LGPD (Lei de Proteção de Dados): o que é e como se adequar?

Sua empresa está passando pelo processo de adequação à nova Lei Geral de Proteção de Dados? Existem muitas dúvidas sobre como implementar essas mudanças?  A jornada LGPD se trata de um processo que exige uma movimentação de toda a companhia.  Portanto, para esclarecer todas essas dúvidas e também ajudar você no processo de adequação às …

Equipe TOTVS | 02 dezembro, 2020

Sua empresa está passando pelo processo de adequação à nova Lei Geral de Proteção de Dados? Existem muitas dúvidas sobre como implementar essas mudanças? 

A jornada LGPD se trata de um processo que exige uma movimentação de toda a companhia. 

Portanto, para esclarecer todas essas dúvidas e também ajudar você no processo de adequação às novas normas, preparamos este artigo com algumas dicas. Veja e entenda mais sobre como implementar a LGPD!

A importância de se adequar à LGPD

Antes de tudo, é importante entender que o descumprimento das normas que a LGPD impõe pode gerar consequências para a empresa. 

Dependendo da infração, a multa pode chegar a até R$ 50 milhões. Além disso, as novas regras podem ajudar a tornar os dados da companhia mais seguros.

Isso porque o reforço da segurança no tratamento de dados, além de prevenir vazamentos de dados estratégicos, evita ataques de pessoas mal-intencionadas. 

Essa segurança reforçada pode ser um ponto positivo também para construir uma relação de confiabilidade com seus clientes.

Nova call to action

Passo a passo da jornada LGPD 

Para que a implementação das regulamentações da LGPD seja bem-sucedida, é importante seguir alguns passos. Por isso, a seguir listamos algumas dicas que podem ajudar nesse momento de transição:

Definição de dados pessoais

Tendo sido criada para estabelecer regras mais objetivas e transparentes para o tratamento de dados, a LGPD traz outros assuntos relacionados que demonstram a sua importância. 

Diante desse cenário, a anonimização de dados vem como forte aliada sendo capaz de retirar as informações pessoais de uma base de dados.

Além disso, entender a definição de dados pessoais e sua importância, ajudará a explicar os demais conceitos de maneira mais clara e objetiva.

Dado pessoal

Um dado é considerado pessoal quando possibilita a identificação, de maneira direta ou indireta, da pessoa natural por trás dele. 

Neste sentido, alguns exemplos de dados pessoais são: nome, sobrenomes, documentos pessoais (como RG, CPF, passaporte, título de eleitor etc.), endereço residencial ou comercial, telefone, e-mail, endereço de IP, entre outros.

Dado pessoal sensível

Além do entendimento sobre dado pessoal, a lei também inclui a definição de dados pessoais sensíveis. O tratamento destas informações deve atender a regras ainda mais rígidas, diante da maior possibilidade de uso para propósitos lesivos que apresentam.

São dados pessoais sensíveis, de acordo com a LGPD, aqueles que dizem respeito aos valores e convicções de cada um, como orientação sexual, etnia, opinião política, convicção religiosa, crenças filosóficas e informações de saúde.

Princípios da LGPD

Após o entendimento do que de fato é um dado pessoal, as premissas da LGPD, ou Lei n° 13.709/2018, artigo 6° do regulamento, tem alguns direcionamentos fundamentais que precisam ser seguidos. Confira a seguir:

Finalidade

O princípio da finalidade, determina que o tratamento de dados pessoais poderá ser realizado apenas quando for realmente necessário para propósitos legítimos, específicos, explícitos e informados ao titular.

Diante disso, em momento algum, será possível utilizar os dados coletados de modo divergente das finalidades pré-estabelecidas junto aos titulares.

Adequação

Na mesma linha da premissa anterior, o princípio da adequação reforça que o processamento de informações pessoais precisa estar alinhado ao uso que foi inicialmente informado ao titular do dado.

Necessidade

Deve haver a limitação do tratamento dos dados ao mínimo necessário para a realização de suas finalidades. É isso que o princípio da necessidade determina.

Sendo assim, a coleta de informações pessoais precisa ser executada de maneira delimitada, focada nos dados imprescindíveis para a finalidade estabelecida previamente.

Livre acesso

O objetivo deste princípio é garantir, aos titulares, o livre acesso para consultar, de modo simples e gratuito, o tratamento de seus dados pela empresa que os coletou, assim como a integralidade destas informações.

A disponibilização poderá ser realizada de forma física ou eletrônica, sempre que houver a requisição do titular.

Qualidade dos dados

O princípio da qualidade dos dados assegura que os titulares tenham as suas informações pessoais armazenadas com exatidão, clareza e que se mantenham atualizadas.

A LGPD resguarda o direito de correção de dados incompletos, inexatos ou desatualizados. Também leva a empresa detentora dos dados a prestar esclarecimentos sobre as entidades públicas e privadas com as quais os compartilhou.

Transparência

Todas as informações dos titulares devem ser claras, precisas e de fácil acesso, segundo o princípio da transparência.

Eles devem saber como os seus dados pessoais serão tratados e os respectivos agentes de tratamento.

Ou seja, é necessário sinalizar os titulares a respeito de como as informações serão processadas, por quanto tempo ficarão retidas e com quem serão compartilhadas.

Segurança

O princípio da segurança, assim como a criptografia de dados, compreende as medidas técnicas e administrativas que as empresas deverão adotar, a fim de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de perda, alteração, destruição, comunicação ou difusão.

Prevenção

Por sua vez, o princípio da prevenção indica a necessidade de adoção de medidas para prevenir a ocorrência de danos durante o tratamento de dados pessoais.

Neste caso, é importante que as organizações, além de investirem em tecnologia para garantir a segurança das informações, também promovam um alinhamento de processos organizacionais e criem uma cultura de conscientização dos colaboradores, quanto ao trato de informações pessoais de consumidores ou cidadãos.

A finalidade deste tipo de posicionamento é antecipar possíveis riscos e trabalhar para mitigá-los ao máximo.

Não discriminação

O princípio da não discriminação aborda a impossibilidade do tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos.

A LGPD, inclusive, conta com regras específicas para o processamento de informações que costumam ser utilizados de forma discriminatória, classificadas como dados sensíveis, sobre os quais falaremos mais adiante.

Responsabilização e prestação de contas

Entre os princípios da LGPD, está ainda o da responsabilização e prestação de contas. Abordando a necessidade de demonstração pelo agente que captou os dados e adoção de medidas eficazes que comprovem o cumprimento das normas. Inclusive, deve-se demonstrar a eficácia destas medidas.

Isso quer dizer que as empresas precisam prestar contas de que estão alinhadas com todas as diretrizes apresentadas pela LGPD.

consultoria lgpd

Diagnóstico LGPD

Muitas companhias estabelecidas no Brasil ainda têm o seguinte questionamento: como aplicar a LGPD? Para ajudar nesse processo, é preciso conhecer a importância do diagnóstico da empresa.

Um levantamento realizado pela consultoria de riscos ICTS Protiviti indicou que 84% das empresas não possuem um entendimento claro sobre as exigências da lei. 

Segundo o estudo, realizado com a participação de 192 organizações, as companhias têm alguns mecanismos para atenderem à LGPD, mas precisam de foco, maturação e eficiência operacional para ficar em dia com a norma.

Kallyna Lopes Antunes, gerente de projetos de negócios da TOTVS Consulting, afirma que o diagnóstico é o ponto de partida para a adequação. “É quando você descobre como são os seus processos perante a lei e o que você tem que fazer para se adequar”, explica.

Etapas do diagnóstico

Não há como aplicar a LGPD em uma empresa sem o conhecimento sobre a situação atual da companhia no que diz respeito ao tratamento de dados pessoais. 

Neste caso, o diagnóstico funciona como uma ferramenta para avaliação estruturada, cuja finalidade é ajudar a identificar os pontos a serem ajustados e nortear as ações para a adequação à lei.

De acordo com Kallyna, o diagnóstico é composto por três etapas. Saiba mais sobre elas adiante!

Mobilização

Na etapa da mobilização, há uma avaliação da estrutura organizacional. Kallyna explica que estabelecer o cumprimento da LGPD é um processo estratégico corporativo, que deve envolver a empresa inteira. 

Por isso, ela ressalta a importância da participação de todos os colaboradores – líderes e equipes.

Nesta etapa, deve haver a criação de um comitê na companhia, que ficará responsável por analisar a situação atual dos procedimentos internos e definir as próximas ações. O grupo também ajudará a mobilizar as diferentes áreas da empresa ao longo da empreitada.

Inventário de dados

A próxima etapa do diagnóstico consiste no levantamento de um inventário de dados pessoais. É necessário identificar onde estão estes dados.

Por meio de questionários aplicados entre as áreas e colaboradores durante o diagnóstico, o comitê começa a identificar como são coletadas e onde são armazenadas as informações pessoais que a companhia tem em mãos.

Quem utiliza os dados, por quanto tempo ficam retidos e em que formatos, de que forma são manipulados e qual a sua relevância para o negócio são algumas das questões respondidas nesta etapa.

Concluído o processo, é possível que a organização verifique que possui dados pessoais armazenados que estão obsoletos ou já não são mais relevantes para o negócio. Deste modo, pode removê-los de sua base, reduzindo riscos e, adicionalmente, poupando custos de armazenamento.

Análise do inventário e plano de adequação

A última etapa do diagnóstico consiste na avaliação do inventário levantado anteriormente, com a priorização dos pontos mais sensíveis e com maior potencial de risco. Desta forma, começa-se a traçar o caminho para chegar à adequação à LGPD.

O plano de adequação deve definir a implantação de procedimentos e controles, além de prazos e responsáveis, para a empresa realizar a gestão de dados pessoais da maneira mais apropriada.

Ao seguir todas as etapas e se organizar de forma estruturada, a organização acelera o alinhamento às diretrizes da nova legislação e minimiza o risco de incidentes, que podem afetar negativamente a imagem da empresa por meio da aplicação das sanções previstas na lei.

Direitos do titular

Para que a Lei Geral de Proteção de Dados possa dar às pessoas maior controle e consciência sobre a utilização de seus dados, principalmente para uso de empresas, é necessário saber quais são os direitos do titular LGPD?

Com o início da vigência se aproximando, é importante estar ciente do propósito da solicitação dos seus dados feita por qualquer tipo de organização. 

Direitos do titular LGPD

A implementação da LGPD possibilita aos cidadãos acessarem seus dados quando bem quiserem, observando como suas informações estão sendo tratadas e aplicadas, ao mesmo tempo em que têm conhecimento sobre quais empresas contam com os dados.

Por conseguinte, é possível adicionar novas informações, corrigir dados incorretos, revogar o consentimento, deletar dados da base de informações. A seguir, separamos os principais direitos do titular LGPD.

Confirmação da existência de tratamento

O usuário tem plena capacidade de pedir a confirmação de tratamento e acesso aos seus dados, desde a origem da coleta, até os critérios aplicados e a finalidade de sua utilização.

  • Anonimização: é uma técnica de processamento de dados que remove ou modifica informações que possam identificar uma pessoa.

    No tocante à anonimização, a LGPD define como a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.”

    O termo “anonimização de dados” é utilizado para descrever o processo que elimina qualquer tipo de conexão das informações armazenadas que possam ser utilizadas para identificar o titular,

É imprescindível se valer de meios técnicos, além de políticas de privacidade tanto no momento de coleta dos dados quanto no seu processamento.

  • Pseudonimização: substitui o material pessoalmente identificável por identificadores artificiais, codificando mensagens para que apenas pessoas autorizadas possam ler.

Explicação

A LGPD e os direitos do titular dão total liberdade para saber quais outras empresas, sejam elas públicas, privadas ou até mesmo órgãos do governo, terão acesso aos seus dados pessoais.

Correção

Dados que estejam incompletos, errados ou desatualizados podem ser corrigidos. Se o titular mudou de endereço, conta com um novo número de telefone ou atua em um novo cargo ou emprego, ele pode solicitar a mudança.

Eliminação ou revogação de consentimento

Visando sempre sua própria segurança na internet, o titular pode exigir que seus dados sejam eliminados dos arquivos das instituições que desejar. Há ressalvas em algumas operações, que necessitam de informações com fins legais, como transações bancárias.

Consultoria alinhada à adequação

Após todos os conceitos e definições apresentados, fica claro que se adequar à LGPD é um processo que requer atenção.

Além da adequação de processos e tecnologias, as empresas são impulsionadas para a adoção de uma nova cultura, que desperte em seus colaboradores uma nova forma de pensar e agir, em relação à privacidade e à governança de dados.

Neste sentido, a consultoria pode atuar como um parceiro estratégico para mapear as ações necessárias e estruturar um plano de adequação à LGPD que contemple as principais dimensões organizacionais, pessoas, processos e tecnologia.

Além disso, que seja perene no longo prazo, reduzindo assim os riscos de exposição.

Os desafios para a adequação dependem das características de cada negócio e do segmento de atuação.

Contudo, por mais complexa que esta jornada pareça, a partir de um diagnóstico e compreensão de como os dados transitam em seus processos e tecnologias, é possível definir um modelo funcional e técnico para a governança de dados na organização e, a partir disto, desenvolver estratégias para a conscientização de seus colaboradores.

A especialista da TOTVS Consulting Juliana Pauleti explica que a consultoria pode atuar como um parceiro, contribuindo de forma significativa em função de seus conhecimentos prévios de mercado e também por sua isenção em relação aos processos praticados pela empresa que a contrata.

A consultoria pode contribuir de uma forma ampla no diagnóstico para mapear todas os gaps e, por consequência, identificar as ações necessárias para a adequação.

Ou seja, por meio deste mapeamento e entendimento dos modelos e práticas do negócio, é possível identificar todos os elementos capazes de expor a companhia, no tocante às diretrizes da LGPD.

De acordo com a especialista, uma consultoria deve avaliar tanto o ambiente interno quanto o externo de uma empresa. Essa análise ajuda a identificar como os dados transitam nestes ambientes e qual a finalidade e uso dos mesmos e, assim, traçar ações para assegurar a aderência às exigências da LGPD.

Transformação cultural nas empresas

Todo processo de transformação – seja ele em função da adesão de uma nova tecnologia, novos modelos de atuação ou até mesmo atendente a novas exigências legais – é feito por pessoas e para pessoas. Desta forma, neste movimento de adequação à LGPD, é imprescindível atentar-se à cultura organizacional.

Isso significa que os colaboradores precisam tomar conhecimento da LGPD, saber como se comportar ante as diretrizes da lei e, mais do que isto, em função da abrangência do tema, a LGPD precisa ser inserida em todos os atributos que reforçam a cultura.

“As empresas precisam responder rapidamente à LGPD, que já é uma realidade. Processos, tecnologias e pessoas são pilares essenciais e a sinergia entre eles é fundamental para a correta transição”, afirma Juliana.

Quanto antes começar a trabalhar nas revisões e adaptações necessárias, mais tempo a empresa terá para mudar a forma de pensar dos colaboradores. “Não adianta ter [apenas] processos e tecnologias prontos, as pessoas precisam estar prontas também”, pontua.

A especialista reforça que a adequação à LGPD exige uma transformação cultural. “Não dá mais para pegar o currículo de um candidato, deixar na mesa de um recrutador e ir tomar um café. Não dá para criar um mailing ou abrir um canal de suporte sem se preocupar com a LGPD”, enfatiza.

Consultoria LGPD: jornada de adequação

Juliana indicou alguns pilares-chave para a jornada de adequação à nova lei de proteção de dados.

  1. Entender o modelo de atuação / processos da empresa (internos e externos);
  2. Avaliar as tecnologias utilizadas pela companhia;
  3. Mapear onde estão e como são utilizados os dados (compreender a finalidade de uso);
  4. Identificar os gaps e traçar ações para adequação dos processos e tecnologias para reduzir o risco de exposição;
  5. Criar um plano de gestão de mudança para preparar a empresa para o novo e implementar elementos à cultura organizacional com foco em proteção de dados.

A consultoria consegue apoiar as empresas de uma forma abrangente, do diagnóstico à adequação à LGPD. Mas, talvez você esteja se perguntando quanto tempo leva este processo.

Juliana explicou que a duração depende não só do trabalho realizado pela consultoria, mas também do contexto organizacional e da velocidade com que a empresa responde a mudanças. Ou seja, conta muito o quanto a organização está engajada na adequação.

Conclusão: governança de dados, um processo contínuo

Além de criar um plano de adequação, a consultoria consegue criar um modelo de governança de dados para que a empresa continue a jornada de forma mais autônoma no futuro.

A TOTVS Consulting, por exemplo, realiza em um primeiro momento o entendimento do contexto de adequação da empresa: quais medidas/processos estão dentro do esperado, que mudanças já estão sendo implementadas e, claro, o que ainda precisa ser feito.

Deste modo, consegue elaborar um plano de transição para que a companhia se adeque às regras impostas pela LGPD.

Juliana reforça a necessidade de haver na empresa uma pessoa encarregada de garantir que a implantação esteja acontecendo.

Mais do que adequar as práticas existentes à lei, é preciso assegurar que processos futuros, novos produtos e tecnologias tenham a LGPD como “pano de fundo”. Isso significa que a atenção deve ser contínua.

Bem, diante do que foi exposto, você percebeu que é importante antecipar a adequação da sua empresa para que o mindset voltado à proteção da privacidade e governança de dados se consolide o quanto antes.

Mas, não se preocupe. A TOTVS Consulting pode ajudar o seu negócio ao longo desta jornada! Para saber mais sobre os serviços oferecidos pela nosso consultoria, acesse o nosso site.

Artigos Relacionados

Deixe aqui seu comentário

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Comentários deste post

  1. Bianca Alves diz:

    Adorei essa matéria, esse blog é muito interessante, parabéns. <a href="https://www.okadvogados.com.br/" rel="nofollow ugc"> Advogado Araranguá </a>

  2. DPO: O que é? Qual sua importância para se adequar a LGPD? - ProMove diz:

    [&#8230;] o cumprimento da LGPD em matéria de proteção de dados e das políticas de proteção de dados, incluindo a atribuição de responsabilidades, a sensibilização e a formação do pessoal [&#8230;]

  3. Alan Amorim diz:

    Olá, Milton. Agradeço as suas colocações, o time tem constantemente feito materiais que saem pelo https://espacolegislacao.totvs.com/ Inclusive, vamos ter uma série bem interessante através do link https://espacolegislacao.totvs.com/totvs-responde/ para tirar dúvidas. Mas obrigado, vou pedir para os especialistas atualizarem.

  4. Santhiago diz:

    De que forma a LGPD afeta a minha rede WIFI_GUEST?

  5. Alan Amorim diz:

    Olá, Santiago Acredito que iremos abordar esse assunto nos nossos próximos eventos. Participe gratuitamente através do https://espacolegislacao.totvs.com/totvs-responde/ e tire suas dúvidas.

  6. Milton Shunji Kojima diz:

    Achei muito bem estruturado o assunto LGPD que devido à pandemia do novo Corona virus foi adiada a data de entrada em vigor. Sugiro mencionar que as empresas devem se preparar/desenvolver sistemas para disponibilizar aos titulares de dados os dossiês simplificados (imediatamente) ou dossiês completos (até 15 dias). Alem disso, na questão da multa, incluir a porcentagem de 2% do faturamento bruto anual, limitado a cinquenta milhões de reais por ocorrência.

  7. CESAR FERNANDO BRAGHETTO diz:

    Importante esta lei mas precisa ser levada a sério. Se usamos algo de graça como Facebook ou outra rede social somos o produto para ter nossos dados disponíveis mas tudo precisa ser protegido

  8. Alan Amorim diz:

    É isso aí, Cesar. Mexer com dados pessoais é de extrema responsabilidade. A Lei é dura e deve ser cumprida. Mas devemos tomar muito cuidado com o que postamos nas redes sociais.

  9. DANIRA diz:

    Desejo me inteirar da LGPD PARA ATUAR NESSA ÁREA Grata

  10. Alan Amorim diz:

    Olá, Danira! Te convido a acompanhar o blog, pois o nosso time sempre está atualizando as informações sobre essa temática. Alguns dias atrás fizemos um webinar voltado especialmente para LGPD. Nos acompanhe que vêm mais por aí.

  11. Thiago Sousa diz:

    Amei tudo isso

  12. Alan Amorim diz:

    Que bom, Thiago! Essa lei realmente dá mais segurança para o titular dos dados e mais responsabilidade para as empresas que tem acesso a eles. Isso evita tanta dor de cabeça :)

Usamos cookies para fornecer os recursos e serviços oferecidos em nosso site para melhorar a experência do usuário. Ao continuar navegando neste site, você concorda com o uso destes cookies. Leia nossa Política de Cookies para saber mais.