Como começar a adequação de uma empresa à LGPD?

Nos últimos anos temos nos deparado com diversas notícias envolvendo penalidades pelo descumprimento da Lei Geral de Proteção de Dados (LGPD), como a primeira multa da Autoridade Nacional de Proteção de Dados ter sido aplicada contra uma microempresa e o Procon-MG ter aplicado uma multa de R$8 milhões contra uma rede de farmácias por exigência indevida do número de CPF de consumidores.

Nosso mercado tem se posicionado da mesma forma e adequar as empresas à LGPD se tornou também uma necessidade para um bom posicionamento, para valorização da marca, para se relacionar com parceiros estratégicos e para vender para grandes clientes ou empresas preocupadas com a sua regularidade.

Saber que é necessário zelar pela privacidade dos dados todos nós já sabemos, mas a grande dúvida das empresas é: por onde devemos começar?

Neste artigo separamos 4 passos essenciais para iniciar bem essa jornada.

1. Crie um canal de comunicação exclusivo sobre privacidade e nomeie um encarregado de dados

A Autoridade Nacional de Proteção de Dados (ANPD) publicou recentemente o início de um processo de fiscalização envolvendo 20 empresas que não indicaram o contato do encarregado pelo tratamento de dados e/ou que não disponibilizaram um canal de comunicação adequado para atender aos titulares de dados.

Com isso, o primeiro passo imediato é criar um canal seguro, gratuito, simplificado e disponibilizado no site da empresa, como um e-mail específico ou um formulário.

O segundo passo é nomear um encarregado de dados ou verificar se a sua empresa está dispensada formalmente dessa obrigação, lembrando que essa é uma boa prática em qualquer cenário.

No Guia Orientativo da ANPD sobre “Atuação do Encarregado pelo Tratamento de Dados Pessoais” é orientado que o encarregado seja uma pessoa física ou jurídica com “capacidade técnica necessária para o desempenho das atribuições de encarregado, além do conhecimento sobre a legislação de proteção de dados pessoais, e sobre as normas e demais publicações da ANPD, conhecimentos multidisciplinares sobre gestão de riscos, gestão de dados e governança, compliance e auditoria, e segurança da informação podem ser de grande valia para o exercício de suas atividades. Além disso, o conhecimento acerca das principais atividades desenvolvidas na organização (core business) pode se revelar importante para que o encarregado possa melhor orientar o agente de tratamento quanto às práticas necessárias à proteção dos dados pessoais, visando à sua conformidade com a LGPD e com as orientações da ANPD”.

2. Elabore, atualize e publique a documentação obrigatória do seu site, plataforma, aplicativo e/ou sistema

Todas as páginas eletrônicas precisam ter Termos de Uso, Aviso de Privacidade e Política de Cookies (caso essa tecnologia seja usada), como uma maneira de formalizar suas regras, responsabilidades, proibições e tratamento de dados, seja de forma direta ou indireta.

Mesmo que seu site seja apenas institucional e não realize nenhuma venda direta, ele provavelmente contém um formulário de contato, um chat de atendimento ou uma assinatura de newsletter disponível. Logo, naturalmente existe coleta de dados, que merece preocupação.

É muito importante que essa seja também uma das prioridades no processo de adequação, pois páginas eletrônicas são disponíveis para o público ou para uma grande quantidade de pessoas, sendo um grande fator de risco para o negócio uma exposição inadequada.

3. Crie um dossiê de proteção de dados

A LGPD estabelece por meio do princípio da responsabilização e prestação de contas a máxima que não basta estar adequado à Lei, é necessário conseguir comprovar essa adequação.

Assim, a empresa deve concentrar em um local seguro e de acesso restrito os contratos, termos, políticas, apólices de seguro cibernético e provas das medidas de segurança aplicadas para proteger os dados pessoais tratados no negócio.

Ter tudo em mãos também facilita bastante nos casos de incidentes de segurança, solicitações em processos de due diligence ou de notificações da ANPD.

4. Busque um especialista para te auxiliar nesse processo

Sabemos que a minoria das empresas tem a possibilidade de ter um colaborador exclusivamente dedicado às atividades que envolvem privacidade e proteção de dados. Todavia, no processo de adequação e implementação é muito importante contar com um especialista.

Isso porque, cada negócio possui suas práticas, coletas de dados, finalidades, medidas de segurança e condições internas de se proteger.

Dessa forma, o especialista poderá informar os principais riscos, suas sugestões e elaborar documentos verdadeiros, aplicáveis e completos. Modelos de documentos podem parecer soluções fáceis, mas, na prática, se tornam grandes riscos, já que a empresa se compromete a tudo que ali está posto e pode ser responsabilizada em caso de informações falsas ou não aplicadas.

Conclusão

Sabemos que a adequação à LGPD vai muito além desses 4 passos, mas é necessário iniciá-la em algum ponto. Priorize a proteção de dados o quanto antes, pois ela está sendo a cada dia mais cobrada pelos clientes, pelos parceiros, pelo mercado e pelos órgãos reguladores.

Por Natália Martins Nunes