LGPD – Visão geral sobre a adequação

Trouxemos um breve resumo, fazendo uma visão geral sobre a LGPD, que obriga as empresas efetuarem adequações dos seus processos e ambientes.

O que é a LGPD?

A Lei Geral de Proteção de Dados, trata de impor as empresas que discriminem de seus clientes, colaboradores e fornecedores quais dados irão coletar, como eles serão tratados (processados), como serão armazenados, quem terá acesso a eles dentro da companhia, por quanto tempo ficarão de posse e como serão descartados.

Todos os dados armazenados, deverão ter o aceite da pessoa/empresa que fornece e este poderá a qualquer momento os consultar. No término do contrato de prestação de serviço/trabalho etc. os dados deverão ser remetidos a quem os forneceu do modo que a empresa deverá apagar eles de seus registros, a não ser claro, por detrimento de alguma obrigação legal.

Neste momento, o apoio jurídico é necessário para a adequação de contratos existentes, revisão de termos de consentimento e questões jurídicas relacionadas a política de segurança de informação.

O quê muda tanto?

Todos os contratos existentes que contenham dados pessoais (exemplo: nome, idade etc.), pessoais sensíveis (exemplo: cor de pele, credo etc.) deverão ter aceite de quem fornece e este aceite deve ser salvo em lugar seguro. Na lei, há a tipificação de dados pessoais, dados pessoais sensíveis e dados anonimizados (dados pessoais que são substituídos por outros valores que não permitam o reconhecimento do titular).

As empresas deverão ter um relatório de impactos à proteção de dados pessoais (RIPD), que é um documento com valor legal, onde detalha todos os processos de tratamento de dados, riscos (de vazamento ou perca) e controles de segurança pelos quais os dados irão passar.

Os dados fornecidos, somente podem ser exibidos para as pessoas/cargos listados no aceite e dentro disso, deve-se guardar data/hora que alguém teve acesso a um dado (tanto físico quanto digital). As empresas deverão mapear o ciclo de vida do dado (inclusive avaliar se é necessário o mesmo e por quanto tempo).

Caso algum dado solicitado for repassado a um terceiro (contabilidade, empresa de marketing etc.), deve-se ter a autorização do seu titular, do mesmo modo quando o fornecedor resolver que sejam removidos, a sua empresa deve remover do terceiro o dados.

A lei tipifica os papeis nas empresas:

  • Controlador: entidade (pessoa ou empresa) responsável pelo tratamento dos dados (geralmente a empresa);
  • Operador: quem opera os dados (cargos da empresa);
  • Encarregado: entidade indicada pelo controlador para atuar como canal de comunicação entre a empresa e a ANPD (Autoridade Nacional de Proteção de Dados) (pode ser uma empresa terceira ou um funcionário, mas que seja exclusivo a esta incumbência).

É recomendado que para o papel de Encarregado seja um terceiro, para assessorar na análise atual do comprometimento da empresa com a LGPD , dado que comunicação com a ANPD.

Outra exigência da lei é que as empresas através dos seus programas de computador atuais ou, caso usem meios analógicos (livros, folhas etc.), devem ter o registro das operações de tratamento de dados e que este armazene quem foi o operador a data e a hora que operou como um meio de auditoria.

Alguns pontos de atenção:

  • Não é necessário pedir autorização para uso dos dados para obrigatoriedades legais (como emitir uma nota fiscal), exceto se o emissor da nota for emitir recorrente ou tiver atrelado a isso, boletos, cobranças ou outras ações.
  • Não podem haver aceites viciados (exemplo comum: se continuar usando nosso serviço, você aceita nossos termos), mas somente será válido a partir do vigor da lei.
  • É necessário solicitar o aceite de todos os contratos já existentes, para diminuir o tamanho do esforço futuro ou mesmo uma desconformidade.
  • É aconselhável um treinamento com os funcionários sobre privacidade de dados para que fique enraizado na cultura da empresa.
  • Procedimentos de descarte apropriado para ativos (papéis, computadores, mídias removíveis) que contenham dados pessoais.
  • Ter mapeado o processo de anonimização para os dados sensíveis em repouso.
  • Incorporar na cultura da empresa os princípios de minimização de dados, onde a empresa realiza a coleta apenas das informações estritamente necessárias, pelo período que for necessário.

Esta visão geral sobre, serve como base para já iniciar na sua empresa a adequação dos processos. O fluxo de trabalho e a cultura da empresa podem ser revistos, sem mesmo a contratação de uma consultoria, já eliminando custos denecessários. O investimento na adequação é necessário e não tem como evitar, pois há questões como o RIPD, levantamento da criticidade de ativos/perca de dados que a consultoria pode apoiar, mas pequenos pontos como levantamento dos dados coletados, necessidade e tempo de vida são questões que podem ser revistas dentro de casa.

AboutXamã Sistemas