C2R | O Jurídico das Techs.

Ver Mais conteúdos

10 passos para se adequar à LGPD

Publicado em 09.05.2022

10 passos para se adequar à LGPD

Nos últimos quatro anos, você deve ter ouvido falar em adequação à LGPD. Talvez em um evento de empreendedorismo ou tecnologia. Ou, quem sabe, um parceiro de negócios tenha tocado no assunto.

Fato é que a Lei Geral de Proteção de Dados já está em vigor desde Setembro de 2021. 

Mas sua aderência no Brasil ainda é lenta. 

Nem as multas, que podem chegar até 2% do valor do faturamento, parecem ser suficientes. Até o fim de 2021, apenas 40% das organizações brasileiras estavam adequadas à LGPD, segundo estudo da Fundação Dom Cabral (FDC) – que entrevistou mais de 200 empresas.

O curioso é que, também em 2021, o Brasil registrou mais de 439 mil incidentes de ataques cibernéticos só entre 1º de janeiro e 3 de agosto.

Estamos numa curva ascendente de conscientização sobre a importância da proteção e segurança de dados, mas você pode acelerar o processo na sua empresa antes de entrar para essas estatísticas. Topa? 

Neste artigo, você vai encontrar um passo-a-passo prático sobre o processo de adequação à LGPD. Hora de se proteger de possíveis incidentes e manter os dados de seus clientes em segurança. 

Por que adequar minha empresa à LGPD?

A resposta não é tão óbvia.

Sabia que a adequação à LGPD já é vista como um diferencial no mercado entre grandes empresas?

Isso acontece porque ela veio auxiliar as empresas a se protegerem no ambiente digital e físico também – afinal, dados pessoais também podem estar em fichas preenchidas à mão, cadastros impressos, etc. 

A Lei estabelece que as empresas prezem pela:

  • segurança da informação;
  • privacidade e transparência quando coletam dados de seus clientes. 

Como resultado, quem se adequa também melhora a relação com clientes, o fluxo de dados dentro da empresa, ganha agilidade na operação e, claro, fica longe de advertências.

No Brasil, dois principais órgãos monitoram as empresas: a Autoridade Nacional de Proteção de Dados (ANPD) e o PROCON. Eles fiscalizam as organizações à procura de falhas e incongruências na aplicação da LGPD – que podem estar em contratos, políticas de privacidade e termos de uso, por exemplo. 

E essa fiscalização já gerou multas, viu?

Um caso interessante foi o da Farmácia Drogasil em Cuiabá, multada em R$ 572.680,71 pelo Procon Estadual. O órgão identificou que a rede obtinha a autorização dos clientes para o tratamento e uso dos dados pessoais dos clientes de forma irregular.

O que é o tratamento de dados pessoais? 

Quando a LGPD dispõe sobre o “tratamento de dados”, ela se refere a toda e qualquer ação envolvendo um dado pessoal, independentemente de qual seja – por exemplo, coleta, armazenamento e, até mesmo, exclusão.

Por exemplo:

  • Monitorar os dados de comportamento digital de seus clientes na internet para surpreendê-los com anúncios;
  • Autorizar que uma empresa terceira tenha acesso aos dados financeiros de seus clientes; 
  • Selecionar candidatos LGBTQIA+, negros ou PCDs para um processo seletivo

Aqui, cabe pontuar que a coleta desses dados deve ser lícita e atender ao menos uma das dez bases legais. Por isso, é importante que as organizações sejam transparentes em relação à coleta de informações e sua finalidade. 

Afinal, após coletados, esses dados podem ficar armazenados na base da empresa, serem monitorados constantemente ou até compartilhados com outras instituições. 

Porém, mais do que entender o que é o tratamento de dados, você deve realizá-lo como a LGPD prevê. Caso contrário, pode ser penalizado. 

Quais são as principais penalizações para o tratamento incorreto de dados pessoais?

As sanções provenientes do mau uso dos dados pessoais variam. Porém, as principais são: 

  •  A advertência, com a possibilidade de medidas corretivas; 
  • A multa de até 2% do faturamento da empresa, com limite de até R$50 milhões;
  • O bloqueio ou eliminação dos dados pessoais que estejam irregulares;
  • A suspensão parcial do funcionamento do banco de dados da empresa;
  • A proibição parcial ou total da atividade de tratamento.

Percebe como todas essas sanções podem inviabilizar a atividade do seu negócio?

Inclusive, quando o seu parceiro comercial tem problemas com dados compartilhados com você, sua empresa também pode ser penalizada pelo erro dele, mesmo sem ter responsabilidade direta pela falha.

Por isso, para preservar a própria reputação no mercado, muitas empresas estão optando por somente manter relações com parceiros que prezam pela segurança e proteção de dados e estão adequados à LGPD.

Logo, a adequação pode abrir ou fechar portas para você no mercado. Então melhor abrir, não é?

Passo-a-passo para adequar sua empresa à LGPD

Agora que você já sabe a importância de fazer a adequação à LGPD, é hora de compreender as etapas.

Em primeiro lugar, será preciso fazer uma análise da empresa para compreender se os dados estão sendo tratados corretamente, conforme as disposições da Lei Geral de Proteção de Dados. 

Além disso, ao longo do processo, um dos grandes objetivos é conscientizar quem trabalha na empresa sobre a importância de garantir segurança de dados. 

É por isso que, quando se fala em adequação à LGPD, também se fala em criação de uma cultura de privacidade dentro da empresa, voltada à proteção de dados dentro e fora do ambiente de trabalho. 

Dito isso, vamos começar.

Passo nº 1: Crie um Comitê de Adequação à LGPD

Você pode se perguntar: “qual é a necessidade de criar um comitê para a adequação à LGPD?”. 

Bom, antes de mais nada, frisamos uma coisa: é essencial que a alta gestão se comprometa a colaborar com o processo, fornecendo recursos e pessoas para a adequação. É aí que entra o comitê.

Muitos acreditam que se adequar à LGPD significa pedir ao jurídico interno que atualize contratos, políticas do site e alguns documentos. Mas essa “adequação caseira” levou dezenas de empresas a serem multadas em 2021. Então fuja dessa prática. 

Como o objetivo da adequação é transformar a cultura de um negócio, é preciso contar com uma equipe multidisciplinar para acompanhar o processo.

Afinal, dados podem circular em todas as áreas de uma empresa, concorda? 

Por isso, é fundamental que o comitê de adequação à LGPD seja composto por profissionais das áreas que mais lidam com dados dentro da empresa. Os mais indicados seriam os colaboradores das equipes de T.I, Jurídica, RH e Marketing. 

Essa pequena equipe fará a ponte com sua assessoria externa especializada em privacidade e proteção de dados.

E essa assessoria especializada é quem vai guiar sua empresa na adequação e auxiliar em todas as demandas.

Passo nº 2: Mapeie o fluxo de dados na empresa

Os profissionais envolvidos precisarão entender como os dados entram e saem da sua empresa. 

Ou seja, vão analisar o ciclo de vida de cada dado. Isto é, como a empresa coleta, usa, compartilha, arquiva e descarta dados.

Confira o checklist: 

  1. De quem eu coleto dados pessoais?
  2. Que tipos de dados são coletados?
  3. Por quais canais esses dados são recolhidos?
  4. Onde esses dados ficam armazenados?
  5. Que pessoas dentro da empresa possuem acesso a eles?
  6. E quais delas são responsáveis por manipular e usar esses dados?
  7. Os dados que são compartilhados com terceiros e/ou parceiros?

Se sua empresa já localizou essas informações, parabéns! Você está no caminho certo. 

Passo nº 3: Revise os dados coletados

A LGPD é clara: empresas devem coletar APENAS os dados necessários para a realização de suas atividades-fim.

Especialmente, se a empresa faz o tratamento de dados sensíveis, que são dados envolvendo:

  • origem racial ou étnica,
  • opiniões políticas, genéticos,
  • dados biométricos,
  • de saúde;
  • e relativos à vida sexual da pessoa.

Este é o caso da sua empresa? 

Então, cuidado: dados sensíveis podem causar algum tipo de discriminação à pessoa que tem essas informações expostas. Por isso, eles têm destaque na LGPD, pedindo ainda mais rigor. 

Confirme se sua empresa realmente precisa desse tipo de dado para executar suas atividades. Se sim, saiba que eles requerem tratamento específico e atenção redobrada.

Nessa fase, a empresa começa a se conscientizar sobre os dados que coleta e da responsabilidade que isso gera à Organização. 

Por isso, ocorre uma avaliação jurídica dos processos empresariais. Assim, o comitê de de adequação determinará quais são dados mais adequados a serem coletados para a empresa e a sua finalidade de tratamento. 

Passo nº 4: Seja transparente com o seu cliente

A transparência é um dos pilares da LGPD. Ela guia o conceito de proteção de dados no Brasil.

Mas o que, de fato, significa ser transparente com o cliente? 

Ser transparente é expor de maneira clara e objetiva:

  1.  de que forma sua empresa irá coletar os dados de seus clientes
  2. qual é a finalidade dessa coleta. 

Por isso, destaque essas informações em seus principais pontos de contato e documentos – como site, formulários impressos, contratos, políticas de privacidade, termos de uso e outros. 

Ah! E deixe essas informações de fácil acesso para o cliente.

Além disso, é preciso ter um canal de comunicação para que ele entre em contato com a empresa para solicitar seus direitos. Por exemplo, para acompanhar o tratamento de seus dados, saber se eles são compartilhados com terceiros, solicitar sua exclusão, dentre outros. 

Passo nº 5: Revise e adeque contratos, políticas de privacidade e outros documentos

Transparência garantida? Então mãos à massa. Comece revisando os documentos da sua empresa. 

Altere contratos, políticas de privacidade e termos de uso e consentimento que não estejam dentro dos parâmetros da LGPD. Contar com o apoio de um advogado especializado nessa etapa, ok?

Caso sua empresa tenha uma política de cookies, será importante confirmar com o consumidor se ele consente com a coleta desse tipo de dado. Afinal, cookies trazem informações de grande relevância para as empresas sobre comportamentos de compra de um indivíduo. 

Desse modo, se seu cliente não autorizar a coleta desses dados e, mesmo assim, eles forem coletados, tem-se uma atitude abusiva da empresa com o consumidor. 

Você já tem tudo isso revisado? Ótimo! Mas não para por aí… 

Passo nº 6: Avalie e Reforce a Política de Segurança da Informação 

O próximo passo é prezar pela segurança da informação no ambiente empresarial e fora dele.

Para isso, é necessário contar com uma equipe de T.I que pense em estratégias para proteger os dados coletados para lidar com a LGPD de forma preventiva. Ou seja, protegendo-se de possíveis incidentes, como ataques cibernéticos e vazamentos de dados. 

Adotar essas medidas protege sua empresa, seus clientes, reduz chances de ser penalizado pela ANPD e auxilia no fortalecimento da reputação da sua empresa no mercado. 

Afinal, sua marca evitará ser associada a incidentes de segurança.

Passo nº7: Defina quem será seu DPO

Adequar uma empresa à LGPD depende de um monitoramento constante. Já pensou quem vai atuar nesse sentido? 

A LGPD concentra essas atividades no Encarregado de Dados, o Data Protection Officer (DPO). Esse profissional faz um canal de comunicação entre a empresa que controla os dados coletados e a Autoridade Nacional de Proteção de Dados (ANPD). 

É ele quem vai monitorar os possíveis riscos de vazamentos e/ou incidentes e comunicá-los à ANPD, além de acompanhar os inspecionamentos realizados por ela. 

Por isso, embora não haja necessidade de capacitação e exclusividade do DPO, ele deve estar atrelado às decisões corporativas relacionadas à LGPD, podendo ser terceirizado ou não.

Feito isso, seu DPO será valioso na próxima etapa: alinhar sua cultura à proteção de dados.

Passo nº 8: Invista em Treinamento e Conscientização de Equipe

Para que sua cultura organizacional incorpore a prática de proteção de dados pessoais no dia-a-dia, treinamentos são indispensáveis. 

Investir em campanhas organizacionais, compartilhar textos e postagens sobre o assunto é um bom caminho para começar esse processo. 

E vai valer a pena.

Logo você verá que a implantação dessa cultura só trouxe benefícios. Afinal, as pessoas passarão a ter mais cuidado na hora de compartilhar dados dentro da empresa e com terceiros, evitando problemas e ganhando AGILIDADE. 

Passo nº 9: Estabeleça medidas de Governança 

Ora, não adianta investir numa Cultura de Proteção de Dados se você não possui regras que garantam a implementação das medidas. 

Por isso, junto à sua adequação à LGPD, é preciso pensar em Compliance e Governança Corporativa. 

Pense a longo prazo e estruture um programa que auxilie a alcançar as metas desejadas para o seu negócio. Através dessas ações, você poderá controlar todos os processos de dados dentro da sua empresa. 

Crie processos que foquem na análise e controle de riscos, e estimule boas práticas de Compliance e Governança no ambiente corporativo. A ética, portanto, deve ser um pilar construído e definido pelas políticas desse programa. 

Confira algumas medidas de Governança eficientes para sua empresa: 

  1. Implementar um Canal de Denúncia: para que os colaboradores possam relatar condutas que não estão de acordo com a LGPD. 
  2. Reformulação do Código de Ética: para todos conheçam as novas regras cobradas dentro do ambiente corporativo e colaborem com os objetivos da organização
  3. Criação de Políticas Específicas: para aquelas situações em que há uma infração às políticas da empresa e o colaborador precisa ser penalizado de forma mais severa. 

Sua empresa está preparada para essa mudança? Se sim, veja nossa penúltima dica.

Passo nº 10: Escolha uma consultoria jurídica especializada

Adequar sua empresa à LGPD nunca foi algo tão desafiador, por isso, não hesite em buscar uma consultoria jurídica de confiança. Assim, você receberá auxílio durante toda a implementação da LGPD com segurança em cada passo. 

Por exemplo, aqui na C2R Advocacia, temos a preocupação em acompanhar nosso cliente desde a prospecção até a execução do projeto, para que possamos prestar auxílio sempre que necessário. 

Para mais informações sobre o nosso processo de adequação à LGPD, entre em contato através do link.

Ah, você também pode pedir nosso diagnóstico gratuito de maturidade relativa à adequação para saber quanto trabalho tem pela frente, basta preencher o formulário abaixo:

Passo Bônus: MANTENHA a empresa adequada

Muita gente esquece de falar sobre isso!

Adequar sua empresa à LGPD não é apenas contar com um jurídico bem instruído e estratégico. Depende também do seu engajamento nesse processo.

Uma vez feita a adequação, novos dados serão coletados pela sua empresa, novos funcionários serão admitidos, etc. Uma empresa é como um organismo vivo, ou seja, está em constante transformação.

Isso significa que é preciso se atentar a possíveis falhas humanas ou não ao longo do tempo. Por isso, a dica extra é revisitar e revisar os processos e as implementações periodicamente para se manter adequado.

Escrito por