Especialistas listam os passos que sua organização precisa assumir para não herdar dores de cabeça quando a LGPD entrar em vigor em 2020.
Hoje em dia, a maior parte das empresas, de pequenas a gigantes, em alguma frente de seu negócio, recebe algum tipo de dado do seu cliente – desde um nome e data de nascimento chegando a informações sensíveis, como o número do cartão de crédito, caso bem comum nas companhias de e-commerce, por exemplo.
Se é o caso da sua empresa, então a LGPD – Lei Geral de Proteção de Dados – é para você, e ela começará a valer a partir de 16 de agosto do ano que vem. Inspirada na GDPR (General Data Protection Regulation ou Regulamentação Geral de Proteção de Dados), da União Europeia, a lei brasileira define como as empresas devem tratar, a partir do marco zero, dados de cidadãos brasileiros, e como devem se preparar para evitar vazamentos e que esses dados caiam em mãos erradas, como as dos criminosos digitais.
A partir da vigência da lei, companhias que a infringirem poderão ser, dependendo da infração, advertidas ou receber multas até 2% do faturamento, limitada, no total, a R$ 50.000.000,00.
1. Organizar a base de Dados Interna
O primeiro passo é fazer uma varredura de quais dados de pessoas física a empresa dispõe hoje. A LGPD descreve dados pessoais como qualquer informação relacionada a uma pessoa natural identificada ou identificável, e inclui cookies. Vale ressaltar que alguns dados requerem atenção especial, tais quais os classificados como sensíveis, que identificam a origem racial ou étnica, religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas, sobre a saúde do indivíduo ou relacionada à vida sexual.
Posteriormente, é preciso organizar a base, o que realmente é útil à empresa, o que não se refere ao negócio e o que pode ser desconsiderado. A partir daí terá a real visão de quais dados têm em casa.
2. Selecionar o enquadramento legal
A LGPD estabelece 10 princípios diferentes para as companhias continuarem tratando dados pessoais. Do ponto de vista de negócios comerciais, os maiores enquadramentos são Interesse Legítimo e Consentimentos Legítimos. A companhia precisa se adequar a um desses fundamentos legais para prosseguir.
3. Definir um modelo de autorização para obtenção dos dados
Se a opção é para coletar consentimentos, é preciso obter uma maneira para ter essa autorização, já que a Lei compreende que o consentimento é um “pronunciamento livre, informado e inequívoco por meio do qual os titulares de dados concordam com o processamento de seus dados pessoais para um propósito específico”.
4. Investir em cibersegurança
Independente do tamanho ou segmento da empresa, há sempre algumas proteções necessárias para evitar invasões e vazamento de dados. “Quanto mais sensíveis os dados, mais sofisticada tem que ser a barreira para evitar os ciberataques”. Além da medida ampliar a segurança da empresa, a lei também prevê que a adoção de política de boas práticas seja considerada como critério atenuante das infrações.
5. Nomear um responsável
Algumas companhias, especialmente as maiores ou cujo tratamento de dados seja o core business também poderão ter de nomear o “Encarregado de Proteção de Dados”, DPO (Data Protection Officer), que terá a função de monitorar e conscientizar os funcionários no tema da proteção de dados, assim como será a interface com a Autoridade Nacional de Proteção de Dados.
Faça o seu Diagnóstico com a Duplo foco!!
