A Lei Geral de Proteção de Dados Pessoais (LGPD) está em vigor no país desde 2020. A legislação exige de empresas o cumprimento de diversos critérios referentes à segurança, transparência, confidencialidade, privacidade e proteção de informações pessoais.
O regramento define limites sobre a coleta, o armazenamento e o tratamento de dados, e determina quais são os direitos dos titulares. Nesse contexto, as corporações precisam, então, se adequar às normas. Por isso, confira nosso guia de boas práticas de LGPD para saber como agir em conformidade com a lei!
Lei Geral de Proteção de Dados Pessoais
A LGPD foi sancionada em 2018, pelo então presidente Michel Temer. A legislação estabelece os parâmetros para a realização de tratamento de dados pessoais no país. A maior prerrogativa da lei é a necessidade de consentimento do usuário em fornecer suas informações e permitir sua administração.
O titular dos dados precisa, então, saber de forma transparente o que será feito com as informações, por quanto tempo elas serão armazenadas, qual o respaldo de segurança, além dos contatos para possíveis solicitações.
Outro ponto importante da normatização é a definição de papéis para cada ator do processo de tratamento de dados. A LGPD traz a conceituação de quem são os agentes de tratamento, o titular, o controlador, o operador e o encarregado.
Além disso, a legislação determina o que deve ser feito em caso de vazamento de dados, os princípios que devem reger o processamento de informações pessoais e as bases nas quais ele é justificado e pode ocorrer.
Por que atuar em conformidade?
A LGPD se aplica a qualquer empresa que realize tratamento de dados pessoais. Isso significa que todas essas corporações precisam desempenhar essas atividades segundo os parâmetros descritos na legislação, para não sofrer com as sanções previstas.
Além da obrigação legal, as empresas precisam se adequar à LGPD para conseguir atender às possíveis solicitações de titulares a respeito de seus dados, também respaldadas pela normatização.
Outro aspecto relevante é em relação à confiança dos consumidores, que pode ficar abalada caso haja exposições de vazamentos ou roubos de dados. Isso se estende até o relacionamento com outras empresas, que podem buscar se associar apenas com corporações que atendem aos critérios da legislação.
- Leia também: O que é ransomware?
Realizar o tratamento de dados com responsabilidade, transparência e atendendo a requisitos de segurança e às bases e princípios da LGPD deve ser uma prioridade para as corporações. Isso pode determinar a forma como a empresa será vista e reconhecida por parceiros e clientes.
Sanções da LGPD
A LGPD determina uma série de sanções administrativas em caso de descumprimento do regramento. A primeira delas é a advertência, que traz a indicação do prazo para readequação da operação.
A multa é outra possibilidade e pode ser de dois tipos, simples ou diária. O limite estabelecido pela legislação é de 2% do faturamento da empresa, chegando a no máximo 50 milhões de reais.
Os dados a que a infração se refere podem ser bloqueados ou eliminados e, após a apuração e confirmação da violação, ela pode ser publicizada. Também estão previstas suspensões e proibições parciais ou totais no funcionamento de bancos de dados e atividades de tratamento.
Dicas de adequação à legislação
Como visto anteriormente, a adaptação aos parâmetros estabelecidos pela LGPD é uma necessidade e deve ser realizada por todas as empresas, independente do porte. Por isso, elencamos a seguir boas práticas para guiar o processo de adequação. Confira:
Entenda as bases e princípios da lei
As bases legais para o tratamento de dados pessoais estão descritas na LGPD e regem as situações nas quais as atividades podem ou devem ser desempenhadas. Entre elas, destacam-se o consentimento, o interesse legítimo, a execução de contratos e o cumprimento de obrigação legal.
Além disso, a legislação conta com uma série de princípios que devem ser seguidos ao tratar informações pessoais. Além da boa-fé, podem ser citados fundamentos como a finalidade, a adequação, o livre acesso, a transparência, a segurança e a não discriminação.
Escolha um DPO
Designar um profissional da empresa ou terceirizado para gerenciar a privacidade e segurança de dados é muito importante para as adaptações à LGPD. O Data Protection Officer (DPO) é responsável por disseminar a cultura de proteção de informações no negócio, além de criar normas e procedimentos adequados à lei.
Essa figura cumpre o papel de encarregado descrito na legislação, recebendo as notificações da Agência Nacional de Proteção de Dados (ANPD) e também dos titulares das informações, realizando a mediação para colocar as solicitações em prática.
Devido a essas atividades, o DPO tem papel fundamental nas decisões estratégicas das organizações, e precisa ter grande conhecimento sobre a LGPD e o tratamento de dados.
Esse profissional deve ter autonomia sobre as atividades que envolvam qualquer tipo de gerenciamento de informações pessoais, além de contato direto com a direção da empresa para poder tomar decisões que possam deixá-la em compliance com a lei.
Avalie os gaps
Uma avaliação do que falta desenvolver ou aprimorar o processo de tratamento de dados das empresas é uma ótima prática para entender se as atividades estão de acordo com o que está previsto na LGPD.
Para isso, é possível desenvolver um diagnóstico do estado atual de privacidade. Esse relatório servirá para entender como essa questão vem sendo tratada e quais as ações necessárias para que o gerenciamento de risco esteja baseado no regulamento.
Para compor essa avaliação, deve-se criar um inventário dos dados pessoais processados e armazenados, sejam de clientes, funcionários ou outros indivíduos; analisar as informações sobre a finalidade da coleta e do tratamento de informações e identificar os responsáveis pelos processos.
Controle os acessos
As regras relacionadas ao registro de atividades de processamento de dados pessoais são um ponto de atenção importante da LGPD. A lei dispõe sobre a necessidade de controladores e operadores manterem o registro das operações realizadas, especialmente quando baseadas em legítimo interesse.
Para isso, é preciso saber onde estão localizadas as informações que precisam ser protegidas e compreender quem terá acesso aos dados, quem são os titulares, se foram violados, se podem ser excluídos ou ter seu conteúdo alterado.
A recomendação é que os arquivos de logs tenham acesso restrito e sejam protegidos com cópias de segurança de backup.
A classificação dos arquivos de dados pessoais e seu tempo de retenção deverão ser gerenciados pela área de TI. Assim, as empresas podem definir amplamente tendências nas atividades de acesso da empresa, incluindo a presença de dados obsoletos sensíveis que estão gerando riscos desnecessários ao negócio.
Estabeleça uma política de governança de privacidade
Os critérios de responsabilidade e transparência levam à ampliação da documentação interna e ao registro dos riscos. Lembre-se de que o objetivo do processamento de dados, da qualidade e relevância das informações deve ser definido ao se iniciar uma nova atividade de tratamento.
Também é uma atitude estratégica contar com dispositivos que ajudem a manter a conformidade nas atividades de processamento de dados pessoais. É necessário contar com soluções de armazenamento seguras, certificadas e que operem de acordo com a legislação.
Outra tecnologia importante é a implementação de criptografia de dados para a comunicação e armazenamento de informações, tanto em ambientes locais como em nuvem. Com esse recurso, os arquivos ganham códigos de segurança que só podem ser decifrados pelo detentor da chave.
Assim, a empresa assegura que as informações permaneçam invioláveis ao longo do seu ciclo de utilização.
Crie respostas para possíveis violações
Caso haja um vazamento de dados ou algum outro problema do tipo no tratamento, a empresa deve comunicar a ANPD. Para isso, é preciso garantir que haja uma resposta à violação de dados específica e entender porque os dados estão disponíveis onde não deveriam estar ou não estão disponíveis onde deveriam.
Após os incidentes, é possível trabalhar na adaptação e aprender com os fluxos de trabalho no desenvolvimento da resposta.
A LGPD estabelece as regras que devem ser seguidas pelas empresas no tratamento de dados e se adequar a elas é fundamental para manter as operações seguras e dentro dos parâmetros legais.