• Eduardo Natale

7 dicas para ficar em compliance com a LGPD



Um projeto de adequação à Lei Geral de Proteção de Dados não é algo nada simples. É um projeto complexo, longo e adaptado para as necessidades da empresa, sendo necessária uma análise um tanto quanto profunda no negócio e nos seus processos, envolvendo suas tecnologias e pessoas.


Para iniciar um projeto desses, ter uma base teórica é fundamental. Tem que saber o que fazer, por onde começar. A ideia deste artigo é compartilhar um pouco desse conhecimento com você, para que a sua empresa esteja um pouco mais preparada para iniciar sua adequação à lei.


Tenha em mente que este não é um conselho jurídico para a sua a empresa e que um projeto de adequação é muito maior do que a presente lista. É um trabalho para muitos meses.


Para saber exatamente o que fazer para o seu negócio, você deve contar com uma consultoria especializada. Estas são algumas dicas simples, mas importantes, que se aplicam para as empresas em geral, inclusive da área da saúde.




1. Mantenha os dados organizados

Melhor, mantenha os dados pessoais muito bem organizados. A LGPD exige que você saiba quais dados possui, como os usa, porque, com quem compartilha, etc. Para conseguir isso, o mínimo é ter organização.


Se sua empresa ainda não começou um projeto para se adequar à lei, melhorar a organização dos dados é uma ação valiosa e que vai facilitar o trabalho daqueles que futuramente se envolverão na (muitas vezes árdua) missão de buscar o compliance à LGPD.


Alguns exemplos de como manter bancos de dados organizados ajudará seu negócio:

  • Se o titular exercer algum dos seus direitos, como o de acesso, você tem que saber onde seus dados estão, para encontrá-los rapidamente.

  • Se sua empresa sofrer uma fiscalização da ANPD, por exemplo exigindo um relatório de impacto à proteção de dados pessoais, é necessário saber que tipo de dados dos titulares você está utilizando.




2. Quanto menos, melhor

Um importantíssimo princípio da LGPD é o da necessidade. Significa, basicamente, que você não deve tratar mais dados do que precisa. Dessa forma, a empresa deve coletar e processar o mínimo necessário para a obtenção das suas finalidades.


Ou seja, você não pode ficar com dados que você não sabe o que fazer. Você tem que ter bem claro porque possui determinado tipo de dado.


A propósito, armazenar menos dados ajuda a protegê-los. A segurança da informação ensina que o custo de um dado é basicamente o custo para mantê-lo seguro. Então, antes de coletar e armazenar um dado, faz sentido pensar se vale a pena tê-lo consigo.


Muitas vezes o benefício de um tipo de dado não compensa o custo e o risco de tratá-lo. O que nos leva ao próximo item.




3. Mantenha os dados seguros

A segurança da informação é fundamental para a proteção de dados pessoais. É um conceito diferente, mas muito importante. Ela busca, principalmente, garantir três coisas:

  • a confidencialidade (ninguém não autorizado deve acessar a informação);

  • a integridade (o conteúdo deve permanecer correto, intacto); e

  • a disponibilidade (a informação deve ser acessível quando necessário).

Já a proteção de dados é mais abrangente, engloba o conceito de segurança da informação. E se você tiver uma forte segurança, terá um bom caminhado andado. E isso você pode verificar com seu setor ou fornecedor de TI. Para começar, avalie as medidas de segurança existentes. Pergunte-se:

  • Como é a segurança do prédio?

  • Alguém do público conseguiria acessar os dados dos clientes ou funcionários?

  • Os sistemas de informática estão seguros?

  • Atualizações são instaladas regularmente?

  • Os sistemas monitoram atividades suspeitas?

  • Existe cópia de segurança (backup)?

  • Existem políticas e procedimentos adequados em vigor?

Não se esqueça de documentar essa avaliação de riscos e as medidas de segurança adotadas. A LGPD exige que a empresa possa demonstrar o seu cumprimento. Isso nos leva ao item seguinte.




4. Guarde as provas

Outro princípio muito importante da LGPD é o da responsabilização e prestação de contas. Isso significa que, além de tomar as medidas necessárias para cumprir a lei, é necessário também ser capaz de demonstrar a realização dessas medidas.


Então, vá regularmente guardando as evidências do que você estiver fazendo para se adequar às normas de proteção de dados, o quê, quando, quem, como… tudo que for relevante. A LGPD espera que você faça isso.




5. Tenha uma política muito clara

Seu negócio deve ser transparente. E para demonstrar transparência, você tem que ter regras claras e fáceis de entender.


Isso pode ser atingido através de uma política de privacidade. Você provavelmente já tem uma no seu site, mas terá que revisá-la para verificar se está de acordo com os padrões da LGPD. Fale sobre:

  • quais dados você vai coletar;

  • por que precisa deles (finalidades);

  • como você vai tratá-los;

  • se vai compartilhá-los, com quem o fará;

  • quem são os agentes de tratamento.


Saiba a diferença entre políticas de privacidade e de proteção de dados aqui.




6. Faça toda a equipe conhecer as regras da LGPD

Toda a empresa é responsável, e dados pessoais costumam circular pela grande maioria dos setores de um negócio. Isso é particularmente verdade na área da saúde, que lida com um volume muito grande de dados pessoais e, sobretudo, dados sensíveis, que requerem uma atenção redobrada.


Você quer que cada funcionário tenha pelo menos uma noção mínima sobre proteção de dados. Para tanto, é necessário realizar treinamentos e capacitar os colaboradores.




7. Se você utilizar e-mail marketing, torne fácil a saída da lista

Primeiro, é aconselhável buscar o consentimento para dirigir comunicações de marketing ao titular. Em teoria é possível enquadrá-las em outra base legal, como o legítimo interesse, mas isso pode ser mais arriscado.


Se você fizer isso, por exemplo, a Autoridade Nacional de Proteção de Dados pode exigir que o seu negócio elabore um relatório de impacto à proteção de dados pessoais. Dá para dizer que, de maneira geral, quanto menos a base legal do legítimo interesse for utilizada, menor será o ônus sobre o controlador.


De qualquer forma, você deve garantir que seja fácil para o usuário cancelar o recebimento das comunicações quando quiser. Inclusive porque o titular pode revogar o consentimento a qualquer momento.


Não se esqueça que, além de e-mail marketing, o mesmo se aplica para mensagens de texto (SMS, WhatsApp) e ligações.

A LGPD veio para colocar o titular no comando dos seus próprios dados pessoais. Seguindo estas simples dicas você respeitará os direitos dos titulares e estará mais próximo do compliance à lei brasileira de dados pessoais.


Se você tiver qualquer pergunta, fique à vontade para mandar um e-mail para contato@natale.adv.br


Inscreva-se na nossa newsletter

Receba no seu e-mail nossos artigos sobre Proteção de Dados

2020 Eduardo Natale Advocacia. Todos os direitos reservados.

  • Linkedin
  • Twitter
  • Facebook