LGPD: definições da Lei e boas práticas para implementar na empresa

LGPD - definições da Lei e boas práticas para implementar na empresa

Compartilhe

Tempo de leitura: 8 minutos

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em agosto de 2020, mas foi a partir de 2021 que as penalidades começaram a valer. A normativa determina as regras para coleta, tratamento e armazenamento de dados pessoais, exigindo a adoção de boas práticas de proteção de dados pelas empresas.

As diretrizes da LGPD se baseiam na GDPR (Regulamento Geral sobre a Proteção de Dados) da Europa. Por lá a ideia começou a ser idealizada em 2012, sendo que as normativas foram regulamentadas apenas em 2016. No Brasil esse processo iniciou um pouco mais tarde.

Como surgiu a LGPD?

A Lei Geral de Proteção de Dados surgiu a partir de uma preocupação das autoridades brasileiras e da sociedade com a coleta e processamento de dados em larga escala. Com os crescentes ataques cibernéticos e vazamentos de informações de dados pessoais, surgiu a necessidade de estabelecer princípios para proteger os cidadãos.

As diretrizes da LGPD se baseiam na GDPR (Regulamento Geral sobre a Proteção de Dados) da Europa. Por lá a ideia começou a ser idealizada em 2012, sendo que as normativas foram regulamentadas apenas em 2016.

Em agosto de 2018 a lei de número 13.709 foi aprovada para proteger os direitos dos cidadãos sobre a privacidade de seus dados. Ela institui fundamentos principais que valorizam:

  • A privacidade de dados;
  • O direito à informação e a liberdade de expressão;
  • O desenvolvimento tecnológico do país;
  • O direito à cidadania.

A Lei Geral de Proteção de Dados também cria definições importantes para que todos compreendam quais são as regras praticadas. Entre elas estão:

  • Dado pessoal, qualquer informação que possa identificar uma pessoa como um CPF, RG, e-mail;
  • Dados pessoais sensíveis, são as informações relacionadas à origem racial, opinião religiosa ou política, características da saúde da pessoa e de sua vida sexual que podem gerar discriminação;
  • Dado anonimizado, corresponde aos dados difíceis de serem identificados;
  • Banco de dados, é a estruturação de dados pessoais que pode estar em um ou mais ambientes;
  • Titular, é a pessoa física que forneceu os seus dados pessoais;
  • Controlador, responsável por orientar os processos e tomar decisões referentes ao tratamento de dados pessoais. Nesse caso, pode ser pessoa física ou jurídica;
  • Operador, responsável por realizar o tratamento de dados, podendo ser pessoa física ou jurídica.
  • Encarregado, tem a responsabilidade de fazer a intermediação com a Autoridade Nacional de Proteção de Dados (ANPD).

Quais são as regras impostas pela Lei Geral de Proteção de Dados?

A normativa estabelece que qualquer empresa, seja ela online ou off-line (loja de roupas, consultório médico), precisa solicitar a autorização para coletar os dados pessoais do cliente/paciente. A organização também precisa informar qual é o motivo dessa coleta e para qual finalidade essa informação será utilizada.

Por exemplo: muitas companhias têm espaços em seus websites para coleta de nome, e-mail ou telefone de usuários com o objetivo de encaminhar informações por e-mail. Sendo assim, será necessário ajustar esses ambientes para fornecer mais detalhes sobre o uso desses dados, bem como o tempo que eles ficarão armazenados com a empresa.

Além disso, a LGPD determina que o usuário tem o direito de solicitar a qualquer momento o acesso às suas informações, bem como a exclusão delas do banco de dados da empresa.

O cidadão ainda pode exigir que a organização relate para quais locais essas informações foram compartilhadas. O objetivo, portanto, é dar ao cidadão mais poder sobre os seus dados, evitando, inclusive, que uma instituição venda suas informações para terceiros.

Por que a empresa precisa se preocupar com a LGPD?

A Lei Geral de Proteção de Dados surgiu para regulamentar a coleta, tratamento e armazenamento de dados pessoais. Qualquer empresa deve criar e adequar os seus processos para garantir o cumprimento da legislação.

A instituição que não se adequou dentro do prazo previsto já corre riscos de receber uma advertência da Autoridade Nacional, bem como as instruções de quais falhas devem ser corrigidas e os prazos para cumpri-las.

Caso a empresa continue em desacordo com a legislação, poderá receber multas que chegam até 2% sobre o faturamento líquido. O valor máximo da penalidade não deve ultrapassar R$50 milhões. Além do prejuízo financeiro, a companhia ainda pode ter o seu nome exposto em âmbito nacional e ter todos os seus dados bloqueados.

Como realizar o processo de adequação à LGPD?

O trabalho de adequação à Lei Geral de Proteção de Dados exige uma análise minuciosa de todos os processos de coleta e tratamento de dados dentro da empresa. Para auxiliá-lo a entender melhor esse assunto, separamos um passo a passo. Veja!

1 – Faça um mapeamento dos dados já utilizados

Inicie um diagnóstico sobre todos os dados que sua organização já tem e avalie quais são realmente necessários. Entre eles devem constar os de clientes, fornecedores e colaboradores.

Depois, mapeie todo o trajeto que esses dados percorrem. Por exemplo: você tem um website que coleta informações como nome, telefone e e-mail de um possível cliente. Esses dados são armazenados e visualizados por um vendedor, que vai iniciar a apresentação e negociação do produto/serviço. Após fechar a venda, os dados seguem para o setor jurídico fazer o contrato e, por último, eles ficam armazenados em nuvem.

Ao criar esse passo a passo de cada dado coletado você consegue ter mais controle sobre o processo e também identifica onde há falhas.

2 – Determine um ou mais responsáveis para diagnosticar os dados

Dependendo do porte do negócio fica difícil deixar a responsabilidade desse diagnóstico apenas com um colaborador. Por isso, o ideal é identificar os principais setores envolvidos e criar uma comissão para iniciar o processo. Depois que tudo estiver mapeado é possível nomear um responsável para monitorar esses dados.

3 – Delimite os dados a serem coletados

Depois que você já nomeou os responsáveis por mapear os dados, é hora de iniciar uma limpeza nas informações desnecessárias e determinar algumas mudanças.

Por exemplo: de repente sua equipe identificou que na primeira captação de potenciais clientes já pedia informações específicas como CPF ou dados bancários e eles não eram utilizados naquele momento da negociação. Nesse caso, você pode ajustar o processo e delimitar os dados coletados, exigindo um número mínimo de informações.

4 – Adeque os processos de captação de dados

Quais são os canais de coleta de dados em sua empresa? Verifique se todos eles estão de acordo com a LGPD e, se necessário, realize as mudanças necessárias. É fundamental deixar claro para o cliente, fornecedor ou colaborador qual a razão de obter esses dados e também definir um prazo para que eles sejam excluídos de sua base. 

Um exemplo simples é quando você utiliza cookies no website para acompanhar o trajeto percorrido por um usuário. Nesse caso, é necessário informar que você utiliza, quais as soluções envolvidas e também como eles serão usados em prol do negócio.

5 – Utilize soluções para prevenir o vazamento de dados pessoais

Quais tecnologias o seu negócio utiliza para armazenar e proteger os dados pessoais dos usuários? Já passou do tempo em que ter apenas um antivírus no computador era suficiente.

As organizações precisam se adaptar ao novo contexto da LGPD e criar diferentes barreiras para prevenir os ataques virtuais. Entre as soluções disponíveis no mercado estão:

  • Backup em nuvem;
  • Certificado ssl;
  • Treinamento sobre boas práticas do uso do e-mail;
  • Delimitação de acesso de usuários em sistemas;
  • Uso de firewall;
  • Utilização de senhas complexas em e-mails e softwares.

6 – Permita a exclusão dos dados

Como a própria Lei Geral de Proteção de Dados Pessoais específica, o usuário tem direito de saber para que seus dados são coletados e por quanto tempo eles são utilizados. Além disso, ele pode requerer a qualquer momento que suas informações sejam excluídas.

Portanto, o seu negócio precisa criar canais de comunicação com os fornecedores, clientes e colaboradores para que esses possam solicitar tais informações. 

7 – Informe as autoridades em casos de vazamento

Por mais que haja um cuidado com o uso de dados pessoais dentro do negócio, nenhuma empresa está livre de um vazamento. Portanto, o correto é criar um Relatório de Impacto à Proteção de Dados Pessoais e definir as ações a serem tomadas em casos de vazamento de informações.

Além disso, a organização deve informar a Autoridade Nacional e também os proprietários dos dados que tiveram vazamento.

Enfim, a LGPD criou uma série de regras para proteger os dados pessoais dos cidadãos. A normativa já está em vigor e as organizações que ainda não se adequaram precisam correr contra o tempo.

Com o auxílio da equipe interna, de profissionais da área de TI e do setor jurídico é possível mapear e melhorar os processos a fim de evitar falhas de segurança. Quer saber como podemos te auxiliar nisso? É só enviar uma mensagem ou ligar para nós

Saphir: inovação, conhecimento e paixão por tecnologia!

Atuamos desde 2013 no mercado de tecnologia e temos em nosso DNA o know-how necessário para implementar as soluções que o seu negócio esta precisando.

Durante este tempo, fortalecemos as conexões com clientes e parceiros que veem na Saphir uma empresa confiável e com expertise no mundo cloud.

Nossas soluções que permitem que sua empresa se mantenha atualizada tecnologicamente, com mais recursos para criar e inovar, objetivando produtividade e otimização de processos.

Assine a nossa newsletter e receba ainda mais conteúdos do universo cloud

    Veja mais

    Saphir - Inteligência em Cloud
    Facebook-f Instagram Linkedin Twitter
    SOLUÇÕES:
    QUEM SOMOS
    CENTRAL DE ATENDIMENTO:
    Abrahosting
    Saphir © 2013-2022 - Todos os direitos reservados.