A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) inseriu o nosso País em um contexto global de legislação de proteção de dados. Ela se aplica a qualquer atividade realizada ou indivíduo localizado no Brasil, desde que os dados pessoais tenham sido coletados no território nacional, independentemente do país de sede da empresa ou onde estejam situados esses dados.

Não perca tempo, comece a implementar!

Embora a lei entre em vigor somente em fevereiro de 2020, dezoito meses após a data de sua publicação que ocorreu no dia 14 de agosto de 2018, tal fato não deve ser impeditivo para o imediato início do trabalho. Compete ao time jurídico da sua empresa aconselhar e montar um cronograma de adequação, evitando assim surpresas quando a lei efetivamente passar a vigorar. Nesse caso específico o fator tempo deverá caminhar ao lado do fator execução.

Quanto antes as empresas se atentarem para as novas obrigações menor será o risco de penalidades, como multas de grande escala, processos administrativos e ações judiciais massificadas. Então vamos evitar uma briga com o tempo e entender como o teor dessa nova lei afeta a sua empresa desde o cadastro preenchido pelo seu cliente até à newsletter enviada por e-mail.

1) Conscientize e prepare sua equipe e líderes

O primeiro passo é olhar para dentro do quintal de casa. Deixe seu time consciente do problema: alerte a liderança e a equipe operacional sobre as mudanças que estão por vir e informe quais são os riscos e penalidades pelo descumprimento dessas obrigações.

Então defina quais serão as novas características da governança de dados da sua empresa e promova treinamentos, compartilhe conteúdo e principalmente, acompanhe a execução das atividades.

Nesse cenário é importante que seus documentos jurídicos reportem claramente as novas regras, que a equipe de atendimento esteja preparada para responder às dúvidas dos clientes, a equipe técnica promova um ambiente seguro para o armazenamento da informação, a equipe de marketing deverá possuir autorização dos leads para enviar comunicação, e assim por diante.

2) Faça um diagnóstico e mapeie o grau de sensibilidade das informações

O segundo passo é fazer um diagnóstico identificando o grau de sensibilidade das informações que sua empresa detém. Nesse momento é importante identificar quais são os dados pessoais que sua empresa possui, onde armazena, com quem compartilha, quem tem acesso e qual a origem deles.

A título de exemplo podemos citar desde o opt-in de cadastro, os cookies usados no site, os IPs atribuídos aos usuários, até as famosas listas de banco de dados muito utilizadas para a prospecção comercial. O titular dos dados deverá estar ciente desse movimento, autorizar a sua finalidade e ter direito a exclusão dessas informações quando for solicitado.

Devemos nos atentar ao processo de fluxo da informação e documentar cada etapa, para mensurar a probabilidade de vazamento de informação dentro da sua organização. Um cuidado especial para as informações sensíveis, pois havendo sua utilização para fins discriminatórios, a política da lei é ainda mais limitada.

3)  Revise e adeque os documentos a lei

Ultrapassada a fase de mapeamento é hora de partir para a adequação dos documentos, revisar os que já são utilizados, produzir os que ainda não possui e definir quem irá validar. Um profissional especializado é fundamental para verificar se as informações estão de acordo, como exemplo o conteúdo dos contratos com o cliente, os contratos próprios da relação de trabalho, as políticas de privacidade, as políticas de coleta de dados, os termos de uso do site, os termos de confidencialidade, as condições de remoção do cadastro, dentre outros.

Os documentos informativos precisam ser objetivos, simples e de fácil acesso. Deverão conter a realidade do seu modelo de negócio adequado a nova lei, sem se pautar em documentos já existentes ou copiados de outra organização.

4) Nomeie um profissional responsável

Por fim, nomeie um profissional dentro da sua empresa que será a interface responsável pela comunicação organizacional e com os agentes externos. Defina suas responsabilidades, a quem deverá reportar, qual a ferramenta de apoio irá utilizar e como mensurar os resultados.

Atenção às sensações!

Observem que as principais inovações da LGPD para as empresas são a definição das hipóteses legais que autorizam o tratamento de dados, a concepção de direitos inerentes aos titulares de dados, as regras específicas para o tratamento de dados e principalmente, estabelece a figura de agentes responsáveis, como exemplo o controlador que tem por papel principal garantir a conformidade da empresa com a lei.

Importante visualizar que a autoridade de proteção de dados permeia todo o texto da lei. Portanto, incentivar regras de boas práticas e governança é o melhor caminho para as empresas, tendo em vista que a nova lei estabelece sanções administrativas de multa que poderão alcançar 2% (dois por cento) do faturamento da empresa até o limite de R$ 50.000.000,00 (cinquenta milhões).