Quem se enquadra na LGPD? E quais os primeiros passos para adequação

Em vigor desde o final de 2020, a Lei Geral de Proteção de Dados tem mudado a rotina de muitas organizações. Sendo assim, como está a adequação a LGPD da sua empresa?

A lei é de agosto de 2018, no entanto, após algumas alterações e por conta do efeito da pandemia da Covid-19, só começou a valer mesmo em 2021. Mesmo com o atraso e todas essas mudanças, ainda tem muita gente que não tem ideia se precisa adequar sua empresa às novas exigências.

Se você é uma dessas pessoas, vamos te ajudar! Acompanhe!

Leia também: 5 mudanças a fazer no RH depois da LGPD

O que é a LGPD?

A LGPD ou Lei Geral de Proteção de Dados está na Lei nº 13.709, de agosto de 2018. Ela fala sobre o tratamento de dados pessoais, seja um pessoa física ou jurídica que faça uso destes dados para fins comerciais, na intenção de proteger os direitos de liberdade e privacidade de cada um.

É essa Lei que estabelece regras para uso, coleta, armazenamento e compartilhamento de dados a fim de garantir a segurança, privacidade e transparência de informações.

A Lei também define o que são dados pessoais e não importa onde estes dados estão armazenados, seja no Brasil ou no exterior, ou se estão em meio físico ou digital.

É importante definir a diferença entre dado pessoal e dado sensível. Dados pessoais são as informações relacionadas à pessoa natural identificada ou identificável tais como: RG, CPF, e-mail. Para pessoas jurídicas não existem dados pessoais.

Já os dados sensíveis são aqueles que podem gerar discriminação, como origem racial ou étnica, religião, opinião política, orientação sexual e outros.

A principal consideração da LGPD é o consentimento do titular dos dados. Essa informação está descrita no Artigo 11, II da Lei. Assim, o proprietário dos dados pode solicitar exclusão dos mesmos, revogar o consentimento, transferir seus dados para outro fornecedor, entre outros.

É a ANPD, ou Autoridade Nacional de Proteção de Dados Pessoais quem fiscaliza a LGPD, bem como quem aplica as penalidades em caso de descumprimento da Lei.

Quem se enquadra na LGPD?

Empresas de diversos setores e tamanhos precisam se adequar à LGPD. Sendo assim, tanto pequenas e médias empresas, quanto as de grande porte precisam atender às exigências.

Além disso, a lei se aplica a pessoas físicas ou jurídicas, públicas ou privadas. Todos precisam fazer o tratamento de dados pessoais, mesmo daqueles coletados na data anterior à Lei.

Dessa forma, todas as empresas precisam deixar claro para que utilizam as informações coletadas e necessitam de consentimento expresso dos clientes para que estas possam ser utilizadas.

Existem algumas exceções, sendo assim, a LGPD não se aplica quando a finalidade do armazenamento de dados for para fins  jornalísticos, artísticos, segurança pública, do Estado, de investigação e repressão de infrações penais.

Como fazer a adequação para a LGPD?

Em 2019, uma pesquisa feita pela consultoria de auditoria e consultoria em gestão de riscos ICTS Protiviti, apontou que 84% das empresas brasileiras não estavam preparadas para a implementação da LGPD.

Se você faz parte dessa estatística, já se fez a pergunta se tem hoje dentro da empresa, pessoas que possam auxiliar nessa adequação a LGPD? Afinal, ela terá impacto tanto nas áreas jurídica quanto administrativa.

Por conta disso, vamos te passar algumas dicas de como fazer a adequação da sua empresa à LGPD.

1. Estabeleça responsabilidades

O primeiro passo para a adequação a LGPD é criar uma equipe que trabalhe exclusivamente para isso. Essa equipe deve conter profissionais das áreas mais relevantes, como: TI, jurídico e Recursos Humanos, por exemplo.

Se você não tem as pessoas adequadas, também pode contratar uma empresa especializada ou um novo colaborador, que ficará a cargo de fazer a gestão de arquivos e que tenha conhecimento nas áreas de legislação e Tecnologia da Informação.

Esse cargo é chamado DPO ou Data Protection Officer, em inglês. A Lei não especifica qual a formação que o DPO precisa ter, mas este deve prestar contas à ANPD através de relatórios sobre impactos da proteção de dados.

A equipe ou o colaborador precisam realizar o mapeamento e documentação de dados, além da classificação das informações. Verificar se tudo está armazenado de maneira segura e se foram coletadas com consentimento dos proprietários, bem como zelar pelo sigilo e as boas práticas de segurança da informação.

2. Invista em tecnologia

Não adianta só ter uma equipe responsável pela segurança dos dados, é preciso que sua empresa tenha as ferramentas adequadas para isso.

Então invista em criptografia, dispositivos de firewall, VPN e demais maneiras de armazenamento seguro.

Você também pode buscar cursos de atualização e certificações, formando um time qualificado para esta finalidade.

3. Faça o tratamento dos dados coletados

Com o mapeamento citado no primeiro item, é preciso fazer o tratamento dos dados da empresa.

É necessário fazer uma revisão desses dados, principalmente para determinar se há dados sensíveis e se eles realmente precisam ser coletados. Afinal, quanto mais dados coletados, maiores são os riscos e a responsabilidade que recai sobre a empresa.

Além disso, é preciso avaliar se há necessidade de tratar esses dados e se eles se enquadram nas bases legais da LGPD.

São 10 bases legais, entre elas está o consentimento do tratamento dos dados, o tratamento para cumprimento da obrigação legal ou regulatória, da proteção à vida, entre outros.

4. Cuidado com os documentos

Revise todos os documentos e contratos quanto às políticas de privacidade e termos de consentimento. Avalie se todos eles estão dentro dos parâmetros da LGPD.

Especifique em todos eles de maneira clara e inequívoca qual será a finalidade da coleta e do tratamento dos dados. Também dê a opção de o titular conceder ou não o consentimento.

5. Invista em treinamentos

Conforme mencionamos, é preciso que toda a empresa esteja engajada nos cuidados com os dados pessoais. Assim, será necessária a incorporação da prática de proteção em todas as atividades realizadas no dia a dia da empresa.

Dessa forma, investir em treinamentos e conscientização é fundamental. Estes podem ser feitos inicialmente através de artigos e reportagens ou de maneira profissionalizada com cursos e workshops.

Inclusive, na NV Seguros Digitais você encontra cursos 100% online sobre LGPD, Engenharia Social, inovação e muitos outros! Acesse agora o site e confira!

6. Faça um seguro cyber

O seguro cyber não é bem exigência de adequação à LGPD e sim considerado boas práticas, já que ele pode proteger sua empresa no caso de vazamento de informações, danos reputacionais ou outros malefícios decorrentes da perda de dados ou ataques cibernéticos.

Dessa forma, sua empresa fica protegida financeiramente em caso de responsabilidade civil a terceiros ou danos ao segurado por ataque de hackers ou vazamento de dados.

Na NV Seguros Digitais, você contrata o seguro que abrange atos de violação de segurança e privacidade, incluindo multas e sanções da LGPD, proteção em casos de investigações formais e inquéritos, custos de violação de dados e outros. Faça já um orçamento e proteja sua empresa!

Leia também: Ataques cibernéticos? O que é e como se proteger dessa ameaça

 

Fique por dentro de tudo o que você precisa saber sobre LGPD e cyber segurança no nosso blog!