A Lei Geral de Proteção dos Dados (Lei 13.709) entrou em vigor em 2020, mas, se você ainda não fez nada para ficar em dia com o regulamento, não se preocupe! Nunca é tarde para buscar a conformidade com a nova lei.
Até porque a conformidade com a LGPD é um trabalho contínuo, e não algo que você fará apenas uma vez e esquecerá. É preciso sempre revisar seus procedimentos com os dados para garantir que nenhum erro está escapando pelas frestas.
Mas como começar? Bom, a conformidade com a LGPD é uma questão extensa. Por isso, já publicamos aqui no blog um conteúdo inicial abordando as principais mudanças que a lei traz.
Agora, preparamos um passo a passo para te guiar pelo caminho na prática e te mostrar como implementar. Vamos lá?
1. Conheça os principais conceitos da LGPD
Ser compatível com a LGPD não significa apenas mudar seu website — deve fazer parte de várias rotinas da sua organização.
Todas as áreas da sua empresa processam dados em algum nível, sejam de clientes, fornecedores ou dos próprios funcionários. Portanto, é essencial que todos estejam cientes do que diz a Lei Geral de Proteção de Dados.
Para isso, o primeiro passo é entender e apresentar a eles os principais conceitos. Aqui estão alguns que o ajudarão na conformidade com a LGPD:
- Titular dos dados: pessoa física cujos dados pessoais são processados por um controlador ou operador;
- Controlador de dados: a entidade que determina os objetivos, condições e meios de tratamento dos dados pessoais;
- Dados pessoais: qualquer informação relacionada a uma pessoa física que pode ser usada para identificar direta ou indiretamente a pessoa;
- Operador de dados: a entidade que processa dados em nome do controlador (por exemplo, seus fornecedores de software na nuvem).
Em seguida, familiarize-se com os principais artigos da lei. Isso tornará sua transição para a LGPD mais fácil. Veja abaixo a quais artigos você deve estar atento:
- Art. 6: Princípios relativos ao tratamento de dados pessoais;
- Art. 7: Bases legais para o tratamento de dados pessoais;
- Art. 9 e 10: Direitos do titular dos dados (acesso, portabilidade dos dados, direito ao esquecimento, etc.);
- Art 11: Condições legais para o tratamento de dados.
2. Revise todos os pontos de tratamento de dados
Agora que você conhece o regulamento como a palma da sua mão, é preciso revisar os pontos de tratamento de dados. Para isso, você deve agir em várias áreas diferentes:
- Mapeamento de dados: uma etapa importante para a conformidade com a LGPD é entender como os dados pessoais se movem em sua organização. Documentar a maneira como as informações fluem em sua empresa, fazendo um inventário, ajuda a demonstrar que está em conformidade e a identificar potenciais áreas que podem causar problemas de conformidade;
- Política de privacidade: sua política de privacidade deve refletir as novas diretrizes trazidas pela Lei Geral de Proteção de Dados. Ela deve especificar a finalidade do tratamento de dados que sua empresa faz, por quanto tempo ela retém os dados pessoais e quais são os direitos dos titulares dos dados;
- Treinamento: todo mundo que trabalha com você precisa estar ciente da importância de estar em conformidade com a LGPD. Invista em treinamentos e instrua todos sobre os procedimentos-padrão que serão tomados a partir de agora.
3. Garanta a segurança dos dados pessoais
Os controladores de dados devem sempre cooperar com a Agência Nacional de Proteção dos Dados (ANPD) no cumprimento das suas tarefas. Eles também são responsáveis pelo que os operadores fazem com os dados pessoais em nome do controlador.
Por isso, é essencial garantir a proteção dos dados pessoais. Faça auditorias regulares (tanto internas quanto externas) para identificar possíveis pontos de vulnerabilidades nos seus processos e sistemas. Mantenha registro do consentimento para o tratamento dos dados e garanta que você tenha as principais proteções contra perdas e roubos de dados físicos e digitais.
Como a LGPD não tem regras definidas para a segurança da informação, você deverá buscar o que há de mais recente no mercado e cuidar do seu próprio sistema de segurança.
Isso inclui investir em um especialista em segurança da informação e proteção de dados que o ajude com sua arquitetura de segurança , de fornecedores seguros.
4. Tenha um sistema de notificação de violações de dados
Você deve certificar-se de que possui os procedimentos corretos em vigor para detectar, relatar e investigar tentativas e violações de dados não apenas internas, mas também externas.
Seja inteligente ao configurar sua matriz de violação de dados com base na gravidade, o número de titulares de dados afetados, tipo de dados pessoais afetados etc.
Normalmente, você deverá relatar violações de dados à ANPD dentro de 72 horas, a menos que os dados pessoais vazados sejam anônimos ou codificados (ou seja, não possam ser identificados pelos criminosos).
5. Faça ajustes necessários para coletar consentimento
Ajustar os formulários para informar claramente e para obter consentimento de titulares de dados é essencial sob a LGPD.
Os formulários são a forma padrão com que as empresas coletam informações, portanto, você precisa ajustar todos os formulários que usa para saber exatamente o que é coletado e para onde os dados pessoais são enviados.
Além disso, os cookies do seu site pode estar coletando dados pessoais que podem representar um problema. Informe seus visitantes em linguagem simples sobre a finalidade de seus cookies e rastreadores antes de definir qualquer coisa que não seja os cookies estritamente necessários.
Todas as empresas brasileiras precisam estar em conformidade com a nova lei. Cometer erros pode custar caro: a LGPD estabelece uma multa de até R$ 50 milhões para quem violar suas regras.
E você, já está preparado? Comente abaixo e nos conte como está sua conformidade com a LGPD hoje!
