11 questões sobre Lei Geral de Proteção de Dados que vão te ajudar a começar a adequar a sua empresa!

No post anterior aqui do blog (https://vaneskadonato.adv.br/quais-sao-os-impactos-da-lei-geral-de-protecao-de-dados-lgpd-sobre-o-marketing-do-seu-negocio/), nós falamos sobre como a Lei Geral de Proteção de Dados pode impactar o marketing da sua empresa.

Esse post acabou gerando uma série de outras perguntas sobre a adequação das empresas à LGPD no que tange aos mais diversos aspectos, e como dar início nesse processo de adequação, especialmente quando se trata de empresas de pequeno porte, e que não possuem um capital expressivo para investir nesse processo.

Com isso, preparamos o texto de hoje para abordar, de forma bastante assertiva, como você pode começar a adequar a sua empresa da melhor maneira possível.

Não deixe de acompanhar até o final.

1. Qualquer empresa, de qualquer porte, deve se adequar à Lei Geral de Proteção de Dados?

Essa é a pergunta mais recorrente no que tange à adequação das empresas à Lei Geral de Proteção de Dados: meu negócio é classificado como microempresa. Tenho mesmo que me preocupar?

A resposta é sim!

A LGPD não fez diferença entre os portes das empresas, então a lei se aplica a todas elas, e, da mesma forma, às pessoas físicas que eventualmente façam tratamento de dados.

É possível que surjam alterações da norma para minimizar os rigores da lei em relação a pequenas empresas, o que não significa, entretanto, que deixará de ser aplicada no que tange a elas.

Assim, não perca tempo e comece a estudar sobre esse assunto para se planejar!

2. Todas as empresas fazem tratamento de dados?

A resposta também é positiva.

Os dados pessoais mencionados pela LGPD são informações de clientes que são fornecidos à empresa em algum momento, seja para solicitar uma informação, um orçamento ou mesmo para firmar um contrato para venda de um produto ou serviço.

O tratamento de dados é a forma como esses dados são utilizados, e abrange a coleta, arquivamento, utilização para fins de marketing e qualquer outro tipo de ação.

Dessa forma, não existe atividade empresarial sem o tratamento de dados pessoais e todas as empresas terão que adotar medidas adequadas, inclusive administrativas e técnicas, como segurança da informação, para possibilitar que dados de terceiro permaneçam em segurança.

3. Quais são os dados protegidos pela LGPD?

Todos aqueles que identifiquem seu usuário, pessoa física, de forma direta ou indireta.

A título de exemplo, são dados pessoais o número da Cédula de Identidade RG, o número da Inscrição no CPF, endereço, renda, hábitos de consumo, navegação na Internet, entre outros.

Dentre os dados pessoais há uma esfera mais restrita ocupada pelos dados sensíveis, que se referem à origem racial ou étnica, convicções religiosas, saúde, entre outros aspectos de ordem íntima do titular. Esses dados exigem ainda mais cuidado para armazenamento, e consentimento específico para que possam ser tratados pela sua empresa, a menos que sejam destinados ao cumprimento de obrigações legais, políticas públicas, estudos de órgãos de pesquisa, direitos específicos, proteção da vida ou integridade física, e para prevenir eventuais fraudes contra seu titular.

Os dados não abrangidos pela LGPD são os dados anonimizados, e que, justamente por isso, não identificam o seu titular. A Lei Geral de Proteção de Dados define que só serão considerados anonimizados aqueles dados cuja pessoa que era titular não pode mais ser identificada de forma alguma. O Google, por exemplo, afirma utilizar dados dessa forma em análises para desenvolver novos produtos e recursos.

Além disso, os dados públicos (disponíveis em órgãos públicos e de acesso generalizado) podem ser utilizados sem o consentimento do titular. A par desse fato, caso esses dados sejam coletados pela sua empresa, e você queira compartilhá-los de algum modo, deverá solicitar consentimento específico para que isso possa ser realizado.

4. O que significa o acesso facilitado a dados garantido aos seus titulares?

De acordo com as normas trazidas pela Lei Geral de Proteção de Dados, os usuários devem ter acesso facilitado às informações de bancos de dados mantidos pelas empresas.

Eles têm direito a saber quais dados estão armazenados, e a solicitar ajustes ou mesmo remoção de informações, sempre que julgarem necessário. Isso quer dizer que se um usuário ou cliente forneceu dados pessoais para a sua empresa, ele tem o direito de solicitar a remoção dessas informações. A remoção pode ser completa ou parcial.

Para evitar qualquer tipo de problema no que tange a essa questão, é importante que a sua empresa esteja preparada para atender esse tipo de solicitação de maneira rápida e efetiva. É essencial contar com canais de comunicação adequados e que sejam eficientes no atendimento do público.

Também é importante investir em políticas internas para conscientização da sua equipe, inclusive os colaboradores que possuem acesso às informações de terceiros. Além de criar um documento específico para esse assunto, é importante fornecer treinamento prático para que todos saibam fazer o atendimento correto desse tipo de solicitação. O equívoco por parte de qualquer um deles sujeitará a sua empresa a multas e ao abalo reputacional.

5. Minha empresa não tem site. Preciso me adequar à Lei Geral de Proteção de Dados?

Sim!

A LGPD não é específica para negócios online, ao contrário do que muita gente acredita.

A coleta de dados pode ser por meio de acesso ao site da Internet e a aplicativos para celular, mas também pode ser feita mediante preenchimento de formulário em papel, o que normalmente acontece em consultórios médicos, clínicas veterinárias e hospitais, por exemplo.

Se o seu negócio ainda não é digital, você precisará preparar termos de consentimento e outros documentos impressos para que os seus clientes possam assinar.

6. O que é mapeamento de dados, de acordo com as disposições da Lei Geral de Proteção de Dados?

Normalmente, o trabalho que uma assessoria jurídica faz com relação à adequação de uma cliente à LGPD começa com um mapeamento de circulação dos dados dentro da empresa, com escopo de entender o ciclo de vida, isto é: como eles entram na empresa, para que são utilizados e quando são descartados.

Dessa análise decorre uma planilha de mapeamento de dados, que deve refletir o caminho percorrido pelo dado pessoal dentro da empresa, incluindo os processos e os procedimentos pelos quais o dado deve passar.

Um dos principais objetivos do mapeamento de dados é diagnosticar a forma como a sua empresa lida com a privacidade e a segurança da informação de seus clientes, colaboradores e parceiros terceirizados. Com isso é possível identificar as falhas e propor algumas soluções.

Normalmente, constam do mapeamento de dados as seguintes informações: tipo de dados, volume de dados, etapas do fluxo de dados, tecnologias utilizadas, locais de armazenamento, origem dos dados e canais de captura de dados (site, aplicativo, estabelecimento físico, SAC, etc), exercício de direito por parte dos titulares, controles de segurança da informação, retenção e extinção de dados, política de privacidade, base legal, transferência internacional de dados, empresas coligadas, compartilhamento de dados com parceiros e campanhas de marketing.

Do ponto de vista prático, o que ocorre é que o advogado apresenta uma planilha a ser preenchida pela empresa e tece as suas orientações a partir dessas informações. É muito importante que o próprio empresário preencha as suas informações, uma vez que ele é a pessoa que conhece com maior profundidade o seu próprio negócio. Ao advogado cabe a interpretação jurídica dessas informações.

A assessoria jurídica também fornecerá uma orientação quando aos dados que devem ser coletados e mantidos pela sua empresa. Quando definir ações para captar novos contatos ou obter informações específicas sobre o público, é importante focar no que realmente importa para que a sua comunicação seja efetiva. Manter dados desnecessários representa um risco a ser evitado pela empresa.

Além disso, quando solicitar os dados, é importante explicar quais serão as ações realizadas e porque esses dados estão sendo coletados. Jamais utilize dados para marketing se você não avisou o cliente ou usuário sobre essa destinação.

A permissão pode ser solicitada por meio de processos de opt-in ou então de dupla confirmação (double opt-in). Em linhas bem gerais, o opt-in é um processo de permissão simples, que é ofertado quando o usuário preenche um formulário. Já no caso da dupla confirmação, ao se cadastrar em formulários, landing pages ou pop-ups, o usuário terá que autorizar o recebimento de suas comunicações novamente. Esse tipo de confirmação é realizado a partir de um envio de e-mail para o usuário.

7. Mapeamento de dados e mapa do impacto de risco são a mesma coisa?

Não!

Mapeamento de dados, como vimos no item acima, é o mapeamento do fluxo de dados pessoais dentro de uma empresa. O mapa do impacto de risco é mais profundo.

Entendido o caminho pelo qual os dados “caminham” dentro da empresa, a adequação à Lei Geral de Proteção de Dados exige a elaboração de um mapa de impacto de risco de proteção de dados, o qual será elaborado pela assessoria jurídica contratada para esse fim específico.

Com efeito, todas as áreas de uma empresa têm acesso a dados pessoais, de modo que é necessário fazer esse mapa para avaliar os quesitos que precisam ser alterados em cada área específica, e passar ao plano de ação.

Se a sua empresa é de pequeno porte, esse procedimento será realizado de forma simplificada, a partir de um relatório sucinto que lhe será apresentado pelo advogado, antes que ele inicie as correções que precisam ser aplicadas à sua empresa.

8. Por que é necessário fazer treinamentos com a equipe para proceder à adequação à Lei Geral de Proteção de Dados?

É muito importante entender que a adequação à LGPD depende de mudança de hábitos internos da empresa.

Não adianta alterar o que está em desacordo com a LGPD e não mudar a cultura da empresa! Se não houver a instrução sobre os novos parâmetros, a lei será constantemente violada na sua empresa. Por exemplo, muito pouca relevância tem você criar um termo de uso e política de privacidade se os seus empregados não solicitam a sua assinatura por clientes e usuários. Também não há proveito em alterar os modelos de contrato se os seus colaboradores frequentemente assinam outros tipos de instrumento sem a devida análise, e assim sucessivamente.

Pense em investir seu tempo em treinar seu pessoal para boas práticas no que tange ao tratamento dos dados pessoais. Todos precisam entender a importância da adequação e as consequências de não atuar em sua conformidade.

9. É realmente necessário ter um DPO – Data Protection Officer – em minha empresa?

Sim!

A lei exige que haja um encarregado de dados ou DPO (Data Protection Officer) na sua empresa, ou seja, o profissional que será responsável pelo seu relacionamento com todas as partes interessadas no tratamento de dados, isto é, colaboradores, titulares dos dados, sociedade, fornecedores e ANPD.

O encarregado é, assim, uma pessoa física que o controlador (aquele que coleta as informações e define como será o tratamento de dados) irá indicar como canal de comunicação com as autoridades.

O DPO deve entender de tecnologia, mas também de leis e comunicação. Da mesma forma, deve estabelecer um bom diálogo com todos que de algum modo participam da empresa, e estar preparado para fornecer treinamentos e orientações sempre que necessário.

Há várias formas de manter um encarregado de dados na sua empresa.

Uma delas é eleger alguém que já trabalha com você, e tenha interesse de estudar sobre esse assunto, e, de preferência, fazer cursos de qualificação. Outra maneira, que tem sido a opção de muitos empresários, é contratar um DPO externo. Esse DPO não precisa trabalhar de maneira exclusiva para a sua empresa, o que reduz significativamente os custos a serem suportados a esse título.

Importante destacar, igualmente, que o encarregado de dados não precisa ter formação jurídica, e nem precisa ter qualquer tipo de curso específico para poder atuar na área. Basta que tenha interesse e dedicação ao tema.

10. O procedimento de adequação à LGPD é padronizado para todas as empresas?

Não!

A adequação da sua empresa deve levar em consideração também o seu modelo de negócio.

Têm empresas prestando atenção e destinando recursos para quesitos que não são essenciais para elas nesse primeiro momento. O ideal é seguir as prioridades de cada uma.

Da mesma forma, o termo de uso e política de privacidade a ser redigido para a sua empresa será personalizado de acordo com a atividade por ela desenvolvida. Esse termo é o documento com o qual os usuários devem concordar para que você possa fazer o tratamento de seus dados pessoais. Igualmente se procede com relação à política de compliance, com os contratos (inclusive os de trabalho) e demais documentos que a sua empresa precisar.

11. Quais as consequências de não promover a adequação da minha empresa à LGPD?

Nos termos da Lei Geral de Proteção de Dados, a não observância das normas pode levar a multas de até 2% (dois por cento) do faturamento, com o limite de R$ 50 milhões por infração.

A fiscalização da Lei é competência da ANPD (Agência Nacional de Proteção de Dados), assim como também lhe compete orientar como será feita a aplicação da lei. Isso não significa, porém, que apenas a ANPD pode fazer essa fiscalização. Ela também pode ser realizada pelo Poder Judiciário de forma geral, bem como por órgãos de proteção de direitos do consumidor e pelo Ministério Público.

A imposição de pesadas multas já têm sido noticiada frequentemente pelos órgãos de comunicação, mas, ainda mais importante do que evitar multas, é primordial afastar o abalo de reputação que a sua empresa pode sofrer se for reconhecida pelo mercado como uma empresa que não respeita a privacidade de dados. Você não vai querer que isso aconteça com a sua empresa, correto?

Agora que você leu a resposta para as 11 principais perguntas relacionadas com a proteção de dados pessoais, me conta: como você está planejando iniciar a adequação da sua empresa à LGPD? Você já tomou alguma providência nesse sentido?

Fale agora com um Advogado