[eBook] LGPD para Pequenas e Médias Empresas: passo a passo para se adequar e evitar multas

Entenda a importância da Segurança e da Privacidade da Informação

Participe da pesquisa sobre adequação das PMEs à LGPD

Nos ajude a entender a divulgar o panorama das pequenas e médias empresas brasileiras em relação à lei. Leva menos de 5 minutinhos 🙂

PARTICIPAR DA PESQUISA

Um estudo do Instituto Ponemon, realizado em 2019, sobre segurança global apontou que 63% das PMEs sofreram algum tipo de incidente com vazamento de dados.

O mesmo estudo mostrou que o Brasil é o país mais propenso a sofrer violações de segurança, com a taxa de risco de 43% de ser atacado, enquanto países como Alemanha e Austrália apresentam riscos de 14% e 17% respectivamente.

Outro dado relevante, segundo pesquisa de 2019 da National Cyber Security Alliance, aponta que 25% das PMEs que sofreram ataques cibernéticos não conseguem continuar operando seus negócios.

Apenas 4% das PMEs estão adequadas para atender os requisitos da LGPD, segundo pesquisa feita pela Resultados Digitais. Acesse o resumo da pesquisa aqui.

No Brasil, o tema privacidade de dados assumiu o papel de protagonista devido a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro de 2020. Em meio a uma crise pandêmica mundial, onde muitos negócios foram afetados, a entrada da lei em vigor gerou muita dúvida, expectativa, especulação e busca por conhecimento e serviços relacionados. De fato, todo o debate no campo da proteção de dados pessoais é sensível a qualquer profissional que lide com dados e informações — seja ele cliente ou fornecedor de uma grande companhia ou de um simples comércio convencional.

Apesar do cenário agitado e receoso diante da LGPD e suas exigências, investir em proteção de dados pessoais é um assunto (e obrigação) que vem de longa data.

No Brasil, a temática teve abordagem em alguns marcos importantes, como veremos na linha do tempo a seguir:

Esses marcos evidenciam que os temas proteção de dados pessoais e “privacidade” vêm ganhando força, impulsionados pelas tecnologias emergentes que atuam diretamente com uma grande massa de dados, muitas vezes, sem garantir a segurança e privacidade devidas.

Já do outro lado do continente, mais especificamente na terra da Rainha Elisabeth, os grandes escândalos contábeis da década de 80, provocaram uma forte discussão nos anos seguintes que originou as teorias e os marcos regulatórios. Em 1992, foi publicado na Inglaterra o Relatório Cadbury, considerado o primeiro código de boas práticas de governança corporativa.

O contexto sobre segurança da informação foi impulsionado com o objetivo de auxiliar as companhias britânicas, que comercializavam produtos para segurança de Tecnologia da Informação (TI) por meio da criação de critérios para avaliação da segurança.

Em 1995, o Department of Trade Centre (DTI) criou o Comercial Computer Security Centre (CCSC) e lançou a norma British Standard 7799, tornando-se referência para empresas que precisam aumentar a maturidade quanto à proteção do negócio, resiliência empresarial e segurança da informação, assim resultando na devida proteção de dados pessoais e diminuição dos riscos para investidores, acionistas e titular dos dados.

Nos anos seguintes, surgiram outras normas com o foco de proteger a informação e a privacidade, sendo que a mais conhecida aqui no Brasil é a norma ISO/IEC 27001.

Para compreender a evolução da norma britânica que se tornou referência mundial confira a cronologia das normas da família ISO/IEC 27000.

Agora confira abaixo a linha do tempo das normas de segurança e privacidade da informação:

Mas qual a ligação dessas normas com a LGPD?

A ligação dessas normas com a LGPD existe, visto que, em dezembro 2019, a ABNT – Associação Brasileira de Normas Técnicas, lançou a norma NBR ISO/IEC 27701:2019 – Técnicas de segurança — extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — requisitos e diretrizes.

Essa norma veio para endossar a implementação e a adequação da LGPD. E segundo Ariosto Farias Júnior, Líder da Delegação do Brasil nas reuniões do ISO/IEC JTC 1/SC 27, membro do Comitê responsável pela elaboração das normas ISO 27001, ISO 27002, ISO 27701 e demais normas que apoiam a ISO 27701 e Relator do projeto NBR ISO/IEC 27701, a norma:

“Representa os anseios da sociedade, em decorrência do Regulamento Geral de Proteção de Dados (General Data Protection Regulation) da União Europeia, como também da nossa Lei Geral de Proteção de Dados Pessoais (LGPD)” (Fonte: abnt.org.br)

Não existe bala de prata para garantir privacidade e proteção de dados. O recomendado é seguir as normas e as melhores práticas existentes para uma gestão de segurança da informação, gestão de serviços de tecnologias eficiente e investir na capacitação e educação em todos os níveis organizacionais.

Adequar-se à LGPD é uma responsabilidade social e, ao mesmo tempo, um diferencial competitivo.

Confira mais sobre o lançamento da norma ABNT ISO/IEC 27701, que teve o patrocínio Daryus Consultoria, da AE Aegea e do C6 Bank.

Atores no tratamento de dados pessoais

Em um contexto geral, a LGPD é uma lei que traz muitas obrigações que terão impacto direto em, praticamente, qualquer empresa.

Vale ressaltar que ela não veio para impedir a coleta de dados pessoais, mas sim, definir diretrizes de como esses dados são classificados, tratados, protegidos e usados. Confira abaixo os termos mais importantes, de acordo com a LGPD:

Atores	Quem são	Atuação/responsabilidade
Titular	Pessoa física identificada pelos dados pessoais.	Os donos dos dados podem ser clientes, funcionários ou até parceiros de negócio. Ex.: você.
Controlador de Dados Pessoais	Pessoa física ou jurídica que determina a forma que os dados devem ser tratados.	É responsável pela regra de administração dos dados e formas de uso adequado, em conformidade com a LGPD. Pode ser empresas públicas ou privadas. Ex.: instituição financeira.
Operador de Dados Pessoais	Pessoa ou empresa responsável pelo tratamento dos dados em nome de um controlador.	É responsável por fazer o tratamento dos dados pessoais em nome do controlador. Ex.: uma gráfica que imprime cartões bancários para uma instituição financeira.
Encarregado	Pessoa física ou jurídica, interna ou externa, indicada para acompanhar as atividades de proteção.	É responsável por atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Controlador e Operador devem ter os seus respectivos Encarregados de Dados (DPOs)
ANPD – Autoridade Nacional de Proteção de Dados	Órgão vinculado ao Ministério da Justiça e responsável por assegurar o cumprimento da nova lei.	Essencial para a efetiva aplicação da nova lei. Tendo em vista que a LGPD é considerada uma lei que fixa preceitos gerais, com princípios a serem seguidos, ter um órgão que estabeleça bases e diretrizes gerais para o seu cumprimento, contribui para maior eficiência da sua implementação e apoia no melhor entendimento do alcance de suas regras.

Classificando dados pessoais

Dados pessoais são quaisquer informações relacionadas à pessoa natural, identificada ou identificável. Em suma, são informações sobre um determinado indivíduo, independentemente de ser privada ou não, que sejam de conhecimento público ou sobre a sua vida profissional.

Como qualquer informação pessoal, precisa – e deve – ser devidamente protegida. Informações tais como: RG, CPF, endereço e data de nascimento levam consigo muitos valores fundamentais para a manutenção da segurança e carecem de cuidados. Outros dados, como histórico de compras, localização geográfica e preferências de consumo, também são considerados como “pessoais”.

Tipo de dados pessoais

A LGPD não aborda qualquer proibição no uso dos dados pessoais, apenas determina um rigoroso tratamento em sua proteção e exige transparência ao titular com o seu uso. Por isso, refletir sobre formas de utilização e criar uma rotina de controle mais adequada é imprescindível.

Dados pessoais sensíveis

São os dados que possuem essas características:

• origem racial ou étnica;
• convicção religiosa;
• opinião política;
• filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
• referente à saúde ou à vida sexual, genética ou biometria.

Dados anonimizados

É o dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Em regra, é quando uma pesquisa de mercado aponta resultado de dados quantitativos, pois não identificam uma pessoa específica.

Banco de dados

É o conjunto estruturado de dados pessoais estabelecidos, em um ou em vários locais, em suporte eletrônico ou físico.

Exemplos de dados pessoais

• Nome
• E-mail não corporativo
• Documentos: CPF, RG, CNH
• Endereço residencial
• Telefones residencial e celular
• Posição geolocalização
• Internet Protocol (IP)
• Cookie / Log (IP + hora de acesso)
• Hábito de navegação isolado
• Conjunto de hábitos de navegação
• Conjunto de características pessoais
• Interesses e preferências
• E-mail corporativo
• Dados detidos por um hospital ou médico

Exemplos de dados não considerados pessoais

• o número de registo de empresa;
• um endereço de correio eletrônico como info@empresa.com;
• dados anonimizados.

Impactos da LGPD para as PMEs

É importante deixar um ponto muito claro aqui: a LGPD não faz diferenciação de requisitos para empresas de diferentes portes.

Esse é um ponto diferente do GDPR (General Data Protection Regulation), que é o regulamento sobre privacidade e proteção de dados pessoais aplicável a todos os indivíduos na União Europeia. Lá a lei prevê que a ANPD poderá estipular regras diferentes para pequenas e médias empresas.

De acordo com o Conselho Federal da Administração, as micros e as pequenas empresas representam a maioria de todos os negócios formais do país. Elas são responsáveis por uma grande fatia do faturamento de todas as empresas brasileiras, contratando mais da metade da mão de obra formal, ou seja, são importantes no cenário econômico do país.

Órgãos de serviços de apoio às PMEs, como o SEBRAE, estão atentos a esta realidade da LGPD e buscam analisar um plano especial de adequação à nova lei para esta categoria que enfrentará dificuldades maiores se considerarmos somente o capital que dispõem.

Com isto, se faz necessário diretrizes que corrijam essa desvantagem econômica e que dê oportunidade de crescimento também para as pequenas e as médias empresas.

Como saber se a empresa se enquadra na classificação de PMEs

A classificação de uma PME está em consonância com a Lei Complementar n° 123, de 14 de dezembro de 2006, conhecida como Lei Geral da Micro e Pequena Empresa. Confira tabela abaixo:

Tipo	Classificação	Receita Bruta Anual
Microempresa	Sociedade empresária ou simples, a empresa individual de responsabilidade limitada	Até R$ 360 mil
Pequena Empresa	Indústria: empresas com até 99 empregados. Comercial ou de serviços: até 49 empregados.	Até R$ 4.800.000,00
Média Empresa	Indústria: empresas com 100 a 499 empregados. Comercial ou de serviços: de 50 a 99 empregados.	Acima de R$ 4.800.000,00

Considerando que a LGDP fará aplicação de multas, sem fazer distinção de tamanho e de porte das empresas, e que muitas PMEs são alvos bem fáceis para ataques cibernéticos, é importante compreender a lei, assim como buscar formação específica e iniciar a adequação o quanto antes.

O que é preciso saber sobre a Lei GDPR e a LGPD

As conexões entre a GDPR e a LGPD vão muito além das siglas com quatro letras. A GDPR é o regulamento europeu aplicável ao titular dados o direito sobre privacidade e proteção de dados pessoais proposto em 2012, aprovado em abril de 2016, e está em vigor desde 25 de maio de 2018.

Já a LGPD foi sancionada pelo presidente Michel Temer, em 14 de agosto de 2018, e entrou em vigor em setembro de 2020.

Entretanto, no mundo globalizado no qual vivemos, é viável que o GDPR se aplique aqui e a brasileira em território internacional. A dualidade acontece porque ambas regem a captura, uso, tratamento e proteção de dados, que extrapolam fronteiras físicas através da internet.

Em linhas gerais, a GDPR tem validade para empresas brasileiras nas seguintes condições:

• Se existir oferta de bens e/ou serviços para indivíduos localizados na União Europeia;
• Se existir monitoramento do comportamento de titulares de dados na União Europeia.

É importante você saber que outros países saíram na frente e já contam com o princípio do direito à privacidade há algum tempo, tais como:

• Suécia: lei 289 de 11 maio de 1973, o Datalegen;
• Alemanha: desde 1977, a Alemanha tem uma lei federal de proteção de uso ilícito de dados pessoais;
• Dinamarca: regulamenta a questão da proteção de dados pelas Leis 243 e 244, ambas de 08 de julho de 1978, que estenderam a proteção também para as pessoas jurídicas;
• França: tem a Lei 78-77, de 06 de janeiro de 1978;
• Portugal: a Constituição de Portugal de 1977 tem texto ainda mais completo (Art. 35), pois contempla a previsão do direito do cidadão de conhecer os dados que lhe são concernentes, de que esses dados sejam utilizados de acordo com a finalidade para o qual foram recolhidos e, ainda, de retificá-los (em caso de erro) e de atualizá-los.

O exemplo desses países aponta o pioneirismo da Europa no desenvolvimento da legislação que visa a privacidade.

Diferenças entre LGPD e GDPR

Como já deu para entender, tanto a LGPD quanto a GDPR podem impactar a operação da sua empresa, então é importante entender melhor como os itens das leis se relacionam e se referenciam. Confira a tabela abaixo com os principais itens.

ITEM	LGPD – Brasil	GDPR – União Europeia
Tratamento de dados sensíveis	Art. 11 Estabelece proteção especial aos dados sensíveis. O tratamento poderá ocorrer apenas nas hipóteses previstas na lei, independente do consentimento do titular.	Art. 9, §2º, ‘d’ e ‘e’ Proíbe o tratamento de dados sensíveis, estabelecendo algumas exceções.
Tratamento de dados de menores	Art. 14, §1º A todos os menores de 18 anos, é necessário que o consentimento seja dado pelos pais ou responsáveis.	Art. 8, §1º Aceita o consentimento dado por crianças, desde que tenham pelo menos 16 anos. Para menores de 16 anos, o consentimento deve ser dado pelos pais.
Políticas de proteção de dados	Art. 50 A lei brasileira trata a implementação de programa de governança e privacidade como faculdade dos controladores de dados.	Art. 24, §2º Atribui aos controladores de dados a obrigação de adotar medidas técnicas e administrativas adequadas para assegurar o comprimento da legislação.
Representantes	Art. 61 Prevê que a empresa estrangeira será notificada e intimada de todos os atos processuais na pessoa do agente, representante ou pessoa responsável por sua filial, agência, estabelecimento ou escritório instalado no Brasil.	Art. 27 A figura do controlador ou processador deve constituir, por escrito, um representante seu em um dos seus Estados-Membros.
Responsabilização dos agentes	Art. 42 e seguintes Existem três hipóteses em que o controlador/operador não é responsabilizado: Quando a pessoa física ou jurídica não estiver envolvida com o tratamento dos dados; Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação; Quando os agentes comprovam que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.	Art. 82 Existem duas hipóteses em que o controlador ou operador não é responsabilizado: Quando a pessoa física ou jurídica não estiver envolvida com o tratamento dos dados; Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação.
Relação Entre Controlador e Operador	Art. 39 O operador deverá realizar o tratamento de dados conforme a instrução do controlador. Não há exigência de formalização por meio de contrato.	Art. 28 §3º Prevê que o tratamento de dados realizado por operador deve ser regido por contrato ou outro ato jurídico que vincule o controlador ao operador.
Relatório de Impacto	Art. 38 Não foram especificadas em quais situações o controlador será obrigado a realizar um relatório de impacto à proteção de dados pessoais, delegando a uma regulamentação posterior ao tratamento desta matéria.	Art. 25 Está previsto que o controlador deve prover um relatório de impacto à proteção de dados pessoais, quando o tratamento resultar em um elevado risco para o direito e a liberdade das pessoas. A GDPR traz ainda uma detalhada descrição do que deve ser abordado neste relatório.
Transferência Internacional de Dados	Art. 33 e seguintes Permite a transferência de dados pessoais para países ou órgãos internacionais que proporcionem grau de proteção de dados pessoais adequados ao previsto. A lei é breve quanto a este procedimento e elementos a serem considerados como adequados. A LGPD estabelece apenas diretrizes genéricas a serem observadas pelas autoridades nacionais.	Art. 44 e seguintes Alega que a transferência internacional dos dados pode ser realizada independente de autorização específica caso a Comissão Europeia reconheça que o país terceiro assegure um nível de proteção adequado. Caso não, a transferência internacional estará condicionada a garantias adequadas, que devem ser asseguradas pelo Agente. Todos os procedimentos e elementos que são levados em consideração pela Comissão para a autorização da transferência estão descritos na GDPR.
Órgão Regulador	Art. 55 e seguintes Previa a criação da Autoridade Nacional de Proteção de Dados em sua origem, seguido a mesma linha do regulamento europeu. Porém, os dispositivos que previam a sua criação e responsabilidades foram vetados, por incorrerem em inconstitucionalidade do processo legislativo.	Art. 68 e seguintes Estabelece a criação do Comitê Europeu para Proteção de Dados, responsável por assegurar a aplicação coerente da GDPR.

O que acontece se minha PME não se adequar à LGPD?

A cronologia da temática da segurança e da privacidade da informação, mostra que não é de hoje que existe essa discussão. As leis brasileiras e as leis de outros países possuem semelhanças, mesmo com as culturas bem diferentes. Portanto, o mundo caminha para garantir mais controle e proteção aos dados pessoais, visando ao titular a melhor transparência de uso do que é seu por direito.

Já vimos que países da União Europeia, onde a GDPR é praticada, iniciaram as discussões há décadas, como no Brasil com a LGPD, e mesmo assim países de primeiro mundo encontraram dificuldades nas adaptações.

Como a LGDP não faz diferenciação do porte de empresa, é preciso se adequar, mesmo que ainda haja expectativas da ANPD editar normas, orientações e procedimentos simplificados e diferenciados para as PMEs.

Quando observado os valores das multas, percebe-se a importância e a necessidade de reforçar a representatividade e magnitude, tanto da LGPD quanto da GDPR.

LEI	VALOR DA MULTA	OBSERVAÇÕES
LGPD	Até R$50 milhões	a aplicação de multa equivalente é de até 2% do faturamento da pessoa jurídica em seu último exercício, limitada aos R$50 milhões por infração.
GDPR	Até €20 milhões	a aplicação de multa equivalente a 4% do volume de negócios global da empresa ou até €20 milhões (o que for maior), em infrações graves.

Além da multa, também são previstas advertências, determinações de bloqueio ou eliminação dos dados, suspensões totais ou parciais do banco de dados correspondente e outros no caso da GDPR.

Quando a lei não se aplica?

Existem exceções sobre a LGPD. Ela não se aplica para alguns casos no tratamento de dados. Veja na íntegra o Artigo da lei:

Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:

I – Realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

II – Realizado para fins exclusivamente:

a) jornalístico e artísticos; ou

b) acadêmicos, aplicando-se a esta hipótese os Art. s. 7º e 11 desta Lei;

III – Realizado para fins exclusivos de:

a) segurança pública;

b) defesa nacional;

c) segurança do Estado; ou

d) atividades de investigação e repressão de infrações penais;

Já na União Europeia, a GDPR não se aplica em alguns casos, por exemplo, na nomeação de DPO – Data Protection Officer, o Encarregado descrito na LGDP.

Um DPO é obrigatório, por exemplo, quando sua empresa ou organização é:

• Um hospital responsável pelo processamento de grandes conjuntos de dados confidenciais;
• Uma empresa de segurança que atua no monitoramento de shoppings e espaços públicos;
• Uma pequena empresa de caça-talentos administradora de perfis de indivíduos.

Porém, o DPO deixa de ser obrigatório em alguns casos:

• Um médico da comunidade local que processa dados pessoais de seus pacientes;
• Um pequeno escritório de advocacia que mantém informações pessoais de seus clientes.

Violações e Vazamentos de Dados Pessoais

Assim como a GDPR, a LGPD obriga que o controlador comunique a ocorrência de incidentes de segurança que possam trazer riscos ou afetar os titulares dos dados.

A primeira comunicação detalhada deve ser feita à ANPD, em prazo razoável a ser definido pela autoridade. Dependendo da gravidade, a ANPD poderá indicar necessidade de divulgação ampla do fato.

Diante de qualquer incidente sobre falha na segurança de dados, com possibilidades de danos ou riscos aos titulares, é dever do controlador informar a ANPD e aos demais titulares dos dados.

A partir daí, o próprio órgão fica responsável pela averiguação e a gravidade do caso. Cabe à autoridade solicitar que o controlador divulgue amplamente o incidente nos meios de comunicação ou tome providências para reverter ou mitigar os efeitos aos titulares.

Por meio de medidas técnicas e para impedir que terceiros não autorizados acessem os dados envolvidos, o nível de gravidade do ocorrido deve considerar que os mesmos se encontram ininteligíveis.

Em 2020, o mês de outubro foi um show de violação e vazamento de dados, porém uma empresa teve destaque positivo frente a tantas notícias de ataques cibernéticos de sucesso. Essa empresa foi a Prudential, empresa do segmento de seguros, que de maneira objetiva e clara relatou seu incidente ao mercado e aos titulares dos dados.

Esse é um exemplo importante que pode servir de exemplo para as demais empresas que sofrerem com algum incidente semelhante.

Boas práticas para entrar em conformidade com a LGPD

Pensando que muitas PMEs podem estar na estaca zero da adequação, seja por falta de recursos ou de conhecimento, preparamos uma seção de boas práticas.

Já é importante ficar claro que as mudanças elencadas aqui podem ser feitas dia a dia, mesmo que a empresa ainda não possua estrutura para iniciar uma adequação completa. Nossa intenção é incentivar os pequenos empreendedores a começarem seu processo de adequação, mesmo que não seja de forma tão acelerada.

Por onde começar?

Diante de tantas informações sobre a LGDP, existe uma certa urgência para qualquer empresa iniciar o processo de adequação. Por isso, são sugeridos seis passos:

Passo 1 – Entendimento do Negócio

Independentemente da Lei, uma empresa precisa ter claro alguns pontos sobre sua própria gestão:

• Empresa nacional ou multinacional?
• Porte: micro, pequena, média ou grande empresa?
• Atividades exercidas: serviços ou produtos?
• Regime sindical?
• Quais são os outros órgãos reguladores?
• Qual é o modelo de negócio?
• Qual é o quadro de funcionários?
• Qual é a relação com os prestadores de serviços?
• E com os fornecedores?

Em suma, conhecer bem o negócio e toda a sua atividade é um pilar fundamental no processo de concepção e desenvolvimento das estratégias de gestão empresarial.

Passo 2 – Conhecimento e Compreensão da Lei

Todo processo de conscientização deve começar pela capacitação em fundamentos, conceitos e práticas da LGPD. A empresa deve ter conhecimento e saber da importância e da aplicabilidade ao negócio.

Como a LGPD afeta todos os setores, um efeito cascata poderá ocorrer. A empresa poderá, por exemplo, ter que prestar contas de como faz o tratamento dos dados e, como consequência, terá que cobrar isso de um fornecedor que atue no processo de onde o dado é processado.

Portanto, toda a capacitação sobre a Lei é o passo primordial para disseminar o conhecimento para a adequação das diretrizes.

Passo 3 – Entendimento dos Dados Coletados

Quando se tem o entendimento completo de uma gestão empresarial e a compreensão da lei, fica mais fácil entender quais dados circulam pela empresa. Para isso, é fundamental que se tenha uma documentação dos mapeamentos dos processos com a classificação dos dados pessoais.

Para entender melhor o que se deve saber, confira o roteiro de questionamento que auxiliará na jornada de adequação à LGPD:

• Quais são os dados que eu coleto? Faz sentido coletar esse dado?
• De qual categoria de pessoas? Menor de idade? Pessoa física ou jurídica?
• Qual será a hipótese legal para o tratamento? (ver Art. 7 da Lei)
• Em qual local? Armazenamento Físico (papel, pendrive, CD, etc) ou Armazenamento Digital (Sistema, e-mail, redes sociais)?
• Por que ele precisa ser guardado?
• Por quanto tempo ele precisa/pode ser armazenado? Alguma legislação e regulamento a ser seguido?
• É possível anonimizá-lo?
• O dado está sendo duplicado? Aqui é pensar em coisas simples, se uma ficha de cadastro foi enviada por e-mail e foi impressa, o dado já foi duplicado.
• Será transferido para país estrangeiro?

Esses questionamentos são imprescindíveis para garantir o controle e proteção dos dados. E o mais importante: deve ser de ciência de todos os colaboradores.

Passo 4 – Fases dos Ciclos de Tratamento dos Dados

Uma das atividades mais importantes é entender as fases de tratamento dos dados. Esse ciclo é composto pelo Art. 5 X da lei.

FASE DO CICLO DE TRATAMENTO	OPERAÇÕES DE TRATAMENTO
Coleta	Coleta, produção, recepção.
Retenção	Arquivamento e armazenamento.
Processamento	Classificação, utilização, reprodução, processamento, avaliação ou controle da informação, extração e modificação.
Compartilhamento	Transmissão, distribuição, comunicação, transferência e difusão.
Eliminação	Eliminação.

A operação de tratamento “acesso” (LGPD, Art. 5º, X) está presente em todas as fases do ciclo de vida dos dados pessoais, pois de alguma forma temos que realizar acesso ao dado pessoal para viabilizar sua coleta, retenção, processamento, compartilhamento ou eliminação.

Passo 5 – Elaboração e Revisão de Contratos, Políticas e Termos

Documentar diretrizes, normas, procedimentos e políticas é de suma importância para uma gestão eficiente. Para aqueles que têm esse costume, será necessário fazer ajustes para contemplar os objetivos da LGPD. Para aqueles que não possuem, nada melhor que começar agora.

Documentos como contratos, seja de prestação de serviço com fornecedores e clientes, de trabalho CLT ou autônomo, entre outros, deverão conter ajustes em consonância com a lei.

Passo 6 – Nomeação de um encarregado de Proteção de Dados

No Art. 41 são descritas as atividades que um encarregado deverá cumprir. Portanto a nomeação é para todos os tipos de empresas e as atividades que o encarregado tem como responsabilidade são:

1. Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
2. Receber comunicações da autoridade nacional e adotar providências;
3. Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
4. Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

A ANPD poderá estabelecer ajustes nas atribuições do encarregado. Há muitas expectativas e especulações sobre a dispensa da nomeação de encarregado dos dados nas PMEs.

Segurança integrada é uma boa governança de dados

O apoio, o engajamento e o envolvimento da Alta Administração são fundamentais e representam a diferença entre o sucesso e o fracasso da adequação. Deve ficar claro que todos na organização são responsáveis, pois é uma nova forma de entender e lidar com dados pessoais.

Deve haver uma boa sinergia e entrosamento entre os departamentos de TI, Marketing, Vendas e Relacionamento para que tudo ocorra da melhor forma.

Como uma parcela significativa da captação e utilização de dados do usuário se encontra no Marketing, Vendas e Relacionamento com os clientes (ou seja, comunicação, cadastros, relacionamento etc.), a plena integração do departamento de TI se torna fundamental.

Na prática, Tecnologia da Informação (TI) ou Tecnologia da Informação e Comunicação (TIC) são os maiores atores nesse trabalho e o mapeamento irá exigir muitas informações coletadas com tecnologias, reuniões e entrevistas, portanto, prepare seu time e parceiros para essas interações.

A cada ação de Marketing Digital, por exemplo, é importante que a TI revise os procedimentos de proteção de dados dos usuários. O mesmo deve ocorrer com outros departamentos que utilizam essas informações (no caso de vendas, por exemplo). Todos devem estar alinhados para contemplar as diretrizes da LGPD e, assim, se beneficiar com a integração junto ao departamento de tecnologia.

Os 10 princípios da LGPD

Para uma lei, os princípios são seus nortes. São muito mais que simples regras, afinal os princípios estabelecem algumas limitações, fornecem diretrizes e tem como objetivo possibilitar a correta compreensão e interpretação da lei em questão.

Na LGPD esses princípios foram elencados e é bom ter ciência deles:

1. PRINCÍPIO DA FINALIDADE: quais dados estão na base? Por que e de qual forma serão tratados?
2. PRINCÍPIO DA ADEQUAÇÃO: a utilização dos dados está compatível com a finalidade em curso?
3. PRINCÍPIO DA NECESSIDADE: é realmente relevante tratar esses dados para a finalidade que quero?
4. PRINCÍPIO DA TRANSPARÊNCIA: como garantir que os dados sejam exatos?
5. PRINCÍPIO DA NÃO DISCRIMINAÇÃO: como informar os processos realizados com os dados?
6. PRINCÍPIO DA SEGURANÇA: existem processos técnicos adequados para manter a proteção dos dados?
7. PRINCÍPIO DA PREVENÇÃO: há medidas preventivas para que os dados seguros sejam mantidos em plena segurança?
8. PRINCÍPIO DA RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: de que forma podemos conscientizar sobre a importância da privacidade?
9. PRINCÍPIO DO LIVRE ACESSO: é possível comprovar à agência e ao titular estar aderente à Lei?
10. PRINCÍPIO DA QUALIDADE DOS DADOS: como garantir a consulta dos dados aos titulares?

Vamos exemplificar a situação de uma compra de medicamentos ou itens de farmácia. É uma prática comum no Brasil ser solicitado o CPF e outros dados na hora de realizar o pagamento ou até mesmo para a consulta do produto com o farmacêutico, não é mesmo? Então vamos analisar as seguintes situações:

Situação 1: para iniciar o processo de pagamento o operador do caixa solicitar, imediatamente, o CPF, convênio médico ou outros dados para que descontos sejam liberados e a compra finalizada. Nesse caso, é necessário que seja notificado como os dados coletados serão utilizados para envio de ofertas e análise do perfil de consumo do usuário.

Situação 2: ao comprar medicamentos controlados, os dados (CPF, RG, número de telefone, endereço e outros) devem ser, obrigatoriamente, enviados para o SNGPC (Sistema Nacional de Gerenciamento de Produtos Controlados), que é controlado pela AVISA. Todo esse processo de envio, armazenamento e compartilhamento de dados deve ficar claro para o cliente.

Situação 3: muitas redes de drogarias são dirigidas por uma única empresa matriz e, dessa forma, compartilham entre si dados em até diferentes estados do Brasil. Esse tipo de informação também deve ser notificado ao cliente quando o CPF é fornecido.

Vale reforçar que não é necessário fornecer esses dados caso a emissão da Nota Fiscal Paulista, por exemplo, seja negada pelo cliente.

Por isso, é muito importante colocar em prática os princípios previstos na lei e as demais práticas aplicadas ao ramo de negócios.

Dicas de uma boa relação com o titular dos dados

A confiança se consegue através de uma boa comunicação e transparência, ou seja, quanto mais visual e acessível estiver a informação de como faz o tratamento do dado, mais preparada a empresa estará. Confira dicas fáceis de implementar:

1. Implemente recursos visuais

Deixe acessível como é feita a coleta e o tratamento dos dados do cliente. Isto gera uma ótima experiência da parte do usuário. Portanto, use e abuse de imagens, tabelas, vídeos e infográficos pelo estabelecimento ou site da empresa.

2. Políticas de privacidade acessíveis

Seja claro, objetivo e mantenha com fácil acesso às informações, políticas e termos em suas redes sociais e website. Destaque, se necessário, para que o consumidor tenha facilidade em e encontrá-las.

3. Titular deve estar no comando

O titular deve poder optar em concordar ou não com o fornecimento dos dados pessoais, desde que possível e não obrigatório, mediante outras leis e regulamentações. Portanto, evite coletar dados excessivos. É recomendável esclarecer o motivo da solicitação dos dados.

4. Gerenciamento de dados

Por meio das tecnologias é possível deixar o titular escolher a forma que os seus dados serão usados. Uma prática já comum é quando você recebe e-mails promocionais.

Conseguir efetuar o cancelamento desses e-mails apenas clicando na opção de descadastrar-se no final da mensagem é um diferencial para o cliente, afinal, ele precisa ter o direito de escolha. Essa prática deve ser ampliada para gerenciamento dos dados por parte do titular.

5. Disponibilidade para o titular

O exercício dos direitos dos titulares deve ser simplificado. Portanto, investir na criação de um canal de atendimento aos titulares para esclarecimento de dúvidas sobre temas variados é sempre uma boa opção. Para uma PME, por exemplo, pode-se criar o espaço Perguntas e Repostas, como um FAQ.

6. Política de descarte dos dados

Dados também tem um prazo de validade. É necessário que, com certa periodicidade, seja avaliada a necessidade de continuar armazenando determinados dados e se eles ainda são úteis e cumprem com algum propósito. Estabelecer prazos internos para determinar o tempo de permanência dos dados na empresa é uma boa prática.

Passo a passo para a adequação

Após entender todos os aspectos, impactos e pontos de atenção com a LGPD, é preciso colocar a mão na massa e se adequar de verdade, o quanto antes.

O desafio envolve muito trabalho e paciência, pois a jornada inclui etapas que geram mudanças significativas na cultura e comportamento dos colaboradores, desde o diagnóstico, mapeamento de dados, implantação de controles e ações de conscientização.

Um instrumento essencial e muito importante nessa fase é o RIPDP – Relatório de Impacto à Proteção de Dados Pessoais, também conhecido como DPIA (Data Protection Impact Assessment). Esse instrumento é utilizado pelo controlador e é fundamental em situações onde o tratamento de dados pessoais gere algum risco à liberdade civil e aos direitos fundamentais dos titulares. Resumidamente, ele é uma ferramenta que identifica e destaca os mecanismos de mitigação de riscos.

O uso dessa ferramenta ainda é envolto de algumas polêmicas e as orientações da ANPD são aguardadas, porém é recomendável adotar uma postura proativa e já garantir uma estruturação de RIPDP.

Elaboração de um Relatório de Impacto à Proteção de Dados Pessoais (RIPDP)

A lei não informa nenhum passo a passo para essa elaboração, porém uma adaptação do modelo de Avaliação do Impacto da Privacidade (PIA), do Information Commissioner’s Officer (ICO), é uma ótima maneira de criar o documento.

7 etapas para a criação do DPIA

Conheça o passo a passo necessário para o desenvolvimento do DPIA.

1. Identificação da necessidade de um RIPDP

Para conduzir um relatório da melhor forma possível é necessária uma ação planejada e quanto mais rápido ele for iniciado, melhor. Isso facilitará muito o andamento para que a organização se prepare e se organize, além de incorporar as medidas para identificar riscos durante o tratamento de dados pessoais.

É importante lembrar que um RIPDP passa a ser obrigatório em casos específicos, como situações em que o tratamento de dados pessoais resulte em um alto risco para os direitos e liberdades dos titulares. A LGPD menciona condições básicas referentes à necessidade do documento:

• Quando o tratamento de dados pessoais tiver como fundamento o interesse legítimo do Controlador. (Art. 10º, II, § 3º, LGPD);
• Quando o tratamento de dados pessoais gerar riscos às liberdades civis e aos direitos fundamentais dos titulares. (Art. 5º, XVII, LGPD);
• Quando ocorrer o tratamento de dados pessoais sensíveis, especialmente em grandes volumes. (Art. 38º, LGPD);
• Quando o tratamento for relativo a dados pessoais provenientes de fora do território nacional e que não sejam objeto de comunicação, no uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência. (Art. 4º, IV, § 3º, LGPD).

2. Descrever o tratamento dos dados pessoais

Após garantir a necessidade do relatório, é necessário descrever todo o processo e tipo de tratamento que será realizado com esses dados.

Nessa etapa, os detalhes sobre as informações internas, operações e tratamentos dos dados serão detalhados. Ou seja, coleta, armazenamento, descarte e, inclusive, o desenho do fluxo dos dados pessoais nos processos de negócios precisam serem descritos.

3. Realização de consultas

Consultar todas as partes interessadas no tratamento dos dados pessoais é necessário e muito importante. Em algumas situações pode ser preciso descrever e coletar opiniões dos titulares e entender se o processo contou com a participação de especialistas em segurança da informação.

4. Avaliar a necessidade e proporcionalidade

É indispensável que conste no relatório qual a sua base legal para o tratamento de dados pessoais ou de que forma a organização garantirá a qualidade e a minimização dos dados. Logo, os requisitos de necessidade e proporcionalidade devem ser levados em conta.

5. Identificar e avaliar riscos

O grande objetivo do Relatório de Impacto à Proteção de Dados Pessoais é compreender e reduzir os riscos envolvidos no tratamento. Para isso, é necessária uma visão clara de todas as vulnerabilidades do tratamento dos dados pessoais. Esses riscos devem ser catalogados com indicadores de gravidade sobre qualquer impacto negativo sobre os direitos e liberdades individuais.

6. Identificar medidas para tratar o risco

Após a catalogação dos riscos, é necessário identificar como eles serão controlados, reduzidos ou eliminados. A organização deve definir as soluções e ações para mitigar, evitar, transferir ou aceitar os riscos. O objetivo dessa etapa é reduzir ao máximo os impactos negativos.

7. Assinar e registar os resultados do RIPDP

Após a decisão do processo de tomada dos riscos, é fundamental que um registro dos resultados do relatório de impacto seja criado e assinado pelos responsáveis mencionados.

Com isto, o mais indicado é adotar uma abordagem proativa e focada em padronizar os processos da proteção dos dados pessoais. Importante: integre as soluções de proteção de dados ao projeto para garantir que os resultados DPIA, como os controles de segurança, por exemplo, estejam integrados ao seu projeto.

Revise e revisite o DPIA quando necessário, especialmente nos casos em que houver uma mudança significativa de projeto.

Agora que você já está por dentro do que é a LGPD, seus termos, impactos, benefícios e pontos de atenção, é hora de mãos à obra. Não faltam desafios para as empresas que precisam cumprir fielmente a lei. Garantir a conformidade com a LGPD passa por incluir o respeito, tanto aos princípios fundamentais da proteção de dados pessoais como aos direitos dos titulares.

Em alguns casos, pode ser uma longa jornada, que inclui:

• diagnósticos;
• mapeamento de dados;
• implantação de controles;
• ações de conscientização;
• mudanças culturais corporativa.

Entre outros pontos da LGPD, o Relatório de Impacto à Proteção de Dados Pessoais (RIPDP) se destaca como o instrumento usado pelo controlador em situações onde o tratamento de dados pessoais possa gerar riscos às liberdades civis e aos direitos fundamentais dos titulares. Ou seja, servindo como uma ferramenta para identificar medidas e demais mecanismos de mitigação de riscos.

Conclusão

No geral, os critérios de consentimento e utilidade são bases cruciais para não descumprir a lei.

Assim sendo, se o um negócio usa táticas escusas, as implicações legais se tornarão um desafio significativo e permanente com a vigência da lei. Compra ou uso, não autorizados, de mailings e ausência de controle sobre a gestão de dados pessoais dos públicos internos e externos deverão ser evitados.

Em outras palavras, se sua empresa acredita que gestão de riscos é exclusividade de grandes empresas, podem existir problemas. Adequar-se dentro do prazo e gerenciar o negócio em conformidade com aquilo que a LGPD exige é complexo, mas viável e alcançável.

Para isso, conte com um parceiro especializado que possa auxiliar na transição e na continuidade de uma gestão apropriada. Se sua empresa necessita de suporte, a Daryus Consultoria possui expertise e experiência em Segurança da Informação, Governança e Gestão de Riscos, atributos mais do que oportunos para o contexto atual e para as projeções da Lei Geral de Proteção de Dados.

E para conseguir garantir tudo que é necessário para ficar em conformidade nas áreas de Marketing e Vendas, você pode contar com os recursos do RD Station focados em LGPD. Temos times de Produto e Engenharia focados em mudanças e melhorias relacionadas à privacidade e proteção de dados nos dois produtos: RD Station Marketing e RD Station CRM.

Desejamos todo o sucesso nas suas ações!