
Checklist LGPD: será que sua empresa está em conformidade?
Neste artigo, faremos um checklist LGPD para te ajudar a identificar se a sua empresa está em conformidade com as normas de proteção
A LGPD (Lei Geral de Proteção de Dados) afeta a rotina tanto das organizações estrangeiras como das brasileiras, pois a lei determina que as empresas que atuam no Brasil devem ter maior atenção ao lidar com dados pessoais.
Desta forma, a LGPD não apenas exige que as organizações sejam mais transparentes ao usarem dados de clientes e usuários, mas também estipula regras que envolvem segurança e privacidade.
Continue a leitura a seguir e entenda um pouco mais sobre a função da LGPD nas empresas e, através do checklist LGPD que preparamos, avalie a necessidade de rever a segurança do sistema usado na sua empresa!
A LGPD nas organizações
Antes de chegarmos ao nosso checklist, vamos enfatizar que a Lei Geral de Proteção de Dados se emprega em qualquer empresa que opera ou faça negócios no Brasil.
Todos os tamanhos estão incluídos, de pequeno a grande porte. Além de todos os setores, como empresas de saúde, finanças, tecnologia, educação e prestação de serviços.
Esse ponto, por sinal, gerou inúmeros debates, já que alguns profissionais da área não acham certo a lei ser válida da mesma forma tanto para grandes quanto para pequenas organizações.
De qualquer forma, vale ressaltar que um dos artigos da LGPD informa que a Autoridade Nacional de Proteção de Dados (ANPD), responsável pela aplicação da lei, pode desenvolver variadas normas e procedimentos para micro e pequenas empresas.
Checklist LGPD para análise de conformidade
Veja através do nosso checklist LGPD, alguns fatores essenciais para que a sua organização corresponda as diretrizes da Lei Geral de Proteção de Dados:
Você compreende o fluxo de informações dentro de sua empresa?
A primeira etapa para estar em conformidade com a LGPD é saber como ocorre o fluxo de dados pessoais na sua organização.
Ou seja, entender onde, como e quais informações de parceiros, clientes, usuários e colaboradores são coletados, utilizados e armazenados.
Vamos a um exemplo simples: façamos de conta que o seu negócio seja na área de saúde, os pacientes normalmente preenchem um formulário com informações pessoais como o nome completo e número de telefone, correto?
Logo em seguida, algum funcionário passa os dados preenchidos para um sistema no computador e então um assistente administrativo ou médico, pode ter acesso a essas informações.
Este é o começo do fluxo de informações e o seu negócio precisa exatamente disso, só que mais completo e especificado.
Você nomeou um responsável pelos dados da sua empresa?
A LGPD destaca a necessidade de criar o cargo de DPO (Data Protection Officer), que é a pessoa na empresa que se responsabiliza por intermediar o processamento dos dados e a operação.
Entre as principais funções do DPO podemos destacar: ensinar aos colaboradores da organização sobre as normas de segurança de dados e agir como um meio de comunicação entre os proprietários dos dados, a empresa e a autoridade de proteção de informações.
A lei, porém, afirma que a ANPD pode nomear regras que dispensam o DPO, dependendo da quantidade de processamento de dados ou do porte da empresa.
A sua empresa coleta apenas informações relevantes para o seu desenvolvimento?
A lei enfatiza muito a questão dos dados essenciais e isso significa que você deve coletar somente informações que sejam de fato relevantes para o seu negócio.
Como exemplo, podemos mencionar que a LGPD julga incabível se, ao preencher um formulário em uma loja de roupas, o cliente for obrigado a informar sua origem étnica.
Outro exemplo é algumas religiões não permitirem a transfusão de sangue. Conforme a lei, a clínica ou hospital só deve perguntar ao paciente se o mesmo aceita receber uma transfusão de sangue; e não sobre a sua religião.
Percebe a diferença?
A sua empresa é transparente sobre o tempo de uso de dados?
O término do processamento de dados é um conceito que deve ser considerado ao lidar com a LGPD.
Segundo a lei, as organizações devem estabelecer o tempo de vida das informações. Ou seja, o processamento de dados pessoais deve finalizar quando o objetivo for atingido.
Após esse período, as informações devem se tornar anônimas, sendo diferenciadas do seu objeto, para que não seja possível descobrir a quem pertence tal informação.
O seu site ou outro ponto de coleta de dados está devidamente adaptado?
A LGPD determina que a sua empresa seja transparente e é necessário deixar claro para o usuário quais são as suas reais intenções ao coletar e utilizar informações.
Vamos a mais um exemplo: ao recorrer a cookies distintos em seu site para coletar dados do usuário, é preciso ser muito claro e ter a autorização do mesmo.
Na LGPD, é importante informar quais tecnologias você usa, como Google Analytics, seu propósito e o tempo de uso de informações, além de deixar os campos acessíveis para que o usuário possa alterar as suas configurações e ter acesso à política de privacidade da sua organização.
A sua empresa tem um canal de comunicação com usuários e clientes?
Conforme a legislação, os usuários e clientes têm o direito de saber como seus dados foram usados e exigir uma cópia dos mesmos.
Além disso, eles podem ordenar que as informações sejam editadas, excluídas ou transformadas em anônimas.
A responsabilidade de atender a essas solicitações é da empresa, desde que não ocorra divergência com outros regulamentos e leis. Um jeito simples da sua empresa atingir esse objetivo é disponibilizando os contatos do seu DPO.
Você adotou medidas de prevenção e proteção contra vazamentos e ataques na sua empresa?
A lei é bem objetiva com relação à segurança da informação e determina que as empresas utilizem soluções técnicas e administrativas para preservar os dados.
Sendo assim, é essencial para a sua empresa evitar ameaças e ataques que podem levar a uma violação de dados.
Uma boa forma de começar seria adotar uma solução para proteger o e-mail, já que atualmente é a principal fonte de ameaças. Também é importante proteger os computadores, as redes e limitar o acesso às informações.
A sua empresa desenvolve o relatório de impacto à proteção de dados?
Há uma parte da lei que informa a existência do documento chamado Relatório de Impacto à Proteção de Dados Pessoais, que pode ser requerido pela autoridade de proteção de dados.
Para estar em conformidade com a LGPD, a organização precisa deste documento que é, basicamente, um conjunto dos tópicos anteriores abordados neste checklist LGPD.
É um documento que especifica o fluxo e processamento de informações, incluindo meios de prevenção de incidentes, mecanismos para diminuição de riscos e segurança. Podemos identificá-lo como um guia para a proteção da informação da sua organização.
Para cumprir a Lei Geral de Proteção de Dados é preciso investir energia e tempo para identificar e compreender o ciclo de informações do seu negócio.
Analisar este checklist LGPD é um bom jeito de começar, pois ele oferece a você uma ideia mais ampla do que precisa ser realizado e como deve ser realizado. Para ajudar ainda mais no seu entendimento sobre o assunto, baixe também o nosso e-book Gestão de Vulnerabilidades e LGPD!