LGPD: como implementar o compliance na sua empresa

Você conhece sobre a LGPD e como ela pode impactar na sua empresa? Neste artigo, vou te mostrar um pouco mais sobre essa lei e o que implementar para sua empresa estar em total compliance com suas exigências!

Atualmente, é indiscutível a importância da utilização de dados para nortear as empresas. Desde estratégias de vendas até questões de segurança interna, decisões são cada vez mais tomadas pela perspectiva data-driven, com base em dados.

A transformação digital que estamos vivendo facilita cada vez mais o alcance e coleta de dados. No entanto, isso levanta sérias questões sobre a segurança de nossos dados pessoais. Afinal, ninguém se sente confortável quando informações pessoais nossas são divulgadas para outras pessoas sem consentimento.

É nesse contexto que surge a Lei Geral de Proteção de Dados, ou LGPD.

Neste artigo, vou te falar sobre o que é a LGPD, como ela impacta na gestão das empresas e alguns passos essenciais para que sua empresa esteja em conformidade com a lei antes que ela entre em vigência.

O que é a LGPD

LGPD é a sigla adotada para Lei Geral de Proteção de Dados, de Nº 13.709.

Essa lei busca proteger dados de pessoas físicas e jurídicas, estabelecendo normas e regras quanto à coleta, tratamento, armazenamento e compartilhamento de dados pessoais.

Os principais objetivos dela incluem:

• Proteção à privacidade;
• Assegurar a transparência;
• Fomento do desenvolvimento;
• Padronização de normas;
• Segurança jurídica;
• Favorecimento à concorrência entre mercados.

Ela foi sancionada em 14 de agosto de 2018 e entrará em vigência a partir de agosto de 2020.

A LGPD surgiu como uma lei equivalente à GDPR (General Data Protection Regulation), que é vigente pela maior parte da Europa.

A GDPR foi criada após o vazamento em massa de dados pelo Facebook, onde foi vista a necessidade de controle e punições mais rigorosas para a falta de compliance.

Com isso, a LGPD surge em um contexto de garantir os direitos fundamentais da liberdade e da privacidade, assegurando a segurança de seus dados pessoais tanto digitalmente quanto pessoalmente.

Como a LGPD impacta em uma empresa 

A partir do período de vigência da LGPD, toda e qualquer empresa que lide direta ou indiretamente com dados de pessoas externas à organização precisará ter um controle e uma gestão desses dados que estejam em total conformidade com a lei.

Essas pessoas externas incluem visitantes, prestadores de serviços, leads, clientes, fornecedores e todo stakeholder que uma empresa pode ter.

Toda empresa lida com dados de algum desses stakeholders. Com isso, é possível dizer que as exigências da LGPD abrangem toda e qualquer empresa.

Torna-se então essencial que as organizações busquem adequar suas práticas e sua gestão de dados para que estejam em compliance com as exigências do governo após a vigência.

Não é apenas uma questão de ética: a multa para o vazamento de dados pessoais pode chegar até a R$ 50 milhões.

Como implementar a LGPD

Para garantir a conformidade com a LGPD, uma empresa deve reestruturar e readequar todos os seus processos internos que envolvam dados de terceiros de alguma maneira.

Sendo assim, existem 6 passos que são essenciais para garantir essa reestruturação na gestão interna:

1. Identifique os agentes envolvidos

Para implementar processos e ferramentas que garantem o compliance de uma empresa com a LGPD, primeiro é necessário observar todos os agentes envolvidos na lei.

Esses agentes incluem:

• O titular: é o stakeholder que fornece seus dados.
• O controlador: é a empresa que coleta os dados do titular. É responsabilidade do controlador decidir como esses dados serão tratados e geridos.
• O operador: é a empresa ou pessoa diretamente responsável pela gestão e tratamento dos dados. Ele realiza esses processos de acordo com o que é estabelecido pelo controlador.
• O encarregado: é a pessoa responsável por implementar os processos e ferramentas que garantem o compliance com a LGPD, e atua como comunicador entre os agentes envolvidos.

A empresa deve antes de tudo observar em quais momentos ela atua como controlador de dados e quais ferramentas que utiliza ou empresas que contrata que atuam como operador desses dados.

É essencial também identificar todos os tipos de titulares que a empresa tem contato. Isso vai desde visitantes que fazem um check-in na sua empresa, até os leads que são gerados pelas suas estratégias de marketing.

Esse processo de identificação não é tão simples quanto parece, e é importante que uma empresa possua suporte legal para essa etapa, principalmente se lida com dados de múltiplas fontes.

2. Identifique os dados essenciais

O próximo passo é identificar quais são todos os dados essenciais que sua empresa precisa coletar de seus titulares.

A coleta de dados é essencial para muitas empresas, tanto pensando em estratégias de crescimento e vendas que são data-driven, como também para a segurança do escritório, envolvendo visitantes e fornecedores.

No entanto, a empresa não deve coletar mais dados além do crucial para a execução de suas estratégias e garantir a sua segurança.

Liste todos os dados necessários e tenha eles mapeados com segurança, identificando quais etapas dos seus processos internos precisam ser alteradas em busca do compliance.

3. Garanta o consentimento na coleta de dados

Um dos pilares da LGPD é o consentimento do titular para a coleta e tratamento dos seus dados.

Em todo momento de coleta de dados, é obrigatório que exista alguma cláusula, termo ou ferramenta que garanta o consentimento no momento da coleta de dados.

Isso é representado pelo infame “Li e Aceito os Termos de Uso”, que pode ser um detalhe ignorado por muitos, mas que garante o consentimento dos dados fornecidos.

É importante também que uma empresa busque o compliance de suas próprias informações e dados quanto a terceiros como visitantes e fornecedores.

Um passo fundamental para aumentar a segurança dos seus dados é a implementação de um NDA (Non-Disclosure Agreement), ou Termo de Confidencialidade, que garante que seus dados estejam protegidos legalmente.

4. Garanta a conformidade dos fornecedores

Se tratando da LGPD, não é apenas você e os seus processos que devem estar em conformidade com a gestão de dados.

Alguns dos seus fornecedores vão atuar como operadores dos dados de alguns dos seus titulares. Sistemas de Controle de Visitantes, por exemplo, atuam como operadores dos dados de visitantes das empresas.

Com isso, você só deve trabalhar com fornecedores que também estejam em conformidade com a LGPD. Se não, você pode ser legalmente responsável por falhas e vazamentos causados por seus fornecedores.

5. Defina um responsável na empresa

Se a sua empresa lida com muitos dados de naturezas diferentes, principalmente dados coletados virtualmente, é importante que exista uma pessoa fixa na função de encarregado.

É nesse contexto que surge a necessidade de um Data Protection Officer (DPO), que se torna responsável pela gestão e controle desses dados. O DPO é uma função em crescimento dentro de departamentos de TI e empresas de tecnologia e extremamente recomendada para garantir uma boa gestão de dados e adequação perante à LGPD.

Em empresas menores e com menos envolvimento de dados, pode não ser necessária a criação de um cargo, mas é muito importante que exista um responsável na empresa pela função de encarregado.

6. Tenha apoio legal

Feito todos os outros passos, você vai estar muito encaminhado para estar em conformidade com a LGPD.

No entanto, ainda é muito importante que você tenha apoio legal. Afinal, apenas um especialista pode observar cada detalhe do seu negócio e identificar possíveis falhas na gestão de dados em seus processos ou alterações em seus contratos e documentos.

Portanto, após realizar as mudanças, procure alguma consultoria jurídica para garantir o compliance por toda a empresa.

O que você já está fazendo para garantir a conformidade com a LGPD?

Se precisar de apoio para o compliance com os dados dos seus visitantes, não deixe de falar conosco.