O que a empresa precisa fazer para se adequar à LGPD?

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 13.709 de 2018, surgiu de uma tendência mundial de criação de normas no tratamento de dados pelas empresas e órgãos públicos, como forma de tutelar a proteção de dados e a privacidade.

A grande dúvida é: o que uma empresa precisa fazer para se adequar à LGPD?

Antes de responder, primeiro é necessário entender o que é tratamento de dados. Por “tratamento” de dados, nomeamos qualquer operação realizada com dados das pessoas, como coleta, armazenamento, compartilhamento, exclusão etc. Ainda, esse tratamento é tanto físico quanto digital. Dados em papéis, agendas, computadores, nuvem (armazenamento digital) se enquadram nessa classificação.

Agora sim, atendendo ao questionamento acima, listamos abaixo os pontos principais:

1. Mapear todos os dados que são tratados pela empresa

O ponto de partida para estar adequado à legislação é a empresa fazer um mapeamento de todos os dados que coleta (clientes, funcionários, fornecedores, terceiros etc). A partir disso, será possível verificar se apenas os dados minimamente necessários são tratados e se a finalidade desse tratamento não sofre desvio, conforme exposto nos itens seguintes.

2. Tratar apenas os dados necessários

Ponto crucial é verificar se a empresa está coletando apenas os dados necessários para a sua finalidade. Assim, aquela antiga cultura de coletar todos os dados possíveis, para o caso de um dia precisar, foi enterrada com a LGPD.

3. Não utilizar os dados para finalidades diversas

Além de as empresas precisarem tratar o mínimo possível de dados, esses devem ser utilizados somente para a sua finalidade principal, ao não ser que a LGPD autorize expressamente a sua utilização para outra finalidade.

4. Ter embasamento legal para o tratamento de todos os dados

Essa talvez seja a parte mais difícil para as empresas, pois exige um conhecimento técnico, especialmente jurídico. Uma vez elaborado o mapeamento de dados (item 1), será possível verificar se todos eles possuem um tratamento com autorização na lei (o que se chama de “base legal”). Assim, por exemplo, um dado pode ser tratado com base no “consentimento” da pessoa, no “cumprimento de obrigação legal” da empresa, na “execução de contrato”, na “proteção ao crédito” ou mesmo “proteção da vida” do titular. Esses são alguns exemplos de justificativas para o tratamento de dados. Se eventualmente a empresa não conseguir encontrar uma “base legal” para enquadrar esses dados, então ela não pode utilizá-lo.

5. Estabelecer um canal de comunicação com os titulares de dados

Um dos grandes objetivos da LGPD é instituir transparência no tratamento de dados, o que significa o titular poder exercer direitos frente às empresas, como acesso, informação e portabilidades de dados. E, para isso, a lei estabelece que as empresas precisam nomear um “Encarregado de Dados” (conhecido também como DPO – Data Protection Officer) que será o responsável por conduzir essa comunicação. Para empresas de pequeno porte, via de regra, não é preciso nomear um Encarregado, mas todas as empresas precisam ter um canal para que as pessoas entrem em contato e exerçam os seus direitos. Para isso, indica-se a criação de um e-mail próprio. Caso a empresa tiver site, recomenda-se ter a indicação do e-mail e canal de acesso ao Encarregado ou setor responsável por se comunicar com os titulares.

6. Armazenar os dados em local seguro e manter a confidencialidade das informações

O inimigo “nº 1” da privacidade é o fofoqueiro. Assim, estabelecer uma política interna de sigilo das informações dos clientes é fundamental. Além disso, nem todos os funcionários da empresa precisam ter acesso a todas informações. Limite o acesso aqueles que possuem realmente necessidade de acessar os dados alheios. Não deixe papéis espalhados pelas mesas ou prateleiras. Guarde em armários. Chaveie as gavetas. Tudo isso faz parte de uma rotina de privacidade nas empresas. Grande parte dos riscos em termos de LGPD advém de questões “banais” e corriqueiras como essas.

7. Revisar contratos e fazer aditivos, se necessário

Nos contratos que a empresa possuir, precisam haver cláusulas regendo a proteção de dados e privacidade, indicando as obrigações de cada parte, canais de comunicação, eventuais compartilhamentos de dados a outras empresas ou terceiros e proibições, por exemplo. Além disso, o contrato de trabalho dos funcionários precisa estar adequado, especialmente porque as empresas coletam dados sensíveis por razões de cumprimento legal. É muito comum as empresas fazerem aditivo aos contratos que possui, quando passam pelo procedimento de adequação à legislação.

8. Instituir uma Política de Proteção de Dados e Privacidade

A melhor forma para uma empresa demonstrar a sua conformidade à LGPD é estabelecendo uma Política de Proteção de Dados e Privacidade, em que listará todos os procedimentos internos que faz para cumprir a legislação. Ainda, neste documento são listadas as medidas de segurança administrativas e técnicas para garantir a segurança da informação, o que inclui principalmente computadores e demais equipamentos eletrônicos (ataque hacker, vazamento de dados, perda de dados etc).

9. Instituir uma Política de Privacidade e Cookies para o site

Você já deve ter percebido que, ao entrar no site de uma empresa, aparece na parte de baixo do navegador se “concorda com o uso de cookies”. Todos os dados que são coletados por uma empresa na internet, em seu site ou e-mail, por exemplo, são também dados protegidos pela LGPD. Assim, é importante ter instituída uma Política de Privacidade e Cookies do seu site, como maneira de deixar expressamente previsto como ocorre esse tratamento online dos dados. Utilizar modelos prontos (ou já pré-preenchidos pelos sites), pode gerar um problema grande. A abordagem deve ser específica para cada sítio eletrônico, conforme a realidade da empresa.

10. Treinar os funcionários, antigos e novos

Cumprir a legislação de proteção de dados e privacidade não é tarefa exclusiva dos gestores, do dono da empresa ou apenas dos sócios. Quem lidará com dados diariamente são os funcionários, podendo ocorrer uma série de incidentes inimagináveis, grande parte das vezes por acidente ou desconhecimento. Tirar uma tarde ou um dia para treinar os funcionários, ainda que de forma gradativa, ajudará a estabelecer uma cultura organizacional voltada ao cumprimento da legislação. Cumprir a lei é uma tarefa compartilhada.

Ressalta-se que a abordagem aqui não esgota todas as medidas para uma empresa estar em conformidade com a Lei Geral de Proteção de Dados brasileira. O objetivo foi apenas listar as principais providências, em caráter informativo.