7 ações que sua empresa precisa tomar para se adequar à LGPD

Entenda quais são as ações essenciais para que sua empresa não fique sujeita à multas da LGPD.

“O que é preciso fazer para adequar minha empresa à nova LGPD?” Antes mesmo que a nova Lei Geral de Proteção de Dados entrasse em vigor no Brasil, a pergunta já fazia parte da realidade de muitos empresários do país. A LGPD determina regras para o tratamento das informações pessoais e se aplica a todas as pessoas físicas e jurídicas, independente de seu nicho de atuação, com objetivo principal de proteger o direito à privacidade das informações concedidas.

A Lei é repleta de detalhes, mas existem pelo menos sete ações fundamentais para sua empresa se adequar à LGPD. Veja abaixo as recomendações feitas pela PSafe, líder em segurança e privacidade digital na América Latina. Caso sua empresa ainda não tenha se adequado à Lei, prepare-se para colocá-las em prática o quanto antes. Aqueles que violarem as novas regras da LGPD correm risco de sofrerem graves consequências, incluindo sanções e multa de até R$ 50 milhões.

Confira 7 ações que sua empresa precisa tomar para se adequar à LGPD:

1) Defina os responsáveis: Identifique quem seriam as pessoas ou as equipes responsável dentro de sua empresa pelo tratamento, armazenamento e segurança dos dados de seus clientes, funcionários, fornecedores e candidatos à vagas na empresa. A responsabilidade pela privacidade dos dados é sempre da detentora dos mesmos. Isso significa que, caso sua empresa possua uma base de dados com informações de clientes, é de sua responsabilidade a preservação da privacidade e segurança, que incluem cuidados para evitar vazamentos.

Atenção a respeito aos dados pessoais compartilhados por/com outras empresas: dados vazados através de um fornecedor ou parceiro será responsabilidade da empresa que compartilhou a base.

2) Mapeamento de dados: Mapeie quais dados sua empresa coleta e administra, com objetivo de assegurar a privacidade destas informações. Verifique os dados recolhidos em site, blog, landing page, formulários gerais de cadastro e dentro de seus produtos (aplicativos, softwares). Identifique que tipo de dados sua companhia trata, qual volume, como foram coletados, como são armazenados, e com qual a finalidade cada informação é mantida. É imprescindível que esta ação identifique dados pessoais digitais e físicos, de clientes, funcionários, fornecedores e candidatos à vagas na empresa. 

Lembre-se de também verificar em todos os sistemas de armazenamento utilizados pela empresa, o que inclui plataformas e serviços de uso diário (como Dropbox, iCloud, Google Drive, Gmail, entre outros), e todas as pessoas que têm acesso a esses sistemas. Isso se faz necessário porque, de acordo com a LGPD, o titular dos dados poderá solicitar o acesso ou a eliminação de seus dados do sistema a qualquer momento, o que também pode ocorrer a partir de uma fiscalização. 

3) Revisão de contratos: Após as adequações de tratamento de dados pessoais, é recomendável que as empresas revisem e atualizem seus contratos e documentos jurídicos com seus clientes, fornecedores, funcionários, adicionando, quando necessário, informações a respeito dos dados pessoais tratados pela empresa, sejam eles físicos ou digitais. E também aplicando a mesma prática aos contratos que dizem respeito a seus clientes e fornecedores.

4) Tenha um contato para titulares:  Este contato será o Data Protection Officer (DPO), ou Encarregado do Tratamento dos Dados Pessoais, o profissional responsável pelas questões referentes à proteção de dados da empresa e seus clientes. Sua atuação deverá ser pautada em 3 princípios básicos da segurança:  confiabilidade, para garantir que somente pessoas autorizadas poderão acessar os dados pessoais; integridade, para assegurar a segurança e não violação destes dados; e disponibilidade, para garantir que os dados estejam disponíveis para aqueles que precisem acessá-los, sejam pessoas autorizadas da equipe, os proprietários dos dados ou a fiscalização.

As principais funções do DPO são responder aos pedidos dos titulares, referentes a seus dados na empresa, representar a empresa em comunicações com a ANPD (Autoridade Nacional de Proteção de Dados) em caso de vazamentos ou outros incidentes, e orientar funcionários e contratados da companhia a respeito de práticas a serem tomadas em relação à proteção de dados pessoais.

5) Crie uma política interna: A política de segurança da informação (PSI) é um conjunto de diretrizes técnicas e boas práticas sobre a coleta, uso, armazenamento e descarte de dados pessoais. A LGPD recomenda que cada empresa desenvolva e siga sua própria PSI.
Recomenda-se que a PSI contenha objetivos, princípios, e  regras relacionados aos seguintes temas: 

a) mecanismos de proteção dos dados: tecnologias de defesas, como auditorias, monitoramento de redes, criptografia, firewall e controle de acesso;
b) atribuições e responsabilidades da área de TI: a cargo de quem ficará a instalação de equipamento, softwares e outras atividades;
c) responsabilidades dos colaboradores: regras e limites a serem seguidos;
d) definição dos níveis de acesso: definir quais pessoas terão acesso às informações, de que maneira e em que momento.

6) Treine sua equipe: Para garantir o funcionamento da PSI é recomendável treinar seus colaboradores para que todos estejam cientes das normas. A preocupação com a cibersegurança deverá estar presente em todos os níveis e em todos os processos de sua empresa, seja entre funcionários, seja entre seus fornecedores. 

7) Tenha uma solução de segurança: Todos os pontos acima são ações internas para “organizar a casa”, no entanto, se sua empresa não utilizar uma solução de segurança, você estará deixando as portas e janelas de sua casa escancaradas para hackers. É preciso fechar essas portas contratando uma solução de segurança contra ameaças digitais.

A solução de segurança para dispositivos empresariais, dfndr enterprise, age na prevenção contra vazamentos de dados e utiliza para isso tecnologia de ponta e a maior base de ameaças da América Latina. Desenvolvida pela PSafe, líder em segurança e privacidade no país, é capaz de identificar, em tempo real, vulnerabilidades nos sistemas corporativos e tomar uma ação preventiva automaticamente. 

Dentre as ameaças identificadas pelo sistema de dfndr enterprise estão: golpes de phishing, malwares (programas maliciosos), ransomwares (sequestro de dados), proxies maliciosos e vazamentos de dados. Além disso, a solução gera semanalmente um relatório de segurança para que você tenha total controle sobre as ameaças identificadas. 

É possível fazer um teste de dfndr enterprise por 30 dias grátis, clicando aqui.

O sistema de dfndr enterprise funciona em “piloto automático” 24 horas por dia, e está disponível para dispositivos Android, iOS e computadores com sistema Windows.

Consequências para as empresas que não se adequarem à LGPD: 

As mais graves consequências para as empresas que violarem a LGPD estão relacionadas aos incidentes de segurança que podem ocorrer aos dados pessoais tratados.

  • Em caso de infração, os agentes de tratamento ficam sujeitos dentre outras, a sanções administrativas como (art. 52):
  • multa de até 2% (dois por cento) do faturamento, com limite de R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária (limite de R$50 milhões);
  • suspensão parcial do funcionamento do banco de dados a que se refere a infração por até de 6 (seis) meses, prorrogável por igual período;
  • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração por até 6 (seis) meses, prorrogável por igual período;
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Além das sanções administrativas previstas pela LGPD, os titulares dos dados ainda podem requerer indenizações das empresas  que violarem a lei. Imagine que sua empresa trata de uma base de dados de 5 mil  pessoas, e em caso de um vazamento, 30% delas resolvam entrar com um pedido de indenização contra sua empresa. É possível que devido aos custos com os processos judiciais e indenizações, possam acarretar até mesmo a  falência de empresas.

Como minimizar a multa da LGPD?

As multas da LGPD somente poderão ser aplicadas após procedimento administrativo que possibilite a ampla defesa, e podem ser reduzidas através  da comprovação do uso de mecanismos capazes de minimizar os danos aos titulares dos dados tratados, como por exemplo a solução dfndr enterprise.

Neste caso, o dfndr enterprise atua como se fosse um “seguro de segurança,” com o qual é possível que as empresas tenham uma redução substancial nas penalizações da LGPD. No entanto, o benefício de ter uma solução de segurança como dfndr enterprise, vai além da prevenção aos vazamentos, é um investimento em seus negócios, uma vez que, muito em breve, a maioria dos consumidores e potenciais parceiros só vão aceitar se associar e fechar negócios com empresas que respeitem a LGPD e as boas práticas de segurança, proteção e privacidade de dados pessoais.

* Este conteúdo é meramente informativo, e não deve ser considerado ou interpretado como orientação ou aconselhamento jurídico de qualquer forma.