Skip to main content

Implante a LGPD em 3 passos

By 2 de fevereiro de 2021dezembro 8th, 2021Gestão de Identidade, LGPD, Segurança da Informação

LGPD EM 3 PASSOS

Entenda como a Lei Geral de Proteção de Dados Pessoais irá afetar a forma com que as empresas e organizações coletam, armazenam e utilizam os dados de seus clientes, tanto no meio online quanto off-line e, como implantá-la de forma segura na empresa.

Se você ainda está se familiarizando com o assunto, sugerimos os materiais abaixo:

 8 perguntas e respostas sobre a LGPD

6 erros mais comuns no processo de adequação à LGPD

Como a LGPD impacta e modifica as ações das empresas brasileiras?

Quando falamos em LGPD, para quem está pensando em iniciar ou está no começo da adequação, você se pergunta: como preparar a empresa para os requisitos exigidos?

Para tratar do assunto convidamos o CEO da E-TRUST, Dino Schwingel e, a advogada especialista em direito digital, Simone Stoffel, que apresentarão o formato LGPD em 3 passos. Confira!

PASSO 1 – QUAIS SÃO OS DADOS?

Para responder a esta pergunta, o primeiro passo é fazer um inventário de dados pessoais, mas:

  • Como fazer esse inventário?
  • Que dados devem constar no inventário?
  • Por onde começar?

Neste passo, vamos seguir esta ordem:

  • Definir o formato da nossa planilha de inventário de dados;
  • Escolher um responsável por cada setor da empresa, com conhecimentos sobre os processos daquela área;
  • Escolher um responsável por cada sistema de informação da empresa; 
  • Marcar entrevistas com esses responsáveis e preencher uma planilha de inventário; 
  • Compilar os resultados em uma planilha geral e revisar com o Encarregado dos Dados, o DPO.

Sobre o inventário de dados, Dino frisa ‘’Você pode não ter um sistema de adequação à LGPD, mas você seguramente pode utilizar uma planilha que é a primeira ferramenta, a mais simples que nos permite fazer uma organização dos dados pessoais que temos na empresa’’.

      Exemplo de Inventário de Dados Pessoais:

  • Nome do Dado: É preciso dar um nome para facilitar a comunicação e a identificação do dado;
  • Descrição: Informações relevantes sobre o dado;
  • Por que coletamos? Motivo pelo qual o dado é coletado;
  • É dado sensível? Sim ou não, conforme a definição da lei;
  • Forma de armazenamento: tipicamente armazenamos em papel ou meio eletrônico;
  • Sistemas que tratam o dado: relação de todos os sistemas que tratam o dado, no conceito de “tratamento” conforme definido na lei.

Sobre o inventário e coleta de dados, Dra. Simone explica “É muito importante destacar que a LGPD se apresenta como uma oportunidade para as empresas apagarem ou excluírem todos os dados desnecessários aos seus negócios. Isso ocorre em razão do princípio da finalidade que a lei traz no seu artigo 6º que deve nortear toda e qualquer atividade de tratamento, a partir do princípio da finalidade torna-se imprescindível para as empresas se questionarem sobre o porquê de coletarem os dados que coletam, ou seja, segundo a LGPD o tratamento de dados pessoais deve observar propósitos legítimos, específicos, explícitos e informados ao titular. Isso quer dizer que o titular do dado deve estar sempre plenamente ciente do que estar sendo feito com seus dados”.

Mas isso me garante que eu inventariei todos os dados? E se os entrevistados não me revelarem todas as informações? E se o sistema não tiver documentação e a empresa que o desenvolveu já fechou? 

Neste caso, a alternativa é uma ferramenta de descoberta de dados (Data Discovery) para complementar o inventário elaborado a partir das entrevistas.

Uma ferramenta de descoberta de dados recebe um conjunto de regras que definem os tipos de dados que se procura,  por exemplo, CPF, tipo sanguíneo, RG, etc. Essa ferramenta acessa bancos de dados, arquivos na rede e outros repositórios de dados, comparam com as regras definidas e informam os dados descobertos que se encaixam.

PASSO 2 – ONDE ESTÃO OS DADOS? 

Os dados podem estar fisicamente dentro da empresa: arquivos, papéis, servidores, mídias eletrônicas, datacenter. Mas lembre-se que a propriedade dos dados agora é do Titular dos Dados.

Do ponto de vista da lei, Stoffel explica: “Dentro de toda essa cadeia de compartilhamentos, a LGPD cria 3 personagens, esses passarão a figurar ativamente dentro das empresas”.  E esses personagens são:

  • Controlador: é a quem compete às decisões referentes ao tratamento dos dados pessoais, quem é vai coletar os dados do titular para entrega ou vender algum serviço ou produto;
  • Operador: é quem realiza o tratamento dos dados pessoais sob as ordens do controlador, aqui o controlador vai repassar os dados coletados para o operador efetuar o tratamento. Aqui também entram os parceiros comerciais, parceiros de negócios, as empresas de marketing e publicidade, os planos de saúde e de vida. No caso das relações de emprego em que o empregador atua como controlador e o plano de saúde será o operador, essa cadeia pode ser infinita dependendo do tipo de negócio;
  • Encarregado dos dados: mais conhecido como DPO, termo utilizado pelo regulamento Europeu. O DPO vai ser o canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Incumbe a este profissional o dever de resguardar os dados pessoais que a empresa trata, inclusive de seus funcionários. Em resumo o DPO é o responsável pela governança dos bancos de dados pessoais da organização.

Simone completa, falando sobre o compartilhamento de dados: “Na medida em que os dados da empresa vão sendo compartilhados com parceiros de negócios comerciais, fornecedores e etc., isso obriga que o controlador, no caso a empresa que coletou os dados, alinhe por meio de termos, contratos e/ou politicas, as responsabilidades que devem ser assumidas por todos os participantes dessa cadeia. Em caso de incidente envolvendo os dados, a responsabilidade entre o controlador e operador, segundo a LGPD, é objetiva e solidária, ou seja, todos respondem no mesmo nível e grau”.

PASSO 3 – QUEM ACESSA?

Embora não seja único, o vazamento de dados pessoais é um dos riscos mais temidos. Por exemplo, uma clínica médica que sofra um vazamento massivo de dados de saúde de seus pacientes pode ter seu negócio inviabilizado por perda de confiança.

Mas pessoas jurídicas não vazam dados, quem vaza os dados são pessoas físicas, seja por falha, omissão ou intenção.

Por isso, as empresas precisam:

  • Saber quem acessa os dados pessoais;
  • Ter algum controle sobre quem acessa.

São boas práticas no controle de acesso aos dados pessoais:

  • Ter uma norma de controle de acesso, com as diretrizes da empresa e as regras que as pessoas devem seguir;
  • Sempre conceder contas pessoais em sistemas. Nunca criar contas genéricas para uso de mais de uma pessoa ou setor;
  • Conceder o acesso com base no conceito de mínimo privilégio, ou seja, dar acesso somente aos dados que a pessoa precisa para fazer o seu trabalho.

A empresa deve incluir no treinamento de admissão, as diretrizes e normas de proteção de dados pessoais. Deve também, promover anualmente atualizações de conscientização e capacitação com os colaboradores, em especial aqueles que têm acesso aos dados pessoais sensíveis.

Ações para colocar em prática o quanto antes:

  • Se a sua empresa usa contas genéricas em sistemas, substitua por contas individualizadas;
  • Se a sua empresa coleta ou trata dados pessoais sensíveis ou em volume relevante, considere a aquisição de um sistema de Gestão Identidade e Acessos;
  • Se a sua empresa ainda não conscientizou os colaboradores sobre a importância da proteção de dados pessoais, conscientize pelos menos os que acessam aos dados pessoais sensíveis, imediatamente.

PRÓXIMOS PASSOS

Além do que foi visto neste artigo, recomendamos estes próximos passos na sua jornada de implantação da LGPD:

  • Escreva e publique uma Política/Norma de Privacidade;
  • Estabeleça e comunique no website um canal para o titular dos dados entrar em contato. Pode ser um e-mail: [email protected] ou [email protected];
  • Revise os termos de uso dos seus websites e informe sobre o uso de rastreamento (cookies);
  • Avalie a necessidade de contratar uma consultoria especializada para implantar ou apoiar a implantação na sua empresa.

Gostou do artigo? Já está pronto para começar o processo de implementação da LGPD?

Então aproveite e ACESSE AQUI para baixar um modelo de Planilha de Inventário de Dados.