1. Entenda o fluxo de informações dentro da sua empresa
O primeiro passo para se enquadrar à LGPD é entender o fluxo de informações e dados pessoais dentro da sua empresa. Ou seja, onde, como e quais dados de usuários, clientes, parceiros e funcionários são coletados, usados e armazenados.
Um exemplo simples. A sua empresa é da área de saúde. Os pacientes preenchem uma ficha à mão com dados pessoais, como nome e telefone. Depois um funcionário da empresa passa esses dados para um sistema no computador.
Por fim, outra pessoa da empresa, como um médico ou um auxiliar administrativo, pode ter acesso a esses dados. Este é o princípio de um fluxo de informações. A sua empresa precisa de algo assim, mas mais amplo, detalhado e completo.
2. Escolha uma pessoa para ser a responsável pelos dados
A LGPD determina que as empresas criem a posição de DPO (Data Protection Officer). A lei chama o DPO de “encarregado”. O DPO é a pessoa responsável na empresa por intermediar a operação e o processamento dos dados.
Dentre as funções do DPO estão, por exemplo, orientar os funcionários da empresa sobre a política de segurança da informação e atuar como canal de comunicação entre a empresa, os donos dos dados e também a autoridade nacional.
A lei, no entanto, diz que a ANPD pode editar normas que dispensem a função de DPO dependendo do tamanho da empresa ou volume de processamento de dados.
3. Colete apenas informações essenciais para o seu negócio
A lei reforça muito a questão dos dados essenciais, ou da minimização da coleta. Isto quer dizer que a sua empresa deve coletar apenas informações que tenham real importância para o seu negócio.
Por exemplo, a LGPD considera inaceitável se, ao preencher o cadastro de uma loja de tênis, você seja obrigado a informar a sua origem étnica. Outro exemplo: algumas religiões não permitem tranfusão de sangue.
Sob a lei, o hospital ou clínica deve perguntar apenas se o paciente aceita fazer transfusão sanguínea; e não qual é a religião dele.
4. Seja direto em relação ao tempo de uso dos dados
Um conceito importante que deve ser levado em consideração quando o assunto é LGPD é o de término de tratamento dos dados. Segundo a lei, as empresas precisam definir um tempo de vida útil dos dados.
Ou seja, o término do tratamento de dados pessoais deve acontecer, basicamente, quando o objetivo estipulado pela empresa foi alcançado.
Passado esse período, sempre que possível, a informação deve ser anonimizada. Ou seja, ela deve ser desvinculada do dono, de modo que nunca possa se descobrir quem era o proprietário de tais informações.
5. Adeque o seu site e qualquer outro ponto de coleta de dado
A LGPD obriga que a sua empresa seja transparente. Na prática, você precisa deixar claro para o usuário quais são as suas intenções ao coletar e usar determinados dados. Além disso, ele precisa concordar com isso.
Vamos a mais um exemplo. Se você utiliza diferentes cookies no seu site para coletar qualquer tipo de informação do usuário, isto precisa ficar bem claro e evidente, e ter o consentimento dele. Só utilizar aquela típica frase “Ao usar este site você aceita cookies” já não é mais suficiente.
Sob a LGPD, você precisa deixar claro as tecnologias que usa, como o Google Analytics, o seu objetivo, o tempo de utilização dos dados e ainda campos para que o usuário possa editar as suas próprias configurações e acessar a política de privacidade da empresa.
6. Crie um canal de comunicação com os clientes e usuários
Segundo a lei, os clientes e usuários têm direito a saber como as suas informações têm sido utilizadas e até a exigir uma cópia delas. Além disso, eles podem exigir que dados sejam apagados, editados e até anonimizados, ou seja, desvinculados.
A empresa é responsável por cumprir essas solicitações a qualquer momento, desde, é claro, que não haja conflito com outras leis e determinações. Uma forma simples da sua empresa cumprir com esse ponto seria disponibilizar os contatos do DPO.
7. No caso de vazamento de dados, informe a autoridade e os titulares
Em casos de incidentes de segurança, a lei afirma que a empresa deve informar a autoridade nacional e os titulares dos dados.
A notificação deve incluir diferentes informações, tais quais os tipos de dados afetados, os riscos e as medidas que estão sendo tomadas para mitigar os efeitos do vazamento.
8. Adote soluções de proteção e prevenção de ataques e vazamentos
A lei é muito clara em relação à segurança da informação. Ela exige que as empresas utilizem medidas técnicas e administrativas para proteger os dados alheios. Por isso, é importante que a sua empresa se previna de ataques e ameaças.
Um bom começo seria adotar uma solução de proteção de e-mail. O e-mail é hoje a principal porta de entrada de ameaças. É preciso levar em conta também a proteção de redes e computadores, e o acesso à informação.
9. Crie um Relatório de Impacto à Proteção de Dados Pessoais
Existe um trecho na lei que fala de um documento chamado de Relatório de Impacto à Proteção de Dados Pessoais, que pode ser solicitado pela autoridade nacional. Para se precaver e estar em conformidade com a LGPD, a sua empresa vai precisar de um documento deste.
Basicamente, ele é um conjunto dos 8 pontos anteriores que a gente falou aqui neste post. É um documento descritivo que aborda o fluxo e o processamento das informações, incluindo medidas de segurança, de prevenção a incidentes e mecanismos de mitigação de riscos.
Podemos descrevê-lo como um manual de segurança da informação da sua empresa.