Dicas para se adequar a LGPD
Quais tipos de empresas devem se adequar à LGPD?
Antes de entrarmos na nossa lista, vamos responder a essa pergunta importante: a LGPD se aplica a quais empresas? A LGPD se aplica a qualquer empresa que opera ou faz negócios no Brasil. Todos os tamanhos estão inclusos: pequena, média e grande. Também todos os setores estão inclusos, como, por exemplo, empresas das áreas de tecnologia, de finanças, de saúde e de educação. Este ponto, inclusive, tem gerado muitas discussões, já que alguns especialistas não vêm sentido que a lei seja válida da mesma forma tanto para empresas grandes quanto para empresas pequenas. Em contrapartida, eles sugerem que a lei deveria levar mais em conta o volume de dados coletados, processados e armazenados. Um dos artigos da LGPD, porém, abre uma brecha neste sentido. Diz o artigo que a autoridade responsável pela aplicação da lei, chamada de ANPD (Autoridade Nacional de Proteção de Dados), pode editar normas e procedimentos diferenciados para microempresas e empresas de pequeno porte.
Confira dicas sobre como se adequar à LGPD
1. Entenda o fluxo de informações dentro da sua empresa
O primeiro passo para se enquadrar à LGPD é entender o fluxo de informações e dados pessoais dentro da sua empresa. Ou seja, onde, como e quais dados de usuários, clientes, parceiros e funcionários são coletados, usados e armazenados. Um exemplo simples. A sua empresa é da área de saúde. Os pacientes preenchem uma ficha à mão com dados pessoais, como nome e telefone. Depois um funcionário da empresa passa esses dados para um sistema no computador. Por fim, outra pessoa da empresa, como um médico ou um auxiliar administrativo, pode ter acesso a esses dados. Este é o princípio de um fluxo de informações. A sua empresa precisa de algo assim, mas mais amplo, detalhado e completo.
2. Escolha uma pessoa para ser a responsável pelos dados
A LGPD determina que as empresas criem a posição de DPO (Data Protection Officer). A lei chama o DPO de “encarregado”. O DPO é a pessoa responsável na empresa por intermediar a operação e o processamento dos dados. Dentre as funções do DPO estão, por exemplo, orientar os funcionários da empresa sobre a política de segurança da informação e atuar como canal de comunicação entre a empresa, os donos dos dados e também a autoridade nacional. A lei, no entanto, diz que a ANPD pode editar normas que dispensem a função de DPO dependendo do tamanho da empresa ou volume de processamento de dados.
3. Colete apenas informações essenciais para o seu negócio
A lei reforça muito a questão dos dados essenciais, ou da minimização da coleta. Isto quer dizer que a sua empresa deve coletar apenas informações que tenham real importância para o seu negócio. Por exemplo, a LGPD considera inaceitável se, ao preencher o cadastro de uma loja de tênis, você seja obrigado a informar a sua origem étnica. Outro exemplo: algumas religiões não permitem tranfusão de sangue. Sob a lei, o hospital ou clínica deve perguntar apenas se o paciente aceita fazer transfusão sanguínea; e não qual é a religião dele.
4. Seja claro em relação ao tempo de uso dos dados
Um conceito importante que deve ser levado em consideração quando o assunto é LGPD é o de término de tratamento dos dados. Segundo a lei, as empresas precisam definir um tempo de vida útil dos dados. Ou seja, o término do tratamento de dados pessoais deve acontecer, basicamente, quando o objetivo estipulado pela empresa foi alcançado. Passado esse período, sempre que possível, a informação deve ser anonimizada. Ou seja, ela deve ser desvinculada do dono, de modo que nunca possa se descobrir quem era o proprietário de tais informações.
5. Adeque o seu site e qualquer outro ponto de coleta de dado
A LGPD obriga que a sua empresa seja transparente. Na prática, você precisa deixar claro para o usuário quais são as suas intenções ao coletar e usar determinados dados. Além disso, ele precisa concordar com isso. Vamos a mais um exemplo. Se você utiliza diferentes cookies no seu site para coletar qualquer tipo de informação do usuário, isto precisa ficar bem claro e evidente, e ter o consentimento dele. Só utilizar aquela típica frase “Ao usar este site você aceita cookies” já não é mais suficiente. Sob a LGPD, você precisa deixar claro as tecnologias que usa, como o Google Analytics, o seu objetivo, o tempo de utilização dos dados e ainda campos para que o usuário possa editar as suas próprias configurações e acessar a política de privacidade da empresa.
6. Crie um canal de comunicação com os clientes e usuários
Segundo a lei, os clientes e usuários têm direito a saber como as suas informações têm sido utilizadas e até a exigir uma cópia delas. Além disso, eles podem exigir que dados sejam apagados, editados e até anonimizados, ou seja, desvinculados. A empresa é responsável por cumprir essas solicitações a qualquer momento, desde, é claro, que não haja conflito com outras leis e determinações. Uma forma simples da sua empresa cumprir com esse ponto seria disponibilizar os contatos do DPO.
7. No caso de vazamento de dados, informe a autoridade e os titulares
Em casos de incidentes de segurança, a lei afirma que a empresa deve informar a autoridade nacional e os titulares dos dados. A notificação deve incluir diferentes informações, tais quais os tipos de dados afetados, os riscos e as medidas que estão sendo tomadas para mitigar os efeitos do vazamento.
8. Adote soluções de proteção e prevenção de ataques e vazamentos
A lei é muito clara em relação à segurança da informação. Ela exige que as empresas utilizem medidas técnicas e administrativas para proteger os dados alheios. Por isso, é importante que a sua empresa se previna de ataques e ameaças. Um bom começo seria adotar uma solução de proteção de e-mail. O e-mail é hoje a principal porta de entrada de ameaças. É preciso levar em conta também a proteção de redes e computadores, e o acesso à informação.
9. Crie um Relatório de Impacto à Proteção de Dados Pessoais
Existe um trecho na lei que fala de um documento chamado de Relatório de Impacto à Proteção de Dados Pessoais, que pode ser solicitado pela autoridade nacional. Para se precaver e estar em conformidade com a LGPD, a sua empresa vai precisar de um documento deste. Basicamente, ele é um conjunto dos 8 pontos anteriores que a gente falou aqui neste post. É um documento descritivo que aborda o fluxo e o processamento das informações, incluindo medidas de segurança, de prevenção a incidentes e mecanismos de mitigação de riscos. Podemos descrevê-lo como um manual de segurança da informação da sua empresa.
Conclusão
Não, não é fácil se adequar às determinações da LGPD. É preciso investir tempo e energia para entender e mapear o ciclo da informação dentro da sua empresa. As nossas dicas neste post são um norte interessante. Assim, você tem uma ideia melhor do que precisa ser feito e como deve ser feito. Para terminar, como se trata de uma lei complexa, avalie a possibilidade de contar com ajuda especializada. É sempre melhor se prevenir.