LGPD: conheça os principais desafios para as empresas
Embora a LGPD ( Lei Geral de Proteção de Dados ) seja uma realidade no Brasil desde 25 de maio de 2018, empresas de diferentes portes e segmentos ainda lutam para adequar suas atividades e garantirem a conformidade com a Lei.
O Senado aprovou, no dia 29 de maio de 2019, a Medida Provisória 869/2018 que recria a Autoridade Nacional de Proteção de Dados (ANPD), nos termos do Projeto de Lei de Conversão (PLV) 7/2019, aprovado pela Câmara de Deputados.
A Medida Provisória tem como objetivo oferecer maior proteção aos dados pessoais e determina exceções em que o poder público poderá compartilhar estes dados à iniciativa privada, desde que o fato seja previamente comunicado ao novo órgão.
De acordo com o texto aprovado, a Autoridade de Proteção de Dados será um órgão da administração pública responsável por normatizar, implementar e fiscalizar o cumprimento da Lei que trata da proteção de dados pessoais no Brasil (Lei nº 13.709/18).
As regras estabelecidas na Lei Geral de Proteção de Dados foram criadas para garantir a privacidade dos dados pessoais dos consumidores, estabelecendo melhores práticas para padronizar a forma como as empresas coletam, usam, arquivam e os transferem.
Mesmo que o website de uma empresa colete dados simples dos seus usuários, é necessário cumprir as regulamentações. A regulamentação prevê graves sanções pelo descumprimento de suas regras. As penalidades podem ir até 2% das receitas de negócios anual global ou 50 milhões por infração(o que for maior).
Em alguns outros casos, estas sanções podem ir até 4% das receitas de negócios anual global ou 20 milhões de euros (o que for maior), as quais independem das medidas corretivas que podem ser impostas pelas autoridades supervisoras.
Durante o processo de implantação, as empresas receberam informações e advertências sobre as políticas em mudança por meio de variados canais de comunicação e notificações.
Entretanto, as complexas mudanças estruturais significam uma revisão completa de qualquer coisa remotamente relacionada aos dados em todas as empresas — mesmo para organizações fora da União Europeia e do Reino Unido que fazem negócios por lá.
Nesse cenário, existem cinco principais desafios que as empresas precisam resolver imediatamente em relação aos dados:
- Armazenamento de dados e acesso;
- Conformidade e treinamento de equipe;
- Direitos dos titulares dos dados;
- Notificações de dados;
- Adaptabilidade e escalabilidade.
A LGPD não afeta apenas os departamentos de TI; em vez disso, esse novo regulamento chega longe, dos recursos humanos ao financeiro e qualquer pessoa intermediária que toca nos dados. As empresas que lidam com esses cinco desafios estarão mais preparadas para garantir o compliance com a nova lei. Para te ajudar, veja como esses desafios se desdobram e o que fazer para superá-los abaixo!
Armazenamento de dados e acesso na LGPD
As empresas que armazenam dados em um só lugar podem ter mais facilidade com essa primeira etapa, já que é preciso primeiro avaliar onde os dados são armazenados e quem tem acesso a quais dados. As organizações precisam auditar todas as fontes para analisar o que é coletado, como são usados, quem pode usá-los e por quanto tempo.
Felizmente, existem ferramentas na nuvem para ajudar as organizações a centralizar dados de várias fontes e monitorar seu uso. As empresas que não usam uma plataforma devem considerar investir em uma para garantir que elas saibam onde todos os dados residem e quem vê o quê.
Além disso, a LGPD refere-se à integridade e confidencialidade dos dados pessoais. Ela diz que os dados pessoais devem ser processados de forma a garantir a segurança adequada, incluindo a proteção contra o processamento não autorizado ou ilegal e contra perdas, destruições ou danos acidentais.
Isso significa que você deve ter segurança apropriada para evitar que os dados pessoais que você possui sejam acidentalmente ou deliberadamente comprometidos. Além disso, é fundamental que você classifique cada um desses dados de acordo com os níveis de confidencialidade a fim de realizar uma gestão de segurança mais eficiente.
Você deve se lembrar que, embora a segurança da informação às vezes seja considerada como segurança cibernética (a proteção de suas redes e sistemas de informações contra ataques), ela também abrange outras medidas, como medidas de segurança física e organizacional.
Conformidade e treinamento de equipe
Todas as equipes precisam entender as mudanças e regulamentos da LGPD e como isso se aplica ao seu trabalho diário. Isso significa muito mais colaboração entre equipes que devem ser feitas rapidamente.
A LGPD está tornando o uso de dados mais transparente para os consumidores, o que significa que os representantes de atendimento ao cliente precisarão saber quais informações podem divulgar, o que não podem e o que constitui não-conformidade.
O ideal é que os representantes e vendedores não precisem perguntar à equipe de TI ou de dados toda vez que receber uma solicitação; em vez disso, as empresas devem treinar indivíduos para poder responder rápida e corretamente a perguntas.
A equipe de atendimento ao cliente precisará ter comunicação próxima com as equipes jurídicas, financeiras e de RH, para atualizá-las em quaisquer desenvolvimentos ou problemas. As empresas que começarem a definir este processo agora terão uma transição suave na implementação da LGPD.
Veja os 4 passos para criar uma cultura de segurança da informação na empresa
Direitos dos titulares dos dados
Os direitos dos titulares de dados são uma das maiores mudanças e desafios da LGPD. Sob o novo regulamento, os titulares de dados têm o direito de obter:
- os propósitos do processamento;
- as categorias de dados pessoais em causa;
- os destinatários ou categorias de destinatários a quem os dados pessoais foram ou serão divulgados, em especial os destinatários em países terceiros ou organizações internacionais;
- o período previsto para o qual os dados pessoais serão armazenados ou, se não for possível, os critérios utilizados para determinar esse período;
- o direito de solicitar à parte responsável pelo tratamento a retificação ou o apagamento de dados pessoais ou a restrição do tratamento de dados pessoais relativos ao titular dos dados ou de se opor a esse tratamento;
- o direito de apresentar queixa junto de uma autoridade de supervisão;
- qualquer informação disponível quanto à sua fonte, quando os dados pessoais não são recolhidos diretamente pela empresa.
As empresas não têm ideia de quantas solicitações receberão, mas precisam se preparar para uma quantidade significativa com um processo robusto. Elas podem usar plataformas de ciência de dados para implementar um processo sólido e praticar o processo até a implementação.
Como as violações da LGPD resultam em penalidades acentuadas, as organizações que configuram um processo agora têm tempo para encontrar falhas em seu sistema interno e alertar os membros da equipe necessários.
Além disso, uma plataforma de dados pode automatizar esse processo para a organização, mantendo a transparência sobre quem faz o quê dentro da empresa. Aqueles que investem em uma plataforma devem começar agora para treinar os membros da equipe apropriados e atualizar a empresa sobre as melhores práticas.
Notificações de dados
Quando um usuário de dados solicita informações, a LGPD estipula que elas devem ser fornecidas de forma concisa, transparente, inteligível e de fácil acesso, usando linguagem clara e simples, em particular para qualquer informação dirigida especificamente a uma criança.
As empresas não podem mais usar linguagem vaga sobre os dados do consumidor, que possam confundir ou induzi-lo ao erro. Isso significa que todos os avisos de privacidade provavelmente precisam ser reescritos para estar em conformidade com a LGPD
As empresas devem fazer um balanço de todas as notificações de privacidade, avaliar se as informações podem ser lidas por uma criança e reescrever de acordo. Além disso, as empresas provavelmente terão que criar políticas de privacidade, já que a LGPD concede mais acesso aos dados. Uma vez que os negócios solidifiquem os processos de solicitação de assunto dos dados, eles devem escrever avisos correspondentes que sejam fáceis de entender.
Adaptabilidade e escalabilidade
Novamente, algumas premissas usadas na LGPD são vagas, o que significa que as empresas precisam implementar processos que possam se adaptar à mudança. Além disso, a solução também precisa ser escalonável para processar mais solicitações de assunto de dados.
As empresas devem usar plataformas tecnológicas que permitam transparência dentro da equipe, juntamente com a conformidade com a LGPD. Como essas regulamentações são novas, haverá uma curva de aprendizado, mas as empresas com soluções organizadas terão melhores condições do que aquelas que tentam se adaptar mais tarde.
Abordar esses desafios é apenas o começo para se tornar compatível com a LGPD Há muitas mudanças estruturais menores que as organizações precisarão fazer também. No entanto, usando uma solução tecnológica que possa agilizar o processo, elas estarão em melhor posição para fazer pequenas alterações.
E a sua empresa: já está em conformidade com a LGPD? E qual é ou foi o maior desafio enfrentado para estar em conformidade? Comente abaixo e compartilhe suas experiências conosco!