Com as discussões sobre privacidade se tornando ainda mais intensas e importantes, algumas normas estão sendo aprovadas sobre o assunto. Uma delas foi a GDPR (General Data Protection Regulation), que trata de segurança no escopo da União Europeia. Houve também esforços para aprovar algo semelhante aqui no Brasil, e o resultado foi a LGPD (Lei Geral de Proteção de Dados).

A nova lei busca controlar as relações comerciais e estabelecer direitos para os titulares. Nesse sentido, as empresas precisam atentar-se para os seus princípios, a fim de se reorganizarem para adaptar os processos. Assim, conseguem trabalhar com seus projetos, focando a segurança e a proteção desde o início e prevenindo riscos de exposição, ataques virtuais e multas.

Se quiser aprender sobre a LGPD e entender como obter compliance com essa regulação, acompanhe os tópicos a seguir.

O que é a LGPD?

A Lei Geral de Proteção de Dados surgiu em 2018, quando foi sancionada pelo então presidente da república Michel Temer. A discussão, contudo, já existia há um tempo. O objetivo foi criar algo parecido com o que já vigora na Europa, a GDPR.

Ambas as leis buscam reforçar a segurança de dados, estabelecer o respeito à privacidade e o controle por parte das pessoas que cedem informações.

Para gerenciar essa questão no Brasil, um órgão ficará responsável por isso: a Autoridade Nacional de Proteção de Dados, ou ANPD.

Com esse conjunto de regras, o ideal é tornar essas relações mais justas, de modo a afetar menos os usuários. Assim, há maior transparência e cuidado das empresas para prevenir ataques a esses dados pessoais.

A lei vale para qualquer instituição que tratar dados de pessoas brasileiras no Brasil, independentemente de ter uma sede aqui ou não. Com esse controle, a norma exige um nível maior de eficiência na gestão da segurança de dados, o que faz com que as empresas passem a encarar o assunto como prioridade.

Ou seja, isso é uma vantagem, já que estamos diante de um cenário de ataques virtuais e crimes cibernéticos se tornando comuns a cada dia. Nesse caso, é preciso proteger as pessoas e a integridade delas, bem como penalizar os que não apresentam conformidade e não cuidam da proteção como deveriam.

A partir de então, o gerenciamento da segurança deixa de se tornar um tema secundário e passa a integrar a customer experience também. Ou seja, se torna um aspecto diferencial para as empresas e uma obrigação delas em todos os passos da jornada do cliente.

Quais são os princípios da LGPD?

Neste tópico, apresentaremos de maneira detalhada os principais conceitos que a lei geral prescreve.

Consentimento

Um dos principais termos que a nova lei enfatiza é o consentimento. A partir da LGPD, é necessário obter a aprovação do usuário antes que uma empresa comece a gerenciar os seus dados. Ou seja, é necessário estabelecer um diálogo e solicitar o consentimento de cada titular, pois, só assim será possível usar esses dados para as operações internas.

Esse princípio tem como objetivo conter o abuso de muitas organizações na coleta de muitas informações de forma pouco transparente. Elas acabam levando o usuário a ceder as suas informações de forma pouco clara, sem uma aprovação direta e formal.

Existem, porém, algumas exceções ao uso com base no consentimento. São eles:

  • dados relacionados a obrigações legais;
  • para estudos de pesquisa;
  • quando houver preservação da vida do titular como um fim;
  • dados necessários para políticas públicas.

Finalidade e necessidade

Associadas ao conceito do consentimento estão a finalidade e a necessidade. Quando solicitar o uso de dados, as empresas deverão explicitar o porquê do uso e deixar bem claro para os clientes essa questão.

Isso implica que os dados deverão ser usados para atividades bem definidas e propósitos especificados. Assim, a recomendação é: quando não houver mais necessidade de uso, os dados deverão ser excluídos das bases.

Esse ponto naturalmente gera uma necessidade por organização das empresas, que deverão mapear os dados e saber exatamente para quê eles estão em suas bases. Com um controle que garante manter apenas as informações que estão sendo utilizadas no momento, os riscos de perda e de corrupção dessas informações diminuem consideravelmente.

Privacidade por design

Outra questão é a ideia de privacidade by design. Essa definição significa que as empresas deverão assegurar o controle da segurança e privacidade desde o início da concepção dos projetos. Em outras palavras, desde os primeiros passos da criação de um produto ou serviço. Isso garante um cuidado amplo e irrestrito que se estende do início ao fim para evitar erros de compliance.

Um exemplo prático disso é o controle mais rigoroso da privacidade desde o levantamento de requisitos, com mapeamento dos dados e estruturação da criação de canais para comunicação e solicitação de consentimento.

Conformidade de parceiros

Um dos pontos mais impactantes da LGPD é sua amplitude. A lei não somente vale para as empresas que controlam os dados, como também para outros parceiros que recebem essas informações e as administram. Assim, será preciso criar políticas de conformidade que são seguidas por todos os stakeholders, de maneira segura e precisa.

Nesse aspecto, podemos entender a relevância das questões sobre ter sede ou não no Brasil. Se dados brasileiros estiverem sendo tratados por empresas estrangeiras, elas ainda estão sujeitas às normas.

Titular, encarregado, controlador e operador

É fundamental também entender as terminologias da nova lei, a fim de esclarecer o papel dos envolvidos no tratamento dos dados. Temos quatro principais termos: o titular, o encarregado, o controlador e o operador.

O titular dos dados, como já falamos algumas vezes, é o dono das informações pessoais, que as cede se quiser, sob solicitação de consentimento e apresentação de devida finalidade. O controlador é a empresa que coleta e trata os dados, utiliza para algum objetivo e é responsável pelo que acontece com esses ativos informacionais.

Ao passo que o operador é o profissional que lida com os dados a mando do controlador, que pode ser um funcionário da empresa, por exemplo.

Por fim, o encarregado é outra prescrição da lei: cada organização deve delegar a função de controlar a conformidade para um profissional ou uma empresa parceira. Esse colaborador será responsável por fiscalizar a adaptação e garantir que haja proteção dos dados segundo a norma.

Livre acesso

A lei também prescreve que as pessoas titulares devem ter acesso livre e simplificado aos seus dados sempre que desejado. Ou seja, sempre que precisar, os clientes têm o direito de solicitar revogação do consentimento, alteração, exclusão, bem como quaisquer outras operações. Nesse sentido, as empresas devem manter os dados sempre disponíveis e em boa qualidade para atender a esses pedidos.

Portabilidade

Ainda na ideia do livre acesso, os titulares devem ter a capacidade de pedir portabilidade dos dados. Esse conceito trata da transferência de dados em blocos para que o cliente consiga utilizar os mesmos dados em outra plataforma.

É como o direito de mudar de operadora, mas manter o número. O cliente consegue finalizar a relação com a empresa, mas ainda detém o poder sobre seus dados e pode recuperá-los.

Controle da segurança

Evidentemente, a lei prevê que as empresas devem reforçar suas estratégias de segurança. É preciso focar maior transparência, controle, visibilidade e combater os principais riscos. Os órgãos fiscalizadores deverão sempre saber quais as medidas que estão sendo tomadas para garantir essa proteção a partir de prestação de contas e apresentação de relatórios.

Diferenças entre a definição dos dados

Ainda no plano conceitual, é fundamental definir as diferenças que existem na concepção sobre dados na LGPD. Existe uma clara distinção entre dados pessoais, dados sensíveis e dados anônimos.

Os dados pessoais são os principais ativos controlados pela lei. Tratam-se de dados que permitam identificação de qualquer pessoa. Já os dados sensíveis são mais específicos acerca das pessoas e podem ser alvo de discriminação, por isso, a lei estabelece que deve haver um cuidado maior. São eles: orientação religiosa, raça, opinião política etc.

Os dados anônimos são o contrário dos dados pessoais, pois passam por alguma estratégia de anonimização, como mascaramento de dados ou coleta de dados em grupo. Assim, eles não permitem identificar uma pessoa específica.

Quando se deve cumprir a LGPD?

A LGPD entraria em vigor em agosto de 2020. Contudo, por conta da pandemia e da crise gerada por essa situação, houve discussões que geraram o adiamento para 2021. Ou seja, são três anos desde que a lei foi aprovada para entrar em vigência.

Nesse tempo, o ideal é que as empresas já se preparem para estabelecer conformidade. Com ações práticas voltadas para a adaptação, a empresa já pode reduzir os impactos da mudança, de modo a garantir melhores resultados. Com o seguimento das dicas que mencionaremos neste artigo, é possível continuar nesse sentido.

Como são muitas ações, é preciso começar logo e já planejar o que é necessário fazer. Deixar para última hora não é recomendado e pode gerar prejuízos.

Quem é afetado pela LGPD?

O escopo da lei é um dos grandes destaques acerca dela. Ela gera impactos para diversos setores, tanto em nichos inteiros quanto em departamentos dentro de uma empresa. Qualquer organização que tratar dados de pessoas brasileiras está sujeita; e dentro das empresas, setores como o financeiro, TI, RH e marketing/vendas serão fortemente afetados.

No marketing, por exemplo, é muito comum contar com estratégias para coleta de dados dos usuários, de uma forma pouco clara. Em alguns casos, a empresa precisa do contato das pessoas e as obriga a receber mensagens e notificações por e-mail.

No entanto, essa questão precisará mudar: cada ação deverá ser acordada com o cliente, de modo a obter uma afirmação clara e específica de consentimento.

Da mesma forma, uma vez que os dados estiverem em bases corporativas, é preciso seguir o que já falamos e disponibilizar o direito de acesso, correção, eliminação e portabilidade. O consentimento que foi dado inicialmente pode ser facilmente revogado, o que garante que o controle é total do titular.

Assim, campanhas e estratégias que utilizam esses dados pessoais deverão ser redesenhados. Do mesmo modo, o setor de vendas, que se apoia em dados de sistemas CRM e pipeline, com registros dos contatos e dos possíveis clientes. É fundamental ter uma visão ampla e entender os pontos que necessitam de adaptação.

Nesse sentido, empresas totalmente voltadas ao marketing, que têm essa atividade como núcleo, precisarão de um esforço ainda maior. Tanto o processo de vendas, quanto o atendimento ao cliente terão que receber ajustes também.

No RH, as equipes geralmente contêm registros de funcionários, parceiros, bem como candidatos e ex-funcionários. Tudo terá que ser calcado pela visibilidade e transparência. Será necessário obter aprovação até mesmo dos próprios colaboradores com declaração exata dos dados que serão usados e para qual fim. O mesmo método deve ser usado com os outros.

No financeiro, é preciso também aplicar o mesmo cuidado com informações sobre transferências e pagamentos, decorrentes dos clientes e parceiros. Não se adaptar aos princípios da lei pode abrir brechas que podem gerar prejuízos muito grandes para a empresa. Discutiremos em um dos tópicos seguintes mais sobre os efeitos.

O setor de tecnologia terá a função de estruturar a empresa e garantir a proteção de dados. Diante desse novo momento, é dever dos profissionais do departamento assegurar os pilares da segurança da informação:

  • disponibilidade, que assevera que dados estejam sempre disponíveis e acessíveis;
  • integridade, que diz que os dados devem sempre estar claros e íntegros;
  • e confidencialidade, que trata do controle de acesso.

Além disso, o setor precisará de reformas tecnológicas para agregar ferramentas que apoiem esse novo momento. No geral, é fundamental ter uma visão maior e contar com uma postura analítica para otimizar as decisões.

Como se adequar à LGPD?

Neste tópico, examinaremos algumas abordagens práticas para adaptação à LGPD.

Tenha conhecimento dos dados

Para começar, é imprescindível que a empresa realize um bom mapeamento dos dados. Ou seja, é preciso identificar quais são os dados utilizados em cada sistema ou projeto, quem são os responsáveis por gerenciar esses dados, qual o ciclo de vida deles, qual a finalidade desses dados, entre outras questões.

Inclusive, a empresa deve começar a levantar as informações que precisam de consentimento, a fim de buscar a aprovação dos seus titulares. Desse modo, é possível ter uma garantia para evitar problemas de conformidade.

O mapeamento passa por um diagnóstico de todos os projetos, sistemas e bases da empresa, a fim de tentar gerar o máximo de visibilidade possível. Assim, a gestão terá visão ampla sobre todos os aspectos relacionados ao uso dos dados, de modo a obter a clareza necessária para implementar medidas protetivas.

Esse mapa ajudará tanto na própria visão interna quanto na capacidade de responder às requisições dos titulares, de acordo com sua vontade, como já definimos. Caso seja preciso alterar ou excluir, tudo estará disponível e fácil de acessar. Também se tornará mais fácil apresentar as finalidades de uso para as autoridades.

Utilize boas medidas de segurança

A outra dica é tomar cuidado com a segurança, ao estabelecer algumas medidas práticas eficientes. Estamos falando do reforço da proteção com a base das tecnologias, o que inclui uso de bons softwares antivírus, firewalls, backups, ferramentas de criptografia, aplicações de monitoramento, entre outros.

Em alguns casos, torna-se importante atentar para a computação em nuvem e seus princípios, já que representa maior proteção dos dados.

Nesse sentido, a adaptação para a nova lei requer uma reflexão da empresa sobre si mesma e um reajuste total da forma como pensa e encara a tecnologia. É crucial então buscar apoio para investir em mudanças na infraestrutura e adotar aplicações modernas que ajudem a acompanhar a rede, os dados e sistemas, e que realizem varreduras para proteger contra vírus e ameaças.

Nesse prisma, podemos incluir o uso de inteligência artificial para realizar análises preditivas que identificam riscos. Ao usar a inteligência para isso, a gestão consegue prever possíveis problemas antes que eles surjam, de modo a preparar-se para eles com ações combativas. Essa previsibilidade favorece o planejamento estratégico, bem como reforça a adaptação à LGPD.

Documente os dados

Depois de realizar o mapeamento, é indispensável também realizar a documentação dos dados. Esse processo servirá como uma forma de gerar transparência e organizar o uso de dados pessoais.

Ou seja, esse passo serve como um auxílio para reforçar os pilares da segurança da informação (disponibilidade, integridade e confidencialidade), bem como permitir maior clareza na prestação de contas para órgãos fiscalizadores.

Atualize-se

Além de um esforço técnico, o compliance com a Lei Geral de Proteção de Dados também requer uma auto avaliação e atualização de mentalidade. Por esse motivo, é necessário que as empresas se atualizem e saibam transmitir isso para os seus clientes.

Essa questão inclui revisar e redesenhar as políticas de privacidade, de modo a permitir o acesso dos titulares, sempre solicitar a permissão ativa e manter o foco na finalidade que foi estipulada para cada dado.

Contudo, atualização também envolve mudar o posicionamento de marca para focar o cumprimento da lei, bem como a segurança e a privacidade como um todo. É fundamental tentar trabalhar uma imagem de empresa realmente comprometida com esses assuntos, pois isso ajudará na relação com os clientes e na melhoria da reputação no mercado.

Claro, essa mudança nas políticas serve tanto para as pessoas de fora quanto para as internas, como um guia.

Trabalhe o engajamento dos colaboradores

O engajamento dos colaboradores é outro passo crucial, pois a conformidade depende do grupo, e não somente dos líderes. Todos os funcionários devem estar devidamente alinhados e comprometidos para que o processo seja natural e orgânico.

Por essa razão, a gestão deve treinar os membros acerca dos pontos da nova lei, bem como ensiná-los acerca das práticas a serem seguidas. Depois disso, vem o monitoramento e a fiscalização das ações.

Configure seus sistemas

A automação de marketing precisa seguir as regras da LGPD do mesmo modo que outras frentes. É preciso reconfigurar os sistemas de acordo com as novas políticas para garantir o melhor cuidado possível com o ideário da nova lei. Por exemplo, no caso de disparos de e-mail, a empresa precisará rever sua estratégia, a fim de obter conformidade.

Trabalhe os canais de comunicação

Para garantir adaptação à ideia do livre acesso, torna-se essencial abrir novos canais de comunicação. A empresa deve estar sempre disponível no atendimento ao cliente para que o titular possa solicitar quaisquer das operações que já mencionamos.

É fundamental pensar na experiência do cliente nesse momento e buscar um atendimento omnichannel: em diversos canais e mídias, de maneira integrada.

Quais as penalidades em caso de descumprimento da LGPD?

Caso as empresas não apresentem conformidade quando a lei começar a vigorar, diversas penalidades poderão ser aplicadas. Uma das penalidades é a advertência que pode ocorrer em casos de ataques virtuais, com um prazo determinado para a correção das brechas. Essa é um pouco mais branda.

Contudo, a depender da severidade dos acontecimentos, pode ser aplicada uma multa de até 50 milhões de reais. Isso certamente causará um forte impacto nas finanças da empresa, afetando diretamente o planejamento, a saúde e a sustentabilidade dela.

Além disso, pode haver também bloqueio dos dados, o que incorre em paradas operacionais até que os erros sejam solucionados.

Caso sofram ataques, as empresas precisarão informar com clareza o que ocorreu, o real impacto, bem como as medidas que já estão sendo tomadas para remediar os prejuízos. Quando houver infração da lei, esse fator poderá se tornar público, o que afeta a reputação e a credibilidade da organização.

Esse problema pode logo chegar aos clientes e gerar um impacto negativo neles. Essa falta de compliance vira uma propaganda contra a empresa e afasta novos contatos e os que já tinham feito algum negócio com a organização.

Como uma empresa especialista pode ajudar na adequação à LGPD?

Uma empresa especializada oferece uma ajuda que o negócio não conseguiria de outra forma. Ela oferece expertise, com o conhecimento necessário e aprofundado sobre todos os aspectos da lei, bem como é capaz de realizar um diagnóstico preciso da condição atual da organização.

Com a visão de fora e de especialistas, é viável, então, trabalhar nos pontos fracos e otimizar os pontos já fortes. O apoio de uma parceira ajuda para que os membros internos não precisem ficar sobrecarregados e permite que eles foquem outras questões do core business da empresa.

Assim, é possível identificar riscos e vulnerabilidades, bem como eliminar erros no processo de adaptação da empresa. Uma visão externa ajuda também a determinar as soluções específicas, de acordo com as características do negócio.

Dependendo das características do negócio, podem ser necessárias alterações grandes em processos e sistemas.

A LGPD já foi aprovada e logo estará em vigor. É fundamental apresentar conformidade com essa lei para evitar prejuízos, bem como fortalecer a imagem da empresa no mercado, com um melhor relacionamento com seus clientes e parceiros.

Para isso, é necessário revisar políticas, engajar funcionários, criar canais de comunicação, entre outras ações. Contar com uma parceria especializada pode ser a chave para melhores resultados.

Gostou da abordagem sobre o tema? Então, assine a nossa newsletter e continue por dentro de nossas atualizações.