Como posso implementar a LGPD em minha empresa ? Um guia detalhado para a conformidadade

Implementar LGPD em empresa. A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, representa um marco legal fundamental para a proteção da privacidade e dos dados pessoais no Brasil.

Inspirada em regulamentações internacionais como o GDPR (Regulamento Geral de Proteção de Dados) da União Europeia, a LGPD estabelece um conjunto de regras claras sobre como as empresas e outras organizações devem coletar, armazenar, usar e compartilhar dados pessoais.

Para as empresas, a conformidade com a LGPD não é apenas uma obrigação legal, mas também uma questão de ética, reputação e competitividade no mercado.

A não conformidade pode resultar em sanções significativas, incluindo multas elevadas.

Implementar a LGPD em sua empresa pode parecer uma tarefa complexa à primeira vista, mas ao abordar o processo de forma estruturada e metódica, é possível alcançar a conformidade de maneira eficaz.

Este guia detalhado explora cada etapa essencial para garantir que sua organização esteja alinhada com os requisitos da lei.

1. Imersão na LGPD e avaliação de aplicabilidade

O ponto de partida para qualquer iniciativa de conformidade é o entendimento profundo da legislação.

Dedique tempo para estudar a íntegra da Lei nº 13.709/2018, seus princípios fundamentais, a definição de dados pessoais (qualquer informação que identifique ou torne identificável uma pessoa natural), as categorias especiais de dados (dados sensíveis, como origem racial ou étnica, convicção religiosa, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural), e os direitos dos titulares dos dados.

É crucial também avaliar a aplicabilidade da LGPD ao seu negócio.

A lei se aplica a qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou jurídica, de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde os dados sejam coletados, desde que:

• O tratamento seja realizado no território nacional;
• A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
• Os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

Compreender esses critérios ajudará a determinar se sua empresa está sujeita às obrigações da LGPD.

2. Mapeamento detalhado do fluxo de dados pessoais

Este é um dos passos mais críticos e demandará um esforço significativo.

O objetivo é identificar todos os pontos de contato em que dados pessoais são coletados, processados, armazenados e descartados dentro da sua organização.

Isso envolve:

• Identificação das fontes de coleta: Formulários de contato em websites, sistemas de CRM, processos de recrutamento e seleção, sistemas de folha de pagamento, câmeras de segurança, cookies de navegação, entre outros.
• Rastreamento do ciclo de vida dos dados: Desde o momento da coleta, passando pelo armazenamento em bancos de dados, sistemas em nuvem, arquivos físicos, até o descarte seguro.
• Identificação dos responsáveis pelo tratamento: Quais departamentos ou indivíduos dentro da empresa são responsáveis por cada etapa do ciclo de vida dos dados.
• Identificação de terceiros envolvidos: Compartilhamento de dados com fornecedores, parceiros, processadores de pagamento, serviços de marketing, etc.

Documente detalhadamente cada fluxo de dados, incluindo o tipo de dado pessoal tratado, a finalidade do tratamento, o volume de dados envolvido e os sistemas utilizados.

Ferramentas de mapeamento de dados podem ser úteis nesse processo.

3. Análise das bases legais e adequação dos processos de tratamento

A LGPD estabelece um rol de dez bases legais que legitimam o tratamento de dados pessoais.

Para cada atividade de tratamento identificada no mapeamento, é imprescindível determinar a base legal correspondente.

As principais bases legais incluem:

• Consentimento: Manifestação livre, informada e inequívoca do titular concordando com o tratamento de seus dados para uma finalidade específica.
• Execução de contrato ou de procedimentos preliminares relacionados a contrato: Quando o tratamento é necessário para cumprir um contrato com o titular ou para tomar medidas antes da celebração do contrato.
• Cumprimento de obrigação legal ou regulatória pelo controlador: Quando o tratamento é exigido por lei ou regulamento.
• Proteção da vida ou da incolumidade física do titular ou de terceiro: Em situações de emergência ou risco à vida.
• Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária: Para fins de cuidados de saúde.
• Interesses legítimos do controlador ou de terceiro: Quando o tratamento é necessário para atender a interesses legítimos, desde que não prevaleçam os direitos e liberdades fundamentais do titular.
• Exercício regular de direitos em processo judicial, administrativo ou arbitral: Para a defesa de direitos em processos legais.
• Proteção do crédito: Para análise de risco de crédito.
• Obrigação legal ou regulatória do controlador, na transferência internacional de dados: Em casos específicos de transferência internacional.
• Pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais: Para fins de pesquisa científica.

Analise criticamente cada processo de tratamento e verifique se a base legal utilizada é adequada à finalidade.

Caso contrário, será necessário adaptar os processos, o que pode envolver a obtenção de consentimento explícito, a revisão de contratos ou a alteração da finalidade do tratamento.

Implementar LGPD em empresa

4. Implementação de medidas de segurança robustas

A LGPD exige que as empresas adotem medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Razão pela qual, isso inclui:

• Medidas Técnicas:
  • Criptografia de dados em repouso e em trânsito.
  • Firewalls e sistemas de detecção de intrusão.
  • Controles de acesso baseados em função e privilégio mínimo.
  • Autenticação de dois fatores.
  • Backups regulares e planos de recuperação de desastres.
  • Software antivírus e antimalware atualizados.
  • Anonimização e pseudonimização de dados sempre que possível.
• Medidas Administrativas:
  • Políticas de segurança da informação claras e bem definidas.
  • Procedimentos para tratamento de incidentes de segurança.
  • Auditorias de segurança regulares.
  • Gestão de acesso e controle de usuários.
  • Políticas de descarte seguro de dados.
  • Finalmente, avaliações de impacto à proteção de dados (DPIA) para atividades de tratamento de alto risco.

A escolha das medidas de segurança deve ser proporcional aos riscos identificados no mapeamento de dados e à natureza dos dados tratados.

5. Elaboração de políticas de privacidade e termos de uso transparentes e acessíveis

Com toda a certeza, a transparência é um princípio fundamental da LGPD.

As empresas devem fornecer informações claras e acessíveis sobre o tratamento de dados pessoais aos titulares. Isso se materializa na criação de:

• Política de Privacidade: Um documento detalhado que informa os titulares sobre:
  • Quais dados pessoais são coletados.
  • As finalidades específicas do tratamento para cada tipo de dado.
  • A base legal para cada finalidade.
  • O período de retenção dos dados.
  • Com quem os dados são compartilhados (identificando os terceiros, se aplicável).
  • Os direitos dos titulares (acesso, retificação, exclusão, portabilidade, etc.) e como exercê-los.
  • As medidas de segurança adotadas.
  • Os dados de contato do Encarregado de Proteção de Dados (DPO), se aplicável.
• Termos de Uso: Para serviços online, os termos de uso devem complementar a política de privacidade, detalhando as regras de utilização da plataforma e como os dados são tratados no contexto do serviço oferecido.

Ambos os documentos devem ser redigidos em linguagem clara, objetiva e de fácil compreensão, evitando termos técnicos excessivos.

Devem ser facilmente acessíveis aos titulares, por exemplo, por meio de links visíveis em websites e aplicativos.

Implementar LGPD em empresa

6. Treinamento e conscientização contínua da equipe

Em suma, a conformidade com a LGPD depende do engajamento de todos os colaboradores da empresa.

É essencial investir em programas de treinamento e conscientização que abordem:

• Os princípios da LGPD e sua importância.
• As políticas e procedimentos internos de proteção de dados.
• A identificação de dados pessoais e dados sensíveis.
• Os riscos de segurança e as melhores práticas para evitá-los.
• Os procedimentos para lidar com solicitações dos titulares.
• A importância da confidencialidade e do sigilo.
• Como identificar e reportar incidentes de segurança.

Os treinamentos devem ser regulares e adaptados às diferentes funções e responsabilidades dentro da organização.

Do mesmo modo, campanhas de comunicação interna também podem reforçar a cultura de proteção de dados.

Implementar LGPD em empresa

7. Nomeação do encarregado de proteção de dados (DPO)

A LGPD estabelece a obrigatoriedade de nomear um Encarregado de Proteção de Dados (DPO) para algumas organizações, como órgãos públicos, empresas que realizam tratamento de alto risco ou em grande escala.

Em outras palavras , mesmo que sua empresa não se enquadre nessas categorias, designar um DPO pode ser uma boa prática para supervisionar a conformidade e atuar como ponto de contato com os titulares e a ANPD.

As responsabilidades do DPO incluem:

• Informar e aconselhar o controlador e os operadores a respeito das obrigações da LGPD.
• Monitorar a conformidade com a LGPD e com as políticas de proteção de dados da organização.
• Prestar esclarecimentos e receber comunicações dos titulares.
• Atuar como ponto de contato entre o controlador, os titulares e a ANPD.
• Por fim, executar outras atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Assim sendo, o DPO deve possuir conhecimento técnico e jurídico em proteção de dados e autonomia para desempenhar suas funções.

8. Implementação de um processo eficaz para atendimento aos titulares

Sua empresa deve estar, sobretudo, preparada para receber e responder às solicitações dos titulares de dados dentro dos prazos estabelecidos pela LGPD.

Isso requer a criação de um processo claro que inclua:

• Canais de comunicação dedicados para receber as solicitações (e-mail, formulário online, etc.).
• Procedimentos internos para verificar a identidade do solicitante.
• Fluxos de trabalho definidos para cada tipo de solicitação (acesso, retificação, exclusão, portabilidade, etc.).
• Prazos para resposta a cada tipo de solicitação.
• Registro e rastreamento das solicitações recebidas e das respostas fornecidas.

É importante, sobretudo, garantir que os titulares sejam informados sobre seus direitos e sobre como podem exercê-los de forma simples e acessível.

Implementar LGPD em empresa

9. Monitoramento contínuo e adaptação

A conformidade com a LGPD não é um estado estático, mas um processo dinâmico que exige monitoramento contínuo e adaptação às mudanças na legislação, nas orientações da ANPD e nas práticas de mercado.

Realize auditorias regulares para verificar a eficácia das medidas implementadas, revise suas políticas e procedimentos conforme necessário e mantenha-se atualizado sobre as novidades relacionadas à proteção de dados.

10. Busca por apoio especializado

Em muitos casos, especialmente para empresas que não possuem expertise interna em proteção de dados, buscar o apoio de consultores jurídicos e técnicos especializados em LGPD é fundamental.

Decerto, esses profissionais podem oferecer orientação especializada em todas as etapas do processo de implementação, desde a análise inicial até a implementação de medidas de segurança e a elaboração de políticas.

Logo, o investimento em apoio especializado pode garantir que sua empresa esteja em conformidade com a lei de forma eficaz e mitigar riscos futuros.

Conclusão

A jornada para a conformidade com a LGPD é um investimento estratégico que fortalece a relação de confiança com seus clientes, protege a reputação da sua empresa e evita sanções legais.

Ao seguir este guia detalhado e manter um compromisso contínuo com a proteção de dados, sua organização estará bem posicionada para prosperar na era da privacidade.

Até o próximo artigo !

Sugestão de leitura : Importância da gestão de fornecedores- Infoagil Consultoria –