Desde que a Lei Geral de Proteção de Dados entrou em vigor, em setembro de 2020, muito se tem falado da importância de segui-la. Mas o que sua empresa precisa fazer para ficar em conformidade com a LGPD na prática?
Responder a essa pergunta é o objetivo primordial deste guia. Então, acompanhe com a gente a leitura.
Iremos apresentar a partir de agora um checklist contendo os principais aspectos da proteção de dados proposta pela lei e as diretrizes para sua empresa se adequar à LGPD na prática.
Desde já, vale deixar claro que para se adequar à LGPD na prática é imprescindível estudar a fundo a lei, entendendo sua abrangência.
Nesse estudo, é preciso entender quais são as obrigações legais da sua empresa, levando-se em conta as atividades que ela desempenha e os tipos de dados com que ela lida.
Vamos verificar se sua empresa está em conformidade com a LGPD na prática? Siga com a gente!
Há o costume de fazer o mapeamento de dados na empresa?
É preciso ficar atento ao trajeto percorrido pelos dados dentro da organização. Essa observação deve acontecer desde a coleta, passando pelo uso, compartilhamento, arquivamento e finalizando na eliminação dos dados.
Outro ponto importante a ser considerado no mapeamento diz respeito a identificar quais setores da empresa tratam o maior volume de dados e qual é o tipo desses dados.
Por fim, é fundamental apurar com quem a empresa compartilha dados e por que o faz, assim, é possível ter um melhor controle deles.
O cumprimento da LGPD realmente está ocorrendo na prática?
A lei determina as responsabilidades da empresa na garantia da proteção de dados.
Por conta disso, a organização deve estar sempre atenta à sua conduta; se está de fato se adequando à LGPD na prática.
Para isso, o empresariado deve dar atenção especial a:
- Coleta e armazenamento apenas dos dados essenciais para que a empresa consiga prestar os serviços de maneira eficiente;
- Transparência na coleta, no tratamento das informações, na finalidade delas, no período em que elas serão usadas e nas medidas de segurança utilizadas pela empresa para preservar esses dados;
- Medidas de proteção contra vazamento de dados, especialmente os sensíveis (orientação sexual, origem racial, crença religiosa).
Na busca pela aplicação correta das diretrizes da LGPD, é importante considerar também os seguintes pontos:
- Que tipos de dados a sua empresa costuma coletar?
- Por qual motivo esses dados são coletados?
- Quem é responsável por fazer essa coleta?
- Onde essas informações são armazenadas?
- Quem irá utilizar esses dados?
- Quando e por que eles serão utilizados?
- Há transparência com o consumidor e autorização por parte dele para que esses dados sejam usados?
Há transparência no relacionamento com o titular dos dados?
O titular dos dados deve estar ciente da finalidade da coleta e do tratamento de seus dados.
Além disso, é importante estabelecer um canal de comunicação com o titular, de forma que ele autorize o uso de suas informações para fins específicos.
Para ficar mais fácil de entender essa situação, vamos recorrer a um exemplo: o cliente pode autorizar a empresa a lhe enviar e-mails, mas desautorizá-la a enviar WhatsApp semanalmente.
Por meio desse canal de comunicação, o cliente poderá ainda cancelar, quando quiser, as informações concedidas anteriormente.
Existe uma gestão de acesso aos dados?
Outra maneira de garantir a proteção de dados, seguindo a LGPD na prática, é criando uma gestão de acesso às informações da empresa.
Para esse fim, é importante desenvolver uma política de controle de acesso aos dados, limitando essa permissão a quem realmente precisa lidar com as informações da empresa.
É importante também preocupar-se com a transparência total de quem acessa os dados e por que o faz.
Para fazer uma gestão de acesso bem-feita, vale a pena investir em ferramentas de autenticação segura e proteção de credenciais.
O armazenamento e a eliminação de dados são tratados com a devida importância?
Um dos pontos-chave da LGPD na prática refere-se a garantir o armazenamento seguro dos dados — estejam eles no formato físico ou digital — que estão sob responsabilidade da empresa.
Para proteger efetivamente essas informações, é importante investir em ferramentas de proteção contra acesso indevido, roubo, cópia, perda e destruição de dados.
É fundamental também desenvolver e aplicar um plano de backup e recuperação de desastres.
Outra medida essencial para o armazenamento e a eliminação de dados é estabelecer prazos para armazenar as informações, contando com uma eventual necessidade de eliminá-las.
Por fim, é imprescindível garantir que a eliminação de dados aconteça de forma segura, preservando o sigilo das informações.
Sua empresa é protegida contra ataques virtuais?
Invista em uma política de segurança da informação adequada, lançando mão de códigos de conduta, ferramentas de proteção e promovendo treinamentos com a equipe.
Dê uma atenção especial aos endpoints (parte da estrutura da segurança de rede), e-mails e redes e analise com frequência eventuais vulnerabilidades do sistema.
Realize simulações de ataques, de forma que fique fácil para a equipe diagnosticar as ameaças mais comuns.
Seu time sabe lidar com incidentes que afetam a segurança de dados?
Sua equipe deve estar preparada para lidar com incidentes relacionados à segurança dos dados. Nesse sentido, é preciso criar um plano de resposta e treinar o time responsável por analisar e reduzir o problema.
Resolver eventuais incidentes exige ainda que se criem canais com os titulares dos dados e com a Autoridade Nacional de Proteção de Dados (ANPD) para ocorrências emergenciais.
Criar protocolos para avaliar possíveis danos aos titulares é outra medida essencial para lidar com eventuais dificuldades que comprometam a segurança dos dados que estão sob o poder da empresa.
É importante também definir com antecedência modelos de comunicação de incidentes que serão enviados aos titulares dos dados, à ANPD, aos diferentes setores da empresa, aos investidores e à imprensa.
Existe um acompanhamento contínuo da proteção de dados na empresa?
É preciso fazer um monitoramento periódico e atualizar, sempre que possível, os processos de proteção de dados.
Mantenha-se atento a novas leis e regulamentações de proteção de dados.
E assim vamos chegando ao fim de mais um guia. Com os pontos que abordamos aqui, é possível entender melhor a aplicabilidade da LGPD, não é mesmo?
Uma última dica: com a plataforma OneTrust, fica mais fácil manter as operações da sua empresa em conformidade com a LGPD na prática.