que permite a escolha de quais dados fornecer ou não. O usuário também deve ter a opção de retirar o consentimento a qualquer momento.
#Passo 3: Identifique as leis que você deve cumprir
Ã? fundamental, além de entender o texto da lei, identificar nele quais são as responsabilidades legais da sua empresa.
Segundo o Art 6º da LGPD, elas são:
- Coletar e armazenar apenas os dados essenciais para a prestação dos serviços.
- Oferecer transparência ao titular sobre a finalidade de seus dados, bem como quais agentes possuem acesso à informação e quais são as medidas tomadas para garantir sua segurança.
- Garantir a segurança da informação e implementar medidas de prevenção ao vazamento, perda ou uso inadequado dos dados.
Esse é apenas um resumo. No total, são 10 itens que definem as responsabilidades da empresa com os dados pessoais. Explicamos melhor cada um deles, nesse artigo.
#Passo 4: Desenho o fluxo da entrada de informações pessoais
Agora, você já entende melhor o que deve ser feito. Então, é hora de revisar o caminho das informações pessoais na sua empresa, começando pela entrada dos dados.
Isso é, quais são os dados coletados durante os processos da sua empresa? Eles são essenciais para as operações realizadas?
Também é importante mapear todo o caminho dessas informações. Para simplificar:
- Quais dados sua empresa coleta?
- Porque esses dados precisam ser obtidos?
- Quem faz a coleta desses dados?
- Onde esses dados serão armazenados?
- Como e por quem serão utilizados?
- Quais serão as medidas de segurança implementadas para proteção da informação?
- Quais serão os processos para assegurar a transparência com o titular?
#Passo 5: Mapeamento dos riscos em relação ao tratamento dos dados
Com o caminho dos dados elaborado, é hora de identificar possíveis riscos. Por exemplo, o software utilizado para gestão dos dados é seguro? O servidor onde você armazena as informações está protegido contra ataques?
Também vale lembrar: sempre que pensamos em risco, a mente vai direto ao hacker ou usuário mal-intencionado. Mas vazamento de dados também ocorre devido a práticas indevidas, ou até mesmo uma equipe sem treinamento.
Lembre-se de incluir todas as possibilidades no seu mapeamento de riscos.
#Passo 6: Elabore um relatório de impacto
Como você certamente sabe, toda mudança em processos poderá causar problemas com a infraestrutura da empresa. Será necessário estabelecer um período de transição, treinamento e auditoria, por exemplo.
A chave para não sofrer um baque com as alterações é estar preparado. Por isso, um relatório de impacto se faz fundamental.
#Passo 7: Crie uma política de segurança
A segurança da informação é, principalmente, preventiva. Isso porque não há muito que e pode fazer uma vez que os dados foram comprometidos.
Assim, é importantíssimo ter em prática políticas de segurança. Elas devem começar desde o software utilizado e vulnerabilidades em seu código até o treinamento de colaboradores para lidar com as informações.
#Passo 8: Crie uma política de privacidade
A política de privacidade é um importante documento. Nele, ficam especificados todos os detalhes sobre a coleta, uso e armazenamento de dados da sua empresa. Bem como as medidas em vigor para a proteção das informações.
Esse documento deve ser de fácil acesso para clientes e o público geral.
#Passo 9: Atualize documentos internos e canais de comunicação
A transparência sobre sua política de segurança de dados também é um aspecto importante na LGPD.
A responsabilidade de manter o cliente informado sobre essas medidas é, por lei, da sua empresa. Por isso, é importante que todos os materiais de comunicação estejam em dia.
#Passo 10: Solicite as autorizações dos usuários
Um dos mais importantes fatores da LGPD é que sua empresa pode usar dados pessoais apenas sob autorização do titular.
Isso é, o cliente deve autorizar o uso da informação. Para isso, sua empresa deve ser transparente sobre a finalidade do dado coletado, as medidas de segurança adotadas e os agentes que terão acesso à informação.
Por exemplo, se sua empresa coleta um email para envio de um material promocional específico, como um ebook, não poderá utilizar o contato para outros fins, como envio de email marketing. A não ser, é claro, que o titular ofereça uma autorização explícita para isso.
#Passo 11: Treine as equipes e profissionais para a proteção dos dados
O treinamento dos seus colaboradores é fundamental para garantir que não hajam problemas com a segurança de dados. Afinal, as ameaças para a segurança não são apenas hackers e pessoas mal intencionadas. Acidentes devido à falta de informação também podem causar grandes estragos.
#Passo 12: Formalize uma área de compliance
O departamento de compliance visa garantir que a empresa está cumprindo todas as leis, regras e regulamentos aplicáveis em suas atividades.
Um setor formalizado na empresa ajuda a evitar as multas e penalizações, não apenas no setor de segurança da informação.
#Passo 13: Exija que seus fornecedores tenham uma área de compliance para a proteção dos dados
Muitas empresas utilizam soluções terceirizadas para o armazenamento de dados, sistemas de vendas e marketing e até mesmo gestão de TI.
Assim, é importante garantir que todos os seus fornecedores estejam alinhados com as novas exigências. Isso porque, no caso de incidentes com dados pessoais, sua empresa também poderá ser responsabilizada.
#Passo 14: Forme ou contrate um DPO
O DPO é um profissional especializado na segurança de dados pessoais. Dependendo do tamanho da sua empresa, sua melhor opção pode ser contratar um especialista no assunto.
Tenha em mente que, atualmente, existem muitos cursos de capacitação de curta duração com foco na LGPD. Assim, capacitar um profissional que já está na sua equipe também é uma alternativa viável.
#Passo 15: Utilize o princípio de privacy by design na criação de novos produtos
O conceito de privacy by design visa incorporar medidas de privacidade e segurança dos dados pessoais em todos os projetos desenvolvidos. Isso é, essa preocupação é tida como central no processo de desenvolvimento de novos produtos e serviços.
Dessa maneira, é mais fácil manter seus processos dentro das normas.
Conclusão
Você acabou de ler o nosso guia completo LGPD: como implementar! Agora, você sabe tudo que precisa para começar a integrar as mudanças no dia a dia da sua empresa e evitar as penalidades. Lembre-se que, até agosto desse ano, tudo precisa estar nos conformes.
Isso inclui os sistemas de gestão de TI e suporte que sua empresa utiliza. Para uma solução segura, prática e inteligente, você sempre pode contar com a Milvus.
Clique aqui para conhecer as vantagens da nossa plataforma!
Se você quiser aprender mais sobre a LGPD, preparamos esses artigos especialmente sobre o assunto:
- LGPD na prática: como implementar as novas regras de proteção de dados
- Como se preparar para a LGPD: dicas para empresas e profissionais!
- LGPD: o que é, como funciona e para que serve (Guia Completo)
E, caso tenha se interessado pelo conceito da segurança da informação, leia estes outros artigos aqui no blog:
- O que é ransomware e como esses ataques prejudicam sua empresa
- Tudo sobre Cibersegurança: saiba como proteger a sua empresa!
Obrigado por acompanhar esse guia.