Como se adequar a LGPD

Misael Soares

Misael Soares

Product Manager há mais de 7 anos com expertise em Plataformas Digitais, Marketing e Business Intelligence.

29 de julho 2020

A Lei Geral de Proteção de Dados que está para entrar em vigor ainda este ano, tem assustado muitas empresas que não sabem por onde começar ou como se adequar a ela.

Tudo que envolve dados pessoais, tanto em meio físico ou digital, devem ser minimamente mapeado e ter  processos definidos para proteger os direitos fundamentais de privacidade e o livre desenvolvimento da pessoa natural.

Portanto, o conteúdo deste artigo não será jurídico ou metódico, como uma receita de bolo para ficar 100% em conformidade com a lei, mas é um ponto de partida para que você possa iniciar o processo de adequação.

Então se você quer ter dicas práticas de como iniciar o processo de adequação da sua empresa, leia até o final, pois será muito proveitoso.

O que é a Lei Geral de Proteção de Dados

A LGPD é a nova lei brasileira de proteção de dados de pessoas que foi sancionada em agosto de 2018 pelo presidente Michel Temer. Essa lei estabelece uma série de regras para definir padrões desde a coleta, armazenamento, tratamento ou compartilhamento de dados de pessoais.

O cuidado com a LGPD deve ser constante

A data para entrar em vigor é agosto de 2020, mas ainda sobre possíveis postergações pela medida provisória 959/2020 que prevê a alteração para maio de 2021, devido aos impactos do COVID-19. Contudo, até que esta medida provisória não seja estabelecida como lei, ainda vale o prazo inicial.

Esta lei foi elaborada com princípios da GDPR (General Data Protection Regulation) que está em vigor nos países europeus desde 2019.

No Brasil ela tem assustado desde pequenas à grandes empresas, que em meio ao cenário de pandemia tem que criar uma série de novos procedimentos para se adequar.

Quem são os atores da LGPD

Na LGPD tem vários termos e atores, mas para ações mais práticas, vamos falar de 3, que são os protagonistas desta nova implementação de cultura de privacidade. São eles:

  • Titular: é por causa da proteção da privacidade do titular que toda esta lei foi sancionada. A lei diz que o titular é a “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”. Com isso, é necessário assegurar os direitos fundamentais da liberdade, intimidade e privacidade desta pessoa com todos os termos referidos na lei. O titular é o protagonista da Lei Geral de Proteção de Dados.
  • Controlador: o controlador é quem trata ou quem tem o domínio de decisão, manuseio, proteção e compartilhamento dos dados pessoais. A lei diz sobre o controlador “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Em termos digitais é a pessoa que utiliza o sistema e que cadastrar, editar ou deletar os dados em um sistema de gestão, por exemplo.
  • Operador: é um agente indireto que realiza ações ou operações de tratamento em nome do controlador. É quem tem posse ou pode ser corresponsável dos dados de forma compartilhada ou por prestação de serviço, mas não lhe compete o tratamento destes dados de forma direta. A lei diz: “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”. Simplificando o entendimento, esta pessoa pode ser a empresa que provê a tecnologia para o tratamento e manutenção dos dados das pessoas.

Hipóteses de tratamento de dados na LGPD

Basicamente a lei chama todo esse processo de manuseio dos dados de tratamento e cita sobre quais hipóteses os dados podem ser tratados pelos controladores.

Estas hipóteses visam dar conhecimento total aos titulares sobre como e quem terá posse dos seus dados.

Algumas das hipóteses para empresas privadas são as seguintes:

  • Mediante o consentimento do titular: isso precisa estar registrado seja no meio físico ou digital e é passível de revogação.
  • Cumprimento de obrigações legais: se for preciso emitir alguma nota fiscal de compra ou venda, por exemplo, é justificável ter os dados da pessoa para o cumprimento desta obrigação legal. Mas somente os dados necessários para este fim.
  • Realização de estudos por órgão de pesquisa: normalmente estes estudos não necessitam de todos os dados das pessoas, ou dados que possam deixar as pessoas identificáveis. Nesse ponto é importante deixar garantida, sempre que possível, a anonimização dos dados pessoais;
  • Execução de contrato: além do cumprimento de obrigações legais, para execução de contratos ou de procedimentos preliminares relacionados a contrato do qual seja parte, a pedido do titular dos dados, é possibilitado o tratamento. Lembre sempre de deixar claro como os dados serão utilizados e com quem serão compartilhados.
  • Processos judiciais e/ou administrativo: Para estes processos também é assegurada a possibilidade de tratamento de dados de uma pessoa natural.
  • Proteção da vida: Todos os dados que estiverem em seu poder devem ter uma justificativa. Nesse caso alguns dados que podem ser sensíveis só poderão ser tratados se for justificável para proteção da vida ou da incolumidade física do titular ou de terceiros.
  • Tutela da saúde: Exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
  • Legítimo Interesse: Quando necessário para atender aos interesses do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
  • Proteção do crédito: Alguns órgãos como SPC, SERASA ou Boa Vista Serviços podem tratar os dados de pessoas naturais mesmo sem o consentimento delas, mas não desobriga os agentes de tratamento das demais obrigações previstas na lei

Como iniciar o processo de adequação da LGPD

Sabemos que estar em conformidade é um processo que nunca acaba, sempre haverá pontos a serem adaptados e melhorados para preservar os direitos dos titulares.

Antes de mais nada, precisamos entender que a maioria das empresas coletam dados desnecessários nos cadastros para ter o maior conhecimento das pessoas ou para melhorar a definição das ações de marketing.

LGPD significa uma nova relação com os dados pessoais

É aí que entra a lei para que as empresas só tenham posse e tratem os dados que realmente estão ligados a finalidade justificada. Então mãos à obra, vamos iniciar o processo de mapeamento das pessoas e dos dados que a sua empresa trata.

Mapeando as pessoas e os seus dados na LGPD

O mapeamento de dados é algo relativamente simples, mas dependendo do sistema de gestão que é utilizado, ou da quantidade de sistemas de gestão, pode tornar esta tarefa um pouco mais difícil.

A seguir um passo a passo do mapeamento. É importante ressaltar que este será um momento de faxina nos cadastros e até na papelada da sua empresa.

Quem são as pessoas

Levantar em todos os departamentos quais são as origens de cada pessoa que tem dados em meios físicos ou digitais sobre o seu tratamento, ou seja, os clientes, fornecedores, colaboradores, parceiros etc.

Quais dados temos destas pessoas

Agora é momento de entender se todos os dados que temos destas pessoas são necessários e se tem uma finalidade justificável. Caso encontre dados desnecessários, o melhor a fazer é removê-los dos cadastros. É importante também classificar os dados:

  • Pessoais: Informação que identifica ou relaciona a uma pessoa natural, como Nome, E-mail, CPF, Telefone, Endereço etc.
  • Pessoais sensíveis: Como o próprio termo diz, estes dados sensíveis são as principais causas de problemas em relação a privacidade. E a lei define isso da seguinte forma: “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
  • Anonimizados: São dados que, mesmo agrupados ou analisados por meios técnicos razoáveis, não podem levar a identificação de uma pessoa.

Quem tem acesso aos dados

Muitos problemas de privacidade acontecem porque os dados estão relativamente soltos ou de livre acesso. É importante agora mapear quem realmente deve ter acesso e a quê.

Por exemplo, por que alguém da manutenção deveria ter acesso aos dados completos de clientes? Ou por que alguma empresa terceirizada de consultoria financeira, precisaria ter acesso a todo cadastro de clientes?

Nestes casos, somente os dados necessários para o fim do tratamento devem ser passados. Na maioria dos casos nem são necessários dados das pessoas, senão o nome.

Política de segurança, acesso e compartilhamento dos dados para LGPD

Para que todo esse processo esteja claro e seja cumprido é sugerido criar uma política de segurança, acesso e compartilhamento de dados das pessoas. O objetivo principal dessa política é trazer o conhecimento para os colaboradores, parceiros e titulares dos dados que serão tratados.

Conte com a ajuda de alguém da parte jurídica, mas não crie um documento complexo de entender. Afinal, a melhor defesa em relação a lei é o pleno conhecimento das responsabilidades e suas consequências.

Desde a pessoa com menos acesso à informação até a diretoria precisa ser “evangelizada” sobre a nova política para proteção dos direitos naturais das pessoas.

LPGD veio para ficar

Aproveite para incluir também, se quiser, sobre a segurança e privacidade e confidencialidade de outras informações na sua empresa que merecem esta atenção.

Adequação de documentos e formulários para LGPD

Pode ser que você identificar que muitos dos formulários de cadastros de clientes, ou aquele volume de dados que captava do seu lead, não são necessários ou não existe um tratamento justificável mediante o titular dos dados.

Com isso, é hora de fazer uma alteração nos formulários e documentos, em meio físico ou digital para nova realidade da LGPD.

Remoção de informações desnecessárias

Com base no mapeamento, você pode ter maior visão do que é necessário e qual a etapa do processo aqueles dados são necessários.

Como exemplo:

Eem um processo de vendas, durante toda a jornada de compra você tem várias etapas e à medida que vai avançando com o relacionamento com seu possível cliente, pode coletar mais dados sobre os seus interesses.

Assim, na maioria dos casos não é justificável, no primeiro contato, coletar todos os dados pessoais e até sensíveis deste cliente para lhe passar o preço do produto.

Adição de termos necessários

Além de remover da coleta de campos, é importante adicionar alguns termos sobre o consentimento que essa pessoa dá para os seus devidos tratamentos.

Deixe claro nestes termos, o porquê você está coletando aqueles dados e qual a finalidade, para que ele possa concordar ou se opor a esta ação no momento de te passar os dados.

Guarde juntamente com os dados, o consentimento e aceite da pessoa para tratamentos específicos, seja no meio físico ou digital.

A cada etapa que coletar novos dados, deve ter as devidas coletas de consentimentos juntamente com a especificação de tratamento.

A utilização de sistemas de gestão para auxiliar na adequação da LGPD

Com o volume de informações que circundam os ecossistemas, com várias empresas se tornando Data Driven, fica difícil gerenciar de onde vem ou para onde vai um dado ou até como anonimizar os dados a pedido de um titular.

O Sienge Plataforma, tem se preocupado com a privacidade de dados de todas as pessoas que estão gravadas nos seus bancos de dados. Por isso, a plataforma tem fornecido aos seus clientes ferramentas para facilitar o processo de adequação à LGPD quanto operador dos dados.

Se este artigo te ajudou no processo de entendimento ou adequação a LGPD deixe seu comentário e compartilhe com outras pessoas.