Atualmente, a Lei Geral de Proteção de Dados tem sido uma grande questão a ser enfrentada pelas empresas, isto porque o Brasil nunca teve uma legislação tão preocupada em cuidar da segurança de dados pessoais, como a LGPD tem se demonstrado. 

A prova disso é que práticas totalmente vedadas pela LGPD, ainda são muito vistas por aí, tais como: venda de dados pessoais, falta de cuidados com a realização de marketing no meio online, vazamentos por parte de Instituições importantes, como operadoras de celular e o Banco Central. 

O que vale lembrar, é que a LGPD não veio para impedir ou dificultar a atuação de empresas no Brasil, mas sim para dar ao empresário e ao Estado uma melhor forma de ter controle sobre os dados pessoais indispensáveis para o fluxo de uma empresa. 

Se você quer cuidar da sua empresa da melhor forma, e se manter isento de penalidades e sanções em decorrência de um manuseio incorreto dos dados sobre os quais a sua empresa tem controle, continue lendo este artigo que eu, como advogada especialista em LGPD, vou te ajudar da melhor forma. 

1 – A definição de um DPO – Encarregado pelos dados 

O DPO é o profissional da empresa encarregado de cuidar das questões referentes aos dados pessoais da organização, seja de funcionários da empresa, fornecedores, parceiros, bem como dos clientes. 

Em suma, o DPO será responsável por coletar, manusear e armazenar todos os dados pessoais que a empresa mantém consigo.  

Para nomear um DPO, veja as possibilidades da empresa: 

  • Nomear uma pessoa interna, que tenha conhecimento sobre todo o fluxo de dados e procedimentos internos da empresa – essa é uma forma eficaz e segura, pois ninguém conhece mais a empresa do que um funcionário de longa carreira que tenha esse conhecimento amplo sobre ela.
  • Terceirizar a função de DPO (DPO as a service) – existem 2 formas de terceirizar a função do encarregado de dados:
  • (1) Contratar um profissional que possa treinar e capacitar um interno da empresa para o exercício da função; 
  • (2) Contratar um profissional terceiro que se encarregará pessoalmente da função, normalmente são de empresas especializadas em LGPD, ou mesmo um advogado especialista no assunto.

Leia também: Saiba como regularizar a sua empresa com a nomeação de um DPO

2 – Elaboração de uma análise de riscos dos dados 

Após o mapeamento de dados (data mapping), onde a empresa entende todos os dados que coleta, como realiza o tratamento, como eles tramitam nos processos internos de cada setor da empresa, bem como, a maneira como eles são descartados ao final do tratamento, é necessário compilar as informações e fazer uma análise de riscos, que tem como objetivo principal procurar e identificar vulnerabilidades que a empresa possui com relação aos dados que trata. 

Esse processo é crucial para identificar setores da empresa que possuem mais probabilidade de vazamento de dados, bem como ajuda na descoberta de cibercriminosos, além de ajudar a empresa a identificar como os funcionários da empresa lidam com os dados ali tratados. 

A análise de riscos avalia os comportamentos da empresa, com o objetivo de avaliar a segurança da informação em três níveis: 

  • Pessoas: (1) analisa se existem funcionários negligentes com relação ao tratamento dos dados – (2) se existe alguém mal-intencionado em relação aos dados da empresa;
  • Processos: avalia a possibilidade da utilização de canais de tratamento ineficazes e perigosos para os dados tratados pela empresa;
  • Tecnologia: analisa a eficácia da proteção de dados no âmbito dos hardwares e softwares usados pela empresa. 

3 – Determinação do ciclo de vida dos dados dentro da empresa

A LGPD prevê que a utilização dos dados pessoais deve ter um fim. Em outras palavras, é proibido pela LGPD que você armazene para sempre todos os dados que coleta. 

Desse modo, para que exista um fim na utilização dos dados pessoais, por parte da sua empresa, é necessário, antes, entender todo o caminho que o dado percorre dentro da organização.

Esse processo de compreensão dos caminhos percorridos pelos dados, facilita o entendimento correto de como eles chegarão ao fim.

  • Coleta: de onde vem os dados e em qual formato eles chegam à base de dados da empresa. 
  • Armazenamento: onde os dados são armazenados e como eles são devidamente protegidos.
  • Uso: as formas como os dados coletados dão suporte à empresa, se eles são modificados, se são compartilhados com pessoas fora da organização.
  • Arquivo: após a etapa de uso dos dados eles vão para um ambiente onde são armazenados, caso eles venham a ser reutilizados, ou então, continuarão lá sem o devido uso, isso significa que é hora de eliminar.
  • Eliminação: quando os dados não são mais usados e ficam muito tempo no arquivo sem previsão e necessidade de uso. Além de guardar dados sem necessidade e sem uso, ser ilegal, é custoso para a empresa.  

Leia também: Vazamento de dados traz insegurança para o seu negócio?

4 – Desenvolvimento da cultura de privacidade de dados 

A cultura de privacidade significa que a adequação à LGPD deve estar presente além da empresa enquanto organização. Ou seja, funcionários da empresa precisam estar cientes de conceitos básicos da LGPD, pois todos vão colaborar para o compliance desta Lei dentro da empresa. 

Além disso, o titular de dados pode requerer a qualquer momento, seja em estabelecimentos físicos ou no meio online, informações acerca do tratamento de seus dados. Isso significa que os funcionários devem estar preparados para passarem informações básicas sobre os dados do titular, tais como finalidade, armazenamento, coleta, descarte.

Por fim, é necessário lembrar que o Brasil passa por um forte ataque cibernético e sofre golpes a todo momento. Por isso, a LGPD deve ser vista como uma aliada, para evitar surpresas desagradáveis. 

Achou muito difícil fazer o processo de adequação? Deixe esse problema na mão de um advogado especialista. Solicite um diagnóstico comigo e vamos iniciar um projeto de adequação à LGPD na sua empresa.