Como se proteger em um mundo movimentando pelos dados? Esse foi o principal questionamento que levou à criação da Lei Geral de Proteção de Dados, conhecida como LGPD, que tem sido pauta em todas as empresas, em uma corrida para sua adequação.
Em um olhar preliminar, temos a sensação de que a nova Lei trouxe mais complexidade e não é feita para as micro e pequenas empresas, mesmo que suas regras se apliquem a todos os tipos de empresas, independentemente do seu tamanho e do setor ou se é on-line ou off-line.
Pensando nisso, a Autoridade Nacional de Proteção de Dados (ANPD) e o Ministério da Economia já abriram uma consulta pública sobre o assunto e receberam propostas para o tratamento diferenciado para as micro e pequenas empresas (MPEs) na aplicação da Lei Geral de Proteção de Dados.
Essa consulta pública corrobora o entendimento de que a LGPD vale para todos, mas as precisam de uma aplicação simplificada, pois muitas vezes não possuem condições de desenvolver uma estruturação interna grande e com profissionais dedicados exclusivamente ao tratamento de dados.
Buscando trazer uma implementação prática, destacamos 7 passos que podem ser aplicados às empresas:
1. Entenda como sua empresa trata os dados pessoais: O primeiro passo é entender como sua empresa trata dados pessoais. Comece a refletir sobre como esses dados são coletados (você pede um cadastro? registra uma preferência no site?), que tipos de dados são coletados e o que é feito com eles?
2. Não se esqueça do seu site: A maior parte das coletas de dados pessoais ocorrem hoje pela internet – na prática, o site será o primeiro “lugar” que as pessoas vão procurar para saber mais sobre como a empresa protege os dados pessoais. É importante ter uma Política de Privacidade, Termos de Uso e Condições claros e com finalidades específicas, bem como Formulário de Cadastro ajustados à realidade do cliente que irá se cadastrar e a finalidade que a empresa coletará os dados.
3. Marketing com cuidado: Garanta que os seus clientes possam optar por não receber suas comunicações de marketing e que sejam devidamente avisados sobre isso; Dê acesso às informações sobre o tratamento de dados, utilizando-os somente para as finalidades autorizadas e guardando os dados com segurança; Não adicione automaticamente pessoas à sua lista de e-mails caso não tenha feito um contato inicial ou caso não haja uma relação pré-existente; Não compre mailings e listas de contatos se não tiver base legal legítima e adequada, inclusive questionando os fornecedores sobre sua responsabilidade sobre esse tema.
4. Seja consciente e conscientize seus colaboradores: A realização de treinamentos e ações de conscientização para colaboradores serve para reforçar as políticas e práticas de privacidade e proteção de dados da empresa e são essenciais para a criação e sedimentação de uma cultura de privacidade. Algumas dessas ações podem incluir: realizar treinamentos internos periódicos, trazendo exemplos e relatos de experiências; desenvolver campanhas com cartazes e panfletos espalhados na empresa, bem como incentivar a participação em cursos sobre o tema.
5. Avalie seus fornecedores e parceiros: Para estar em conformidade com a LGPD, sua empresa precisa garantir que seus fornecedores e parceiros também estejam em conformidade com a Lei. Verifique a política de privacidade e práticas de segurança da informação; Confira se os contratos possuem obrigações de proteção de dados; Questione sobre as certificações de segurança da informação que são utilizadas; Investigue se a empresa já foi multada ou já sofreu investigações que ainda não foram resolvidas.
Ainda, sob esta ótica, se adequar pode vir a ser um diferencial competitivo. Uma vez que as empresas somente poderão contratar outras empresas que também estejam adequadas, aquelas que se adequarem mais rapidamente poderão estar em vantagem em relação às demais organizações.
6. Proteja a segurança da informação: Bloqueie os computadores quando estiver fora de seu ambiente de trabalho; Utilize senhas em seus computadores e celulares de trabalho, guardando-as em sigilo e alterando-as periodicamente; Tenha controle de quem acessa as informações nos seus sistemas, definindo responsabilidades e privilégios de acesso. Ou seja, quem pode acessar o que e quando.
Sempre que possível e viável, utilize e armazene dados anonimizados; Somente utilize redes Wi-Fi seguras e confiáveis; Limite o acesso aos dados pessoais àqueles que realmente precisem tê-lo; Diminua o fluxo de documentos de papel levados para fora de seu estabelecimento.
7. Tenha atitude em casos de incidentes: Se houver um incidente envolvendo dados pessoais (e isso significa não só o vazamento de dados, mas todo e qualquer acesso indevido ou não autorizado a um dado pessoal, por exemplo), que possa acarretar risco ou dano relevante aos titulares, a LGPD exige que esse incidente seja comunicado à Autoridade Nacional de Proteção de Dados e, eventualmente, aos titulares. Portanto, se houver qualquer ocorrência envolvendo dados pessoais, não especule se se trata de um incidente. Entre em contato com o seu advogado ou o encarregado indicado pela sua empresa para que esta questão seja avaliada e as medidas corretas sejam tomadas.
É importante criar um plano de trabalho para traçar quais são as questões mais relevantes para a empresa, com base no seu próprio cenário. Estabelecidas as prioridades, faça a implementação gradualmente, siga o plano de trabalho ao longo do tempo, até que a empresa esteja em nível avançado de conformidade.
