A Lei Geral de Proteção de Dados (LGPD) representa um grande marco para as empresas de tecnologia e principalmente para aquelas que dependem de dados para operar. Ela regulariza todo o processo, da coleta até o uso, e permite desenvolver mais inovação, graças ao princípio de que o consumidor é o dono de seus dados.
A medida entrará em vigor em agosto do próximo ano. Apesar do curto espaço de tempo que ainda resta, muitas empresas não começaram a se preparar para as mudanças. Mais precisamente, 85% das empresas brasileiras afirmaram que ainda não estão prontas para cumprir a LGPD, segundo pesquisa da Serasa Experian.
Se você não sabe muito bem o que precisa avaliar e mudar na sua empresa, reuni aqui neste artigo os seis passos para proporcionar melhor entendimento sobre seus dados e te ajudar a identificar brechas que podem resultar em processos.
Passo um: que tipo de empresa é a sua?
A lei define os agentes responsáveis pelo tratamento dos dados como controlador ou operador, o primeiro passo a se fazer é o mapeamento dos dados para entender de qual tipo de dado você é: controlador e/ou operador. Essa definição tem um impacto muito profundo sobre a informação que você coleta ou tem acesso, porque você só pode coletar o que de fato vai usar. Os titulares sempre precisam saber a finalidade do uso dos dados, compreender claramente quem é o encarregado, como entrar em contato com ele, por quanto tempo os dados serão armazenados e para quem o controlador irá compartilhar as informações. Se esses pontos não ficarem claros, haverá gaps para fiscalização e denúncia de usuários. É importante ter em mente também que o dono do dado é sempre uma pessoa física, identificado ou identificável e não a empresa que coletou a informação.
Passo dois: dados sensíveis x dados pessoais
É importante entender que a LGPD divide os dados em duas categorias e os trata de diferentes maneiras: pessoais e sensíveis. O dado pessoal é a informação relacionada diretamente à identificação da pessoa como RG, CPF, passaporte. O dado sensível tem a ver com características específicas das pessoas, como origem racial, convicção política ou religiosa, filiação a sindicatos, problemas de saúde, rotina sexual, características genéticas, ou seja, dados que abrem margem para discriminação, e que podem prejudicar de alguma maneira as pessoas por conta de preconceitos. Se sua empresa lida com dados sensíveis você precisa ter níveis de segurança mais criteriosos. Uma boa prática é criptografar esses dados a nível lógico e físico e também é imprescindível aplicar controle de acesso sobre tudo, para garantir que só quem realmente precisa do dado tenha acesso a ele.
Passo três: controle acesso
E falando sobre acesso, aí entra outro ponto importante para se adequar e entender melhor a LGPD. Hoje em dia, depois de o mundo presenciar tantos vazamentos do Facebook, é muito difícil falar sobre uso de dados e LGPD e não lembrar dos erros da rede social. Lembro bem quando, no ano passado, foi divulgado que um funcionário do Facebook estava usando seu acesso para monitorar as conversas privadas de uma ex-namorada. Um caso sério de abuso. O ocorrido reforça a importância de implementar um controle de acesso firme e bem definido. Por exemplo, aqui na Transfeera, entendemos que não faz sentido um vendedor ver dados de algum pagamento de um cliente. Como funciona na sua empresa? Quem tem acesso precisa mesmo dessas informações?
Passo quatro: retenção de dados
Na mesma linha do que vimos nos outros passos, faça um levantamento sobre o período de tempo que você retém os dados, onde eles ficam armazenados e qual o motivo de armazenar. Vou dar mais um exemplo a partir da nossa realidade aqui. Na Transfeera precisamos armazenar os comprovantes de um pagamento por 5 anos porque assim determina o BACEN, um órgão regulador que sempre se sobrepõe à LGPD. Sua empresa sabe porque e deixa claro para o cliente que os dados serão armazenados?
Passo cinco: contratos
Os contratos, termos de uso e política de privacidade precisam de injeções legais, referente à proteção de dados, como falamos no exemplo há pouco. Entenda minuciosamente seus motivos, não capte informações que não serão usados, não armazene além do necessário, não dê acesso para toda empresa. E, muito importante também, deixe claro no contrato com o cliente o que será feito, todas as etapas e processos, e que ele poderá requisitar seus dados a qualquer momento. Não crie contratos longos com armadilhas para que o cliente não leia e apenas assine. No final isso só vai prejudicar o seu negócio.
Passo seis: ponto focal
Por último, mas não menos importante, toda empresa precisa determinar quem é o encarregado pelos dados, este pode ser interno — uma pessoa ou um comitê — ou um encarregado externo – pessoa jurídica. Essa pessoa deve conhecer todos os passos que listamos aqui, entender bem os motivos para sua empresa captar os dados, estar amparada em legislação e ser capaz de identificar os gaps e resolvê-los. Depois disso tudo, você sente que está pronto para LGPD?