12 de novembro de 2019

 

A lei número 13.709/2018, também conhecida como Lei Geral de Proteção de Dados, ou LGPD, é a lei que dispõe sobre a proteção dos dados pessoais de todas as pessoas naturais em território brasileiro. Foi decretada pelo Congresso Nacional em 14 de agosto de 2018 e entrará em vigor em agosto de 2020. 

A lei acompanha um movimento internacional em prol da proteção de dados pessoais dos cidadãos de todo o mundo. Baseada diretamente na General Data Protection Rules da União Europeia, a regulamentação visa inibir que sejam coletados “dados em excesso”, bem como limita seu uso para fins com os quais seus titulares não tenham explicitamente concordado.

Isso significa que é o interesse dos titulares dos dados é que vai ditar quais dados serão coletados e como eles serão operados. Além disso, o titular é livre para solicitar qualquer informação a respeito do processo de tratamento, bem como solicitar a eliminação de seus dados da base de pessoas ou organizações que estejam em posse deles, se assim lhe convir.

Assim, a transparência e a garantia de privacidade se tornam os pilares de toda empresa que deseje se posicionar com credibilidade no mercado e de toda organização que preze por uma boa imagem junto ao público. 

Neste artigo, detalhamos as nuances de um tratamento de dados em conformidade com os requisitos da lei, para que você possa orientar seus colaboradores de acordo. Confira:

 

Como fazer a coleta de dados

 

A finalidade, a necessidade e o consentimento são os princípios que permeiam uma coleta de dados em compliance com a LGPD.

Sendo assim, será necessário que o titular esteja explicitamente de acordo em ceder os dados que a empresa determinar como imprescindíveis para que ela alcance determinado objetivo. Isso poderá ser feito por meio de formulários específicos, personalizados conforme a necessidade.

Por exemplo: você está para contratar um prestador de serviços e precisará coletar os seus dados a fim de elaborar o contrato. Na hora de criar uma ficha ou formulário para solicitar os dados, eles devem seguir a lógica:

 

  • Finalidade: identificação do indivíduo para contrato de prestação de serviços;
  • Necessidade: os dados sem os quais não é possível fazer a identificação contratual (nome, RG, CPF, endereço, telefone, etc.)
  • Consentimento: deve haver uma cláusula no contrato que esclareça que o indivíduo concordou em ceder os dados para o fim disposto no contrato.

 

Todos esses pontos devem estar claros para o titular dos dados e, se algum não estiver, ele deve ter condições de solicitar o esclarecimento junto à empresa.

O modelo se aplica a todo tipo de coleta, variando apenas os detalhes conforme a finalidade e a necessidade para cada caso. 

 

Como fazer o mapeamento de dados

 

O mapeamento dos dados pessoais é a principal ação a ser tomada na sua gestão de riscos. Ele envolve tanto os dados de clientes quanto os de colaboradores e é o que vai garantir que a sua empresa está em conformidade com a lei. 

Esse processo tem como objetivo identificar quais dados estão em posse da empresa e assegurar sua privacidade dos dados, salvaguardando empresas que porventura possam vir a enfrentar problemas como vazamentos, denúncias e afins. 

A adequação pode ser um processo demorado, dependendo do estágio de aderência da empresa à Lei Geral de Proteção de Dados, mas é imprescindível.

Algumas etapas simples a serem seguidas:

 

Mapear e inventariar os dados que já são tratados pela empresa

 

Com que dados sua empresa lida? Onde estão armazenados? Como foram adquiridos? Qual a finalidade de cada dado? 

Respondendo a essas perguntas, você já tem um bom norte. Depois, é importante identificar qual o fluxo dos dados, isto é, como eles entram, quem os coleta, onde são guardados, como serão eliminados, dentre outros processos comuns. 

Lembrando que isso inclui tanto os dados online – oriundos de ERPs, CRMs e afins – quanto os dados offline. Sabe aquela ficha cadastral que o cliente preencheu e assinou pro Financeiro e tá guardado dentro de uma pasta dentro de um arquivo dentro de uma sala isolada? Então. Isso também deve ser mapeado. 

 

Mapear os agentes envolvidos em todo o processo do controle de dados

 

Quem serão os operadores dos dados? Quem vai gerir o fluxo dos dados? Quem vai supervisionar a equipe? É importante poder identificar os agentes envolvidos na garantia de privacidade. 

Também é fundamental, no caso de haver compartilhamento de dados com terceiros, detalhar como ele é feito e quem são os responsáveis pelo tratamento desses dados também do lado de lá, na empresa receptora. 

Conheça o perfil de todos os usuários envolvidos e entenda os níveis hierárquicos de acesso, para garantir que ele seja feito somente por pessoal autorizado em todas as etapas do tratamento.

 

Mapear as ferramentas e processos envolvidos no tratamento dos dados

 

Outro aspecto fundamental do mapeamento é entender quais são os sistemas que a sua empresa utiliza para armazenar os dados pessoais. 

É preciso incluir desde aplicativos, serviços e programas do dia a dia que de alguma forma armazenem dados – como Whatsapp, Google Drive, Gmail, etc. – a sistemas de suporte ao marketing, vendas, recursos humanos e todos os setores cabíveis – como Salesforce, RD Station, ERPs, dentre outros.

Finalmente, após mapeá-los, é válido incluir que tipos de dados cada sistema identificado armazena.

 

Definir processos de coleta e eliminação de dados

 

É importante entender como a empresa funciona em todas as suas esferas e identificar as áreas com maior acesso a dados pessoais em suas operações. Departamentos de Marketing, Vendas, Recursos Humanos e Comercial são alguns exemplos. Busque compreender como o compliance à lei vai afetar o trabalho de seus colaboradores e o que pode ser feito para facilitar o tratamento dos dados em conformidade à LGPD.

Para isso, vale realizar um trabalho em conjunto com as áreas de gerenciamento de riscos, visando a identificação de algum controle interno que possa dificultar o cumprimento de alguns princípios estabelecidos na LGPD. A partir de seus resultados, compreenda quais são os objetivos e finalidades da empresa, a fim de analisar os dados que efetivamente são necessários para atingir esses objetivos.

O próximo passo é definir, junto de todas as áreas envolvidas, o fluxo de operação desses dados, especialmente no que se refere à sua eliminação. Aqui, é preciso estar atento a alguns pontos:

 

  • Em quais situações os dados serão descartados?
  • Como os dados serão descartados?
  • Quem é o responsável pelo descarte?
  • Qual o processo de formalização do descarte?

 

Vale ter sempre em mente que se o titular solicitar a eliminação dos dados ou quaisquer informações concernentes ao seu tratamento, bem como na eventualidade de uma visita da fiscalização, a equipe responsável deverá estar preparada para fornecê-las de forma clara.

Logo, todo o processo de mapeamento deve considerar, também, o pressuposto de que ambas as hipóteses podem acontecer a qualquer momento. 

 

Como fazer a transferência de dados conforme a LGPD

 

A lei de proteção de dados irá impactar basicamente em dois tipos de transferências: a transferência de dados a terceiros e a transferência internacional de dados. 

 

Transferência de dados a terceiros

 

A transferência de dados a terceiros ocorre quando enviamos ou compartilhamos os dados pessoais com qualquer outra empresa ou entidade parceira. Pode ser o caso de um fornecedor, um consultor ou prestador de serviços.

Nesse caso, é importante entender que as prerrogativas da proteção de dados devem continuar sendo seguidas à risca, fazendo-se necessário o consentimento do titular e a transparência em relação à finalidade também na hora de fazer a transferência. 

Outro ponto importante é quando falamos sobre a flexibilização em relação ao tratamento de dados pessoais sensíveis, como ocorre no setor de saúde, por exemplo. A MP 869/2018 acrescentou à LGPD a proibição da comunicação ou uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde, com o objetivo de obter qualquer vantagem econômica. 

Em outras palavras, ela inibe que os dados pessoais sejam utilizados para a obtenção de lucros, na área da saúde. A exceção aparece apenas quando existe a necessidade de comunicação para a adequada prestação de serviços.  

Já as práticas de estudos em saúde pública terão o tratamento de dados limitados exclusivamente dentro do órgão (sem possibilidade de transferência) e estritamente para o objetivo do estudo. O poder público que tiver acesso a dados pessoais sensíveis, que não deveriam ser compartilhados, pode ser impedido de tratá-los, conforme regulamentação da autoridade nacional.

 

Transferências internacional de dados

 

A LGPD não vale apenas para empresas brasileiras. Empresas estrangeiras que atuem em território nacional também deverão respeitar as diretrizes da LGPD.

Isso significa que, mesmo que a matriz de uma multinacional, por exemplo, esteja situada em outro país, se atuar no Brasil, a empresa deve seguir os procedimentos impostos pela legislação. 

Porém, em caso de necessidade, existe a possibilidade de realizar transferência de dados para uma filial ou sede estrangeira, contanto que exista uma única condição: leis abrangentes de proteção de dados no país de destino. Em outras palavras, a transferência só será permitida para países que garantam um tratamento de dados equivalente aos exigidos no Brasil pela Lei Geral de Proteção de Dados. 

Quando ocorrer o término da necessidade efetiva, os dados devem ser excluídos como dita a LGPD. Exceções ocorrem apenas por força de lei.

 

Agora que você já sabe o que é necessário para estar em compliance com a lei, que tal conhecer soluções que podem ajudar a sua empresa a adequar seus processos?

Clique aqui e converse com um dos especialistas em privacidade de dados da Compugraf. Nós vamos te ajudar a ficar em conformidade com a lei o quanto antes!

guia-de-implementacao-da-lgpd-compugraf

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?