LGPD em 10 passos
A Lei Geral de Proteção de Dados (LGPD) começa a vigorar em agosto de 2020, devido à pandemia alguns de seus artigos – multas e sanções – tiveram uma prorrogação. O que acaba por dar um tempo maior para que as empresas enquadrem suas atividades no formato necessário para atender as demandas da LGPD. TODAS as empresas serão impactadas pela nova lei e precisarão se adaptar, reorganizar, reinventar e absorver nas suas rotinas a nova lei.
LGPD – O que é? Por quê? Pra que?
A nova lei chega com o objetivo de garantir o direito à proteção de dados e privacidade dos usuários (pessoas físicas) – chamados por ela de titular dos dados. Para tanto, as empresas públicas e privadas devem se organizar para estabelecer e oferecer práticas transparentes, em qualquer atividade, independentemente do tamanho e faturamento da empresa/negócio, quando dados pessoais (nome, gênero, biometria, imagem, preferências, …) sejam coletados e utilizados de forma física ou digital dos titulares dos dados.
10 PASSOS BÁSICOS PARA IMPLANTAÇÃO
1. CONHEÇA A LEI
A Lei está disponível no site do Planalto sob o número 13.709, leia e analise cada tópico de adequação. Caso tenha dúvidas, procure um especialista na área e tenha a certeza de que você entendeu tudo o que o documento determina. Lembre que é fundamental que você que vai gerir essa implantação e que administra um negócio tenha conhecimento dessa lei que vai impactar de forma permanente sua atividade.
2. CRIE UMA EQUIPE INTERNA DE TRABALHO – LGPD
Reúna os profissionais diretamente envolvidos com dados (Jurídico, TI, Marketing, RH, Vendas, Financeiro etc.) oriente que leiam a lei. Se a empresa for pequena, reúna as pessoas chaves para o trabalho com a LGPD. Caso na empresa exista a figura do Comitê de Compliance, é bom que este grupo faça parte. Defina pontos focais, de cada área, que quem será responsável pelo assunto. A atuação desta equipe LGPD será principalmente possibilitar que todos os processos da empresa sejam adaptados para a nova lei e que os novos projetos já estejam pensados de acordo com a LGPD.
3. TREINAMENTO PARA A EQUIPE
É imprescindível que todas as pessoas que trabalham na empresa saibam da existência da LGPD e do trabalho de implantação que está iniciando. Manter treinamentos constantes para introjectar as novas necessidades e que todos passem a pensar por esse novo modelo de negócio. Durante o processo, é importante que todos conheçam integralmente as novas regras estabelecidas na LGPD – especialmente quem lida diretamente com dados pessoais, internos ou externos. Esse alinhamento vai garantir uma adesão de todos, evitar ruídos e possíveis desvios se deem.
4. MAPEAMENTO DE TODOS OS DADOS DISPONÍVEIS NA EMPRESA – ANALISE DOS RISCOS DE VAZAMENTO OU DE TRATAMENTO INADEQUADO
Depois de conhecer a fundo a LGPD e criar a equipe de implantação, é o momento de reunir todas as fontes de dados da empresa. Identifique por área quais são os dados de clientes, parceiros, colaboradores e fornecedores. Avalie o ciclo de vida de cada um deles, as possíveis falhas no processo de tratamento e os riscos de vazamento. Em equipe, trace estratégias a fim de que as informações sejam acessadas apenas por pessoas autorizadas e para as finalidades permitidas na LGPD.
Nessa etapa é indicado que avalie a possibilidade de ter um Data Protection Officer (DPO), o profissional com conhecimento técnico (jurídico e regulatório) que poderá conduzir todas as definições. Ele será o intermediador entre os titulares dos dados, a fiscalização e as empresas. Pode ser um profissional interno ou externo, mas é interessante que ele acompanhe desde o início todo o planejamento de implantação para já ir adequando as necessidade, gerando o mínimo de retrabalho.
5. ANALISE DE DOCUMENTOS
Quando do mapeamento dos processos, muitos documentos, termos, formulários, sistemas, contratos serão identificados, independente de físicos ou digitais. Todos devem ser revisados, além dos documentos oficiais que estabelecem normas e diretrizes da empresa (sempre pelo departamento Jurídico ou por uma consultoria especializada), com vias a garantir que todos estejam em conformidade com a nova lei.
6. BASES LEGAIS PARA OS DADOS PESSOAIS TRATÁVEIS
As fontes de dados da empresa precisam ser validadas. Em outras palavras, esse é o momento de justificar para o governo o motivo de o seu negócio ter aqueles dados e com qual finalidade eles serão utilizados. Antes de entender essa tarefa como concluída, confira quais são os procedimentos corretos de validação para cada caso. Neste momento da data mapping será uma ferramenta fundamental.
7. TRANSPARÊNCIA DO NEGÓCIO
Na LGPD, não basta fazer, tem que comunicar tanto internamento como externamente. Assim, as práticas adotadas pela sua empresa para garantir que os processos estejam de acordo com a LGPD devem ser de conhecimento de todos que fazem parte da empresa, de fácil acesso. A palavra de ordem aqui é transparência: crie um material descritivo dos processos o qual deverá ser seguido por todo o time após a implantação da LGPD. Uma boa prática é a criação de um documento de perguntas frequentes, facilita e estimula o engajamento para disseminar o conhecimento por parte de toda a empresa e o esclarecimento de eventuais dúvidas.
Lembre-se que o cliente externo, deve ser informado tanto quando informa seus dados, como quando ocorre alguma alteração ou modificação que impacte nos seus dados já fornecidos ou em nova contratação. Essa comunicação deve ser clara, de fácil entendimento e aceitação ou não.
8. PEDIDOS DE TITULARES E DE ÓRGÃOS REGULADORES
Estabelecer de forma padronizada qual será o procedimento para as solicitações dos titulares de dados ou quando houver a solicitação/fiscalização dos órgãos reguladores. É necessário deixar registrado o passo-a-passo desse processo, que poderá ser consultado a qualquer hora pelos profissionais envolvidos.
9. PLANO DE SEGURANÇA DA INFORMAÇÃO
Um dos projetos essenciais quando se trata de LGPD é um plano de emergência caso ocorra um vazamento de dados, como a empresa vai agir, quais os gatilhos que precisam ser ativados para neutralizar o problema. A sugestão é que haja um Plano de Segurança da Informação, voltado para a proteção de dados pessoais. Isso pode ser mais uma tarefa para o grupo de trabalho criado para as questões da LGPD.
10. O FUTURO
A LGPD veio para ficar, não é uma decisão apenas do governo brasileiro, outros países já estão bem adiantados em relação a estas exigências cada vez mais necessárias no momento tecnológico e informacional no qual vivemos. Por esse motivo, alerto que novos produtos ou serviços, novos contratos com prestadores, fornecedores, enfim todas as ações da empresa precisam ser pensadas já com as exigências da LGPD. Essa prática, deve passar a integrar a cultura organizacional da empresa todo o time precisa passar a pensar e considerar as novas regras no desenvolvimento, planejamento e implantação de qualquer ação na organização.
