LGPD: que boas práticas sua empresa pode adotar para ficar em conformidade com a lei?
De multinacionais a pequenas empresas, a Lei Geral de Proteção de Dados Pessoais (LGPD) impacta todos os negócios brasileiros de maneira semelhante. Aprovada em 2018, a LGPD foi implementada no Brasil para trazer segurança jurídica quanto ao tratamento, armazenamento e coleta de dados pessoais, principalmente no âmbito digital.
Isso significa que se você armazena dados de terceiros na sua empresa - e provavelmente isso acontece com grande frequência - existe uma série de regras que devem ser seguidas para garantir não apenas a segurança das informações, mas a legalidade do negócio.
O órgão responsável por fiscalizar e garantir o cumprimento da LGPD é a Autoridade Nacional de Proteção de Dados (ANPD) que autoriza o Ministério Público, Procon ou qualquer outro órgão de fiscalização em atividade a solicitar à empresa informações sobre como é o tratamento de dados na organização.
Em outras palavras, seu negócio pode ser fiscalizado a qualquer momento, por isso é tão importante entender os principais pontos da lei para garantir que você e sua empresa estejam em conformidade com a LGPD.
O não cumprimento das leis pode resultar em multas de até 2% do faturamento total do negócio, entre outras penalidades como proibição total das atividades relacionadas ao tratamento de dados.
Para não correr esse risco, separei a seguir alguns pontos para você ficar por dentro das obrigações legais da LGPD, confira!
Entender o que a lei considera como “dados”
Para saber se sua empresa está no caminho certo para o cumprimento da lei é necessário, primeiramente, entender o que a LGPD considera como "dados".
São quatro tipos de definições apresentadas no documento: dado pessoal, dado pessoal sensível, dado anonimizado e banco de dados.
Dado pessoal é toda informação relacionada a pessoa identificada ou passível de identificação.
Dado pessoal sensível diz respeito a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização religiosa, filosófica ou política; informações sobre a saúde ou vida sexual do titular, dados genéticos ou biométricos.
Dado anonimizado são informações de titular que não pode ser identificado.
Banco de dados é um conjunto estruturado de dados pessoais, obtidos em um ou vários locais a partir de suporte físico ou eletrônico.
Você precisa de consentimento
A LGPD é clara quanto ao tratamento de dados pessoais: as informações só podem ser utilizadas se houver consentimento do titular que pode ser revogado a qualquer momento se essa for sua vontade.
No entanto, existem algumas exceções para o tratamento de dados sem o consentimento do titular, são elas:
- Para o cumprimento de obrigações legais;
- Pela administração pública;
- Realização de estudos por órgãos de pesquisa;
- Para executar contratos;
Recomendados pelo LinkedIn
- Defender direitos em processos, entre outras exceções previstas na lei.
Atenção para as partes envolvidas
São quatro os agentes envolvidos na coleta, armazenamento e tratamento de dados. Essa etapa é importante para compreender quais as responsabilidades de cada um nesse processo, confira:
Titular: é a pessoa física a quem se referem os dados pessoais;
Controlador: pessoa física ou jurídica (pública ou privada) responsável pelas decisões referentes ao tratamento de dados;
Operador: pessoa física ou jurídica (pública ou privada) que realiza o tratamento de dados em nome do controlador (um funcionário da empresa, por exemplo);
Encarregado: é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre as partes envolvidas no processo, incluindo a ANPD.
Princípios para o tratamento de dados
A LGPD define dez princípios que devem ser seguidos pelas empresas para garantir que os dados sejam utilizados da maneira correta, são eles:
1) Finalidade: é necessário ter um propósito legítimo para coletar, armazenar e tratar dados pessoais, sendo que tudo deve ser informado ao titular;
2) Adequação: o tratamento dos dados pessoais deve ser compatível com a finalidade estipulada;
3) Necessidade: a quantidade de dados armazenados deve ser apenas a necessária para realização das atividades;
4) Livre acesso: o titular dos dados deve ter livre acesso à consulta gratuita e facilitada de seus dados;
5) Qualidade dos dados: os dados devem ser atualizados de acordo com a necessidade e relevância do tratamento, tudo com o consentimento do titular;
6) Transparência: o titular deve saber para que seus dados são coletados e de que forma as informações serão utilizadas;
7) Segurança: a empresa deve garantir a segurança efetiva de todos os dados pessoais;
8) Prevenção: é necessário desenvolver medidas para evitar possíveis ataques na segurança dos dados;
9) Não discriminação: fica proibida a realização de tratamento de dados para fins discriminatórios ilícitos ou abusivos;
10) Responsabilização e prestação de contas: a empresa deve apresentar ao titular medidas eficazes para provar a necessidade do armazenamento de dados bem como as ações utilizadas para garantir a segurança das informações.
Clique aqui para ler a Lei de Geral de Proteção de Dados Pessoais na íntegra.
accountant
3 aMuito bom trabalho