7 práticas para garantir a conformidade com a LGPD
Por Giovana Pignati • Editado por Claudio Yuge |
A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n° 13.709/2018, fala sobre o tratamento de dados pessoais, englobando um amplo conjunto de operações que podem ocorrer em meios manuais ou digitais. A legislação prevê que empresas adotem medidas de proteção e responsabilidade sobre o uso de informações sensíveis dos titulares de dados.
- Guia do governo traz orientações sobre cookies e proteção de dados
- Quase 80% dos órgãos federais ainda não adotaram a LGPD, diz TCU
Apesar de estar em vigor há dois anos, apenas 23% das empresas possuem uma área focada em proteção de dados — conforme demonstra o levantamento “Privacidade e proteção de dados pessoais” feito pelo Comitê Gestor da Internet no Brasil (CGI.br).
Considerando que a LGPD é detalhada e exige que as empresas alterem ou adaptem seus processos de manipulação de dados, Arthur Dantas Oliveira, especialista em Direito Digital e Compliance da Apura, elencou sete práticas que auxiliarão empresas a estarem em conformidade com a legislação.
7 práticas para entrar em conformidade com a LGPD
1. Nomear um responsável pela proteção de dados
Empresas e organizações devem nomear um Encarregado dos Dados (ou Data Protection Officer, DPO) que será responsável pelo tratamento e organização dessas informações, além de reportar diretamente à direção sobre os status de segurança de seus bancos de dados.
A nova lei considera toda e qualquer operação realizada com as informações de terceiros que, mesmo parcialmente, possam identificar uma pessoa. Um dos processos é educar a organização e os funcionários sobre a conformidade, treinar a equipe responsável pelo tratamento e realizar auditorias regulares. O DPO também atua como ponte entre a empresa, os titulares dos dados e a ANPD.
2. Mapeie e classifique todos os dados
Visando garantir a confidencialidade, integridade e disponibilidade dos dados, uma organização precisa ter conhecimento das informações que possui. Para isso, é preciso conduzir um inventário em que as partes interessadas entendam a qualidade e valor dos dados pelos quais são responsáveis.
3. Preencha uma avaliação de impacto na privacidade
Segundo Dantas, antes de começar o tratamento dos dados, é preciso realizar uma avaliação de impacto de privacidade. O relatório deve identificar riscos da coleta, uso, transferência e tratamento dessas informações.
Esta medida é importante para o pressuposto legal da Privacy By Design, em que a privacidade é considerada desde o início da operação, e By Default, em que as medidas de segurança são consideradas padrão e só podem ser desativadas pelo usuário de maneira voluntária e informada.
O relatório apresenta como os dados fluem pela empresa e exige uma avaliação das atividades para determinar o nível de risco as liberdades civis e aos direitos fundamentais, além das medidas de mitigação de risco.
4. Documentar, manter e fazer cumprir as políticas, procedimentos e processos de privacidade
Os inventários e mapeamento do fluxo de dados pessoais devem ser atualizados constantemente, de maneira que o DPO tenha as informações sobre quais dados estão sendo tratados, protegidos e qual a base legal do tratamento. Além disso, as políticas devem abranger as pessoas, processos e sistemas envolvidos nas atividades — garantindo que sejam cumpridas as normas legais, mantendo os dados protegidos.
5. Treinar funcionários na LGPD
As políticas de privacidade devem prever o treinamento de funcionários sobre suas responsabilidades para proteger os dados pessoais. Qualquer pessoa que manuseie informações sensíveis deve estar ciente da importância de mantê-las seguras e conhecer os procedimentos e processos relacionados.
6. Teste os procedimentos de resposta à violação de dados pessoais
Em casos de vazamentos, é de responsabilidade da organização comunicar à autoridade nacional e aos titulares dos dados sobre os riscos ou danos do incidente de segurança. Para Dantas, até a regulamentação formal do prazo pela LGPD, a melhor prática é adotar o prazo da Lei Europeia (GDPR) de até 72 horas após o incidente.
Dessa forma, é indicado testar regularmente os procedimentos de gestão de incidentes para garantir que os funcionários cumpram esse prazo. Para isso, é preciso que eles saibam como identificar e relatar uma violação de dados internamente e os passos seguintes para comunicar os titulares e a ANPD.
7. Monitore o vazamento de dados pessoais e incidentes de segurança da informação
É fundamental que as empresas monitorem a ocorrência de incidentes ou vazamentos de dados. Segundo Dantas, o BTTng, ferramenta da Apura, realiza o monitoramento dos dados e de incidentes de segurança da informação, através de pesquisa em fontes abertas de inteligência, como a deep web, fóruns hackers, grupos de mensagens etc.
"O BTTng permite identificar vazamentos de dados pessoais ainda não divulgados e, muitas vezes, desconhecidos da organização", diz o especialista. Ele ainda ressalta que as empresas devem estar à frente dos agentes criminosos, permitindo tomar ações imediatas para proteger os ativos, corrigir riscos de segurança, proteger os direitos dos titulares e evitar penalidades.