Checklist LGPD: será que sua empresa está em conformidade?

Neste artigo, faremos um checklist LGPD para te ajudar a identificar se a sua empresa está em conformidade com as normas de proteção 

A LGPD (Lei Geral de Proteção de Dados) afeta a rotina tanto das organizações estrangeiras como das brasileiras, pois a lei determina que as empresas que atuam no Brasil devem ter maior atenção ao lidar com dados pessoais. 

Desta forma, a LGPD não apenas exige que as organizações sejam mais transparentes ao usarem dados de clientes e usuários, mas também estipula regras que envolvem segurança e privacidade.

Continue a leitura a seguir e entenda um pouco mais sobre a função da LGPD nas empresas e, através do checklist LGPD que preparamos, avalie a necessidade de rever a segurança do sistema usado na sua empresa!

 

A LGPD nas organizações

Antes de chegarmos ao nosso checklist, vamos enfatizar que a Lei Geral de Proteção de Dados se emprega em qualquer empresa que opera ou faça negócios no Brasil. 

Todos os tamanhos estão incluídos, de pequeno a grande porte. Além de todos os setores, como empresas de saúde, finanças, tecnologia, educação e prestação de serviços.

Esse ponto, por sinal, gerou inúmeros debates, já que alguns profissionais da área não acham certo a lei ser válida da mesma forma tanto para grandes quanto para pequenas organizações. 

De qualquer forma, vale ressaltar que um dos artigos da LGPD informa que a Autoridade Nacional de Proteção de Dados (ANPD), responsável pela aplicação da lei, pode desenvolver variadas normas e procedimentos para micro e pequenas empresas.

 

Checklist LGPD para análise de conformidade

Veja através do nosso checklist LGPD, alguns fatores essenciais para que a sua organização corresponda as diretrizes da Lei Geral de Proteção de Dados:

 

Você compreende o fluxo de informações dentro de sua empresa?

A primeira etapa para estar em conformidade com a LGPD é saber como ocorre o fluxo de dados pessoais na sua organização. 

Ou seja, entender onde, como e quais informações de parceiros, clientes, usuários e colaboradores são coletados, utilizados ​​e armazenados.

Vamos a um exemplo simples: façamos de conta que o seu negócio seja na área de saúde, os pacientes normalmente preenchem um formulário com informações pessoais como o nome completo e número de telefone, correto? 

Logo em seguida, algum funcionário passa os dados preenchidos para um sistema no computador e então um assistente administrativo ou médico, pode ter acesso a essas informações. 

Este é o começo do fluxo de informações e o seu negócio precisa exatamente disso, só que mais completo e especificado.

 

Você nomeou um responsável pelos dados da sua empresa?

A LGPD destaca a necessidade de criar o cargo de DPO (Data Protection Officer), que é a pessoa na empresa que se responsabiliza por intermediar o processamento dos dados e a operação.

Entre as principais funções do DPO podemos destacar: ensinar aos colaboradores da organização sobre as normas de segurança de dados e agir como um meio de comunicação entre os proprietários dos dados, a empresa e a autoridade de proteção de informações.

A lei, porém, afirma que a ANPD pode nomear regras que dispensam o DPO, dependendo da quantidade de processamento de dados ou do porte da empresa.

 

 

 

 

A sua empresa coleta apenas informações relevantes para o seu desenvolvimento?

A lei enfatiza muito a questão dos dados essenciais e isso significa que você deve coletar somente informações que sejam de fato relevantes para o seu negócio.

Como exemplo, podemos mencionar que a LGPD julga incabível se, ao preencher um formulário em uma loja de roupas, o cliente for obrigado a informar sua origem étnica. 

Outro exemplo é algumas religiões não permitirem a transfusão de sangue. Conforme a lei, a clínica ou hospital só deve perguntar ao paciente se o mesmo aceita receber uma transfusão de sangue; e não sobre a sua religião.

Percebe a diferença?

 

A sua empresa é transparente sobre o tempo de uso de dados?

O término do processamento de dados é um conceito que deve ser considerado ao lidar com a LGPD. 

Segundo a lei, as organizações devem estabelecer o tempo de vida das informações. Ou seja, o processamento de dados pessoais deve finalizar quando o objetivo for atingido.

Após esse período, as informações devem se tornar anônimas, sendo diferenciadas do seu objeto, para que não seja possível descobrir a quem pertence tal informação.

 

O seu site ou outro ponto de coleta de dados está devidamente adaptado?

A LGPD determina que a sua empresa seja transparente e é necessário deixar claro para o usuário quais são as suas reais intenções ao coletar e utilizar informações

Vamos a mais um exemplo: ao recorrer a cookies distintos em seu site para coletar dados do usuário, é preciso ser muito claro e ter a autorização do mesmo. 

Na LGPD, é importante informar quais tecnologias você usa, como Google Analytics, seu propósito e o tempo de uso de informações, além de deixar os campos acessíveis para que o usuário possa alterar as suas configurações e ter acesso à política de privacidade da sua organização.

 

A sua empresa tem um canal de comunicação com usuários e clientes? 

Conforme a legislação, os usuários e clientes têm o direito de saber como seus dados foram usados e exigir uma cópia dos mesmos

 

Além disso, eles podem ordenar que as informações sejam editadas, excluídas ou transformadas em anônimas.

A responsabilidade de atender a essas solicitações é da empresa, desde que não ocorra divergência com outros regulamentos e leis. Um jeito simples da sua empresa atingir esse objetivo é disponibilizando os contatos do seu DPO.

 

Você adotou medidas de prevenção e proteção contra vazamentos e ataques na sua empresa?

A lei é bem objetiva com relação à segurança da informação e determina que as empresas utilizem soluções técnicas e administrativas para preservar os dados.

Sendo assim, é essencial para a sua empresa evitar ameaças e ataques que podem levar a uma violação de dados. 

Uma boa forma de começar seria adotar uma solução para proteger o e-mail, já que atualmente é a principal fonte de ameaças. Também é importante proteger os computadores, as redes e limitar o acesso às informações.

 

A sua empresa desenvolve o relatório de impacto à proteção de dados?

Há uma parte da lei que informa a existência do documento chamado Relatório de Impacto à Proteção de Dados Pessoais, que pode ser requerido pela autoridade de proteção de dados. 

Para estar em conformidade com a LGPD, a organização precisa deste documento que é, basicamente, um conjunto dos tópicos anteriores abordados neste checklist LGPD. 

É um documento que especifica o fluxo e processamento de informações, incluindo meios de prevenção de incidentes, mecanismos para diminuição de riscos e segurança. Podemos identificá-lo como um guia para a proteção da informação da sua organização.

Para cumprir a Lei Geral de Proteção de Dados é preciso investir energia e tempo para identificar e compreender o ciclo de informações do seu negócio. 

Analisar este checklist LGPD é um bom jeito de começar, pois ele oferece a você uma ideia mais ampla do que precisa ser realizado e como deve ser realizado. Para ajudar ainda mais no seu entendimento sobre o assunto, baixe também o nosso e-book Gestão de Vulnerabilidades e LGPD!

Receba novidades:







    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *