Descubra como garantir a conformidade com a LGPD através da implementação de boas práticas de privacidade em sua organização.
Mas antes disso, se você tá com aquele orçamento curto pra P&PD, parece que o jogo virou 👇
Pra começar então, dê uma olhada nos tópicos que abordaremos nas próximas linhas:
Por que minha empresa precisa se adequar à LGPD?
Bom, essa é uma pergunta clássica quando as organizações pensam sobre a LGPD. Aliás, talvez seja a pergunta que mais respondemos nos últimos anos.
Pra não ter que responder de novo (risos), deixamos aqui o link de um vídeo da Denise Tavares, no qual ela explica de forma objetiva e clara quem precisa se adequar a LGPD.
(ps: não é marketing, tá? 😅)
Se você assistiu o vídeo, tá bem claro, não?
Aqui, é importante entender que a LGPD existe para proteger a privacidade dos indivíduos brasileiros, além de devolver à própria pessoa a prerrogativa de gestão e autonomia sobre os seus próprios dados.
Vejamos que as regulações de proteção de dados buscam trazer diretrizes a serem observadas pelas organizações, de maneira a evitar atos abusivos relacionados às informações pessoais.
Quem nunca recebeu uma ligação, e-mail, ou mensagem no WhatsApp do nada, e se perguntou: “cara, como eles conseguiram os meus dados?!”.
Pois é, a LGPD existe, pra evitar esse tipo de coisa. E MUITAS OUTRAS.
Ao se adequar à LGPD, sua empresa demonstra comprometimento com a proteção dos dados de seus clientes e colaboradores, o que contribui para a construção de uma imagem positiva no mercado.
Além disso, a conformidade com a LGPD é obrigatória (como vimos no vídeo acima) e o não cumprimento das suas disposições pode resultar em sanções e penalidades, incluindo multas que podem chegar a 2% do faturamento da empresa, até R$ 50 milhões por infração.
Portanto, é essencial que sua empresa se adeque à LGPD para evitar riscos jurídicos, proteger a privacidade de seus clientes e colaboradores, e manter a confiança do público em relação à sua marca.
Existe fórmula perfeita?
Aquela velha resposta, né?
Não.
Não existe uma fórmula perfeita para garantir a conformidade com a LGPD, por alguns motivos, e dois em especial:
- nenhuma organização é igual à outra
- pessoas, processos, ferramentas e estruturas mudam com regularidade nas organizações
Isso significa, de forma geral, que não é possível pegar uma fórmula de adequação que alguma empresa utilizou e simplesmente CTRL C + CTRL V na sua organização. Adequação à LGPD não é uma receita de bolo.
Por isso, é essencial ressaltar que a conformidade com a LGPD é um processo contínuo, não necessariamente linear, que envolve a revisão constante das práticas de privacidade e a adoção de medidas de segurança adequadas para proteção dos dados pessoais e, mais do que isso, precisa ser customizada e adequada para os cenários específicos de cada organização.
Mas, antes que você se desespere (mais risos)… existem alguns passos que são fundamentais e que, na esmagadora maioria dos casos, servirá como base para qualquer organização, independente de porte, segmento ou modelo de negócio.
Bora conhecer esses passos?!
Passos essenciais para conformidade
Para implementar boas práticas de privacidade e alcançar a conformidade com a LGPD, sua empresa ou organização, quase obrigatoriamente, precisará seguir esses 7 passos:
1. Mapeamento de processos e Inventário de dados
2. Criação e ajuste de políticas e contratos
3. Adequação de website, landing pages e sistemas
4. Melhoria de processos
5. Assessments de risco
6. Treinamento e Capacitação
7. Monitoramento regulatório
Mapeamento de processos e Inventário de dados
Veja que, o primeiro passo para garantir a conformidade com a LGPD é realizar o mapeamento de processos e criar um inventário de dados. Isso envolve identificar quais são os dados pessoais coletados, armazenados e processados pela sua empresa, bem como os processos envolvidos em seu tratamento.
Além disso, é importante identificar os locais de armazenamento desses dados que, em muitos casos, podem estar armazenados em servidores fora do Brasil de outras empresas, os famosos, Operadores (que são os fornecedores de serviços e sistemas que a sua organização utiliza. Quer exemplos? Microsoft, Google, AWS, SalesForce, Oracle, o seu CRM ou ERP, e por aí vai…)
Para realizar o mapeamento de processos, é necessário analisar todas as etapas do ciclo de vida dos dados, desde a coleta até o descarte. É importante identificar quais são as bases legais que fundamentam o tratamento de cada tipo de dado, bem como as medidas de segurança adotadas para protegê-los.
Nesse sentido, é imprescindível que sejam realizadas entrevistas e reuniões em vários momentos com todas as pessoas envolvidas em cada processo de tratamento de dados. Dá trabalho, viu? 😂
Assim como em um processo de auditoria, inventariar dados e processos exige um conhecimento detalhado de cada processo.
Por sua vez, o inventário de dados consiste em listar todas as categorias de dados pessoais tratados pela sua empresa, se são dados sensíveis ou não, bem como as finalidades e bases legais para o tratamento de cada categoria. Além disso, é importante identificar os responsáveis pelo tratamento dos dados e os prazos de retenção estabelecidos.
O mapeamento de processos e o inventário de dados são fundamentais para garantir a transparência e o controle sobre os dados pessoais, facilitando a implementação de medidas de segurança e o cumprimento das obrigações estabelecidas pela LGPD.
Informação importante
É muito comum que as empresas optem por contratar serviços de terceiros (escritórios e consultorias) pois, tratando-se de médias e grandes empresas, é um trabalho quase infinito para o DPO/Encarregado de Proteção de Dados.
Criação e ajuste de políticas e contratos
Pra qualquer empresa, inclusive para as Micro e Pequenas empresas, ou mesmo órgãos públicos, é estritamente necessário dispor de documentos que, ao mesmo tempo, reproduzam a realidade dos processos de tratamento de dados , e que protegem a própria organização.
A saber, seja contratando ou sendo contratado, caso haja compartilhamento de dados pessoais, sejam de funcionários, clientes, usuários, prestadores de serviço, etc, é necessário que hajam cláusulas claras e robustas sobre as responsabilidades em relação à privacidade e proteção de dados.
Além disso, é fundamental elaborar políticas de privacidade claras e transparentes, que informem aos titulares dos dados quais informações são coletadas, como são utilizadas e com quem são compartilhadas.
Inegavelmente, é necessário revisar e atualizar os contratos com fornecedores e parceiros para garantir que estejam alinhados com as disposições da LGPD. É importante incluir cláusulas que estabeleçam as responsabilidades das partes em relação à proteção dos dados pessoais e as medidas de segurança adotadas.
As políticas de privacidade e os contratos devem ser redigidos de forma clara, objetiva e acessível, para que os titulares dos dados possam compreender facilmente quais são seus direitos e como exercê-los, conforme previsto na LGPD.
Adequação de website, landing pages e sistemas
A adequação do website, landing pages e sistemas é um passo essencial e muuuuuuuuitasss empresas negligenciam.
Além do problema de coleta dos ‘cookies’ (saiba o que são os cookies, aqui), é muito comum termos formulários que coletam dados, ou os famosos CTAs (Call to action), que são as chamadas para ação que podem envolver a cessão e coleta de dados pessoais.
Por isso, é necessário verificar se sites e plataformas estão em conformidade com a legislação, garantindo a segurança e privacidade dos dados pessoais dos usuários, incluindo disposições claras e evidentes sobre a coleta e uso de dados.
Principalmente se você é um aplicativo, viu! 😂
Todo esse processo, pode envolver desde medidas mais complexas, como implementar criptografia dos dados, controle de acesso e logs, pentests, auditorias e backup dos dados.
Ou, na maioria dos casos, medidas simples e rápidas, como um checkbox sobre Termos de Uso, ou um link para a sua política de privacidade.
Além disso, é importante disponibilizar aos usuários informações claras sobre a coleta, uso e compartilhamento de seus dados, por meio de uma política de privacidade acessível e fácil de entender.
Ao adequar o website, landing pages e sistemas à LGPD, sua empresa demonstra publicamente o comprometimento com a proteção dos dados pessoais.
E de quebra, garante a confiança dos usuários em relação ao tratamento de suas informações.
Melhoria de processos
Visto que, como falamos, todas as organizações precisam se adequar à LGPD, é necessário mitigar riscos e melhorar os pontos de atenção.
É necessário avaliar e aprimorar os processos internos da sua empresa, de forma a garantir a proteção adequada dos dados pessoais.
Não só os processos mas, pessoas, estruturas e ferramentas também. Assim, é essencial olhar para a operação sob a famosa ótica do PRIVACY BY DESIGN.
Isso envolve identificar possíveis vulnerabilidades e implementar medidas de segurança eficazes, como o controle de acesso aos dados, a criptografia, a anonimização dos dados, entre outros.
Assim sendo, é importante estabelecer procedimentos claros para o tratamento de dados pessoais, incluindo a definição de responsabilidades, a adoção de boas práticas e a capacitação dos colaboradores.
A melhoria de processos contribui para o cumprimento das obrigações estabelecidas pela LGPD e para a proteção dos dados pessoais de clientes e colaboradores, reduzindo riscos de imagem e sanções administrativas e financeiras.
Calma que a gente tá quase acabando…
Assessments de risco
Está aí o nosso passo mais querido!
E também um que, se não conduzido de forma eficiente, pode trazer bastante dor de cabeça lá na frente.
Os assessments de risco são importantes para garantir a conformidade com a LGPD. Eles consistem em avaliações periódicas de risco, que têm como objetivo identificar possíveis vulnerabilidades e implementar medidas preventivas de proteção de dados.
Durante o assessment de risco, é necessário identificar as ameaças que podem afetar a segurança dos dados pessoais, bem como as vulnerabilidades existentes nos processos, sistemas e infraestrutura da empresa.
Com base nessa análise, devem ser implementadas medidas de segurança e privacidade adequadas, que visem mitigar os riscos identificados.
E vamos lá…
Essas medidas podem ser de diversos aspectos, incluindo o controle de acesso aos dados, a criptografia, a anonimização dos dados, entre incontáveis outros mecanismos.
Os assessments de risco devem ser realizados regularmente, para garantir que a empresa esteja sempre atualizada em relação às ameaças e vulnerabilidades que podem comprometer a segurança dos dados pessoais.
Treinamento e Capacitação
Não adianta tudo estar rodando bonitinho, e quando troca a equipe, ninguém mais sabe nada 😅
É fundamental que todos os membros, de todos os níveis da organização estejam cientes da importância da proteção de dados pessoais e das boas práticas de privacidade estabelecidas pela legislação.
Da alta direção, até o estagiário!
O treinamento deve abordar temas como os direitos dos titulares dos dados, as bases legais para o tratamento de dados pessoais, as medidas de segurança adotadas pela empresa e, sempre que possível, ser customizado para a realidade de cada departamento.
Aliás, se você tá procurando treinamento e capacitação, já aproveita que está no nosso blog e fala com a nossa equipe – temos treinamento online, presencial e on-demand de altíssima qualidade e conteúdo.
NO PRECINHO
Portanto, é importante capacitar os colaboradores para que possam identificar e lidar adequadamente com incidentes de segurança, como o vazamento de dados pessoais.
O treinamento e a capacitação dos colaboradores contribuem para a conscientização sobre a importância da proteção de dados pessoais e para a adoção de práticas seguras no tratamento dessas informações.
Monitoramento regulatório
É fundamental que sua empresa esteja sempre atualizada em relação às exigências e mudanças na legislação de proteção de dados.
Isso envolve acompanhar as orientações e recomendações emitidas pela Autoridade Nacional de Proteção de Dados (ANPD) e por outros órgãos reguladores, bem como as decisões judiciais relacionadas à LGPD.
Além disso, é importante revisar periodicamente as políticas de privacidade, os contratos e os processos internos da empresa, para garantir que estejam alinhados e atualizados com as disposições da legislação.
Conclusão
Vejam que aí em cima estão os passos essenciais para implementação de boas práticas de privacidade na sua organização.
Com isso, fica mais fácil manter altos índices de conformidade com a Lei Geral de Proteção de Dados Pessoais.
Se ficou alguma dúvida, se tiver sugestões ou quiser aprofundar o papo conosco, manda uma mensagem pro dpo@teeglobal.com.br que será uma honra podermos trocar experiência!
Pra ficar ligado, segue agente!