LGPD

5 melhores práticas para conformidade a LGPD com orçamento baixo

Não é novidade que as empresas deverão se adequar à Lei Geral de Proteção de Dados (LGPD). Contudo, não são todas que possuem um orçamento para contratar serviços de implementação, principalmente quando se tratam de pequenas e médias empresas.

Neste artigo, vamos demostram que existem ações de conformidade que podem ser tomadas com um orçamento pequeno, permitindo aumentar a conformidade com a LGPD.

Por Daphne Camile Martins, Advogada

daphne.martins@zalafcampinas.com.br

23/06/2022 10h12

1. Promover a cultura de proteção de dados

É essencial que a empresa como um todo entenda a importância da proteção de dados pessoais. É fundamental que sejam feitos treinamentos, cursos e avaliações constantes para manter a cultura de proteção de dados na cabeça de todos. Sem o conhecimento da importância da proteção de dados, quaisquer outras medidas tendem a ser ineficazes. A simples realização de um mapeamento e a implementação de um projeto sem que os funcionários entendam sua importância e a sua necessidade não basta para manter a conformidade com a LGPD.

A proteção de dados deve estar interiorizada pelos funcionários, para que apliquem em suas atividades diárias em conformidade com a Lei.

2. Indicação de um encarregado de proteção de dados.

Nos termos do art. 41, a LGPD determina que todos os controladores devem designar um encarregado de proteção de dados (também conhecido como Data Protection Officer – DPO). Trata-se, basicamente, da figura responsável pela viabilidade de comunicação entre o titular, a empresa e a Autoridade Nacional de Proteção de Dados (ANPD), além de outras muitas possíveis atuações.

Porém, a ANPD publicou a Resolução CD/ANPD nº 2, de 27 janeiro de 2022, que aprova o Regulamento de Aplicação da LGPD para Agentes de Tratamento de Pequeno Porte que traz hipótese de dispensa da necessidade de indicação do encarregado.

O encarregado pode ser pessoa física e não há exigência sobre a sua formação. Portanto não é requisito ser advogado e tampouco profissional de segurança da informação. Apesar disso, conhecimentos jurídicos, de processos, de segurança da informação, de compliance e bom conhecimento dos negócios são fundamentais para o bom desempenho das funções. Dentre as funções do encarregado, destaca-se a orientação dos funcionários da empresa a respeito das boas práticas em relação à proteção de dados pessoais e o atendimento aos direitos dos titulares

3. Elaboração de Política e Aviso de Privacidade

Para maior transparência e melhor explicação do uso dos dados dos titulares, a política e aviso de privacidade são extremamente importantes, principalmente para efetivação dos princípios de transparência, segurança e prevenção.

A política de privacidade é um documento interno, dirigido aos membros da empresa, que diz como é o tratamento de dados pessoais indicando quem pode tratar ou tomar decisões sobre os dados pessoais, quais são as formas de tratamento, retenção, bem como quais são os direitos garantidos aos titulares. Já o aviso de privacidade trata-se de uma informação ao titular que descreve quais são os dados tratados, a forma de tratamento, suas finalidades, os períodos de retenção, bem como indica quais são seus direitos.

4. Disponibilização de um canal de comunicação com o titular

Dentre outras garantias asseguradas pela LGPD, o titular possui o direito de acesso a seus dados pessoais, de confirmação do tratamento, da correção de dados incompletos ou desatualizados, da revogação do consentimento e eliminação dos dados pessoais tratados nessa base legal. Nos termos do art. 19, inciso II da LGPD, o prazo para atendimento dos pedidos dos titulares é de 15 (quinze) dias.

As empresas de pequeno e médio porte tem que disponibilizar um canal para contato entre empresa e titular preferencialmente no site da empresa, para que os titulares consigam se comunicar e exercer seus direitos sem grandes esforços.

5. Elaboração dos Registros das Atividades de Tratamento

Os registros das atividades de tratamento, conhecidos como Records of processing activities (ROPA’s) pela legislação europeia, é um documento do qual constam os fluxos de dados pessoais da empresa, especificando quais são tratados, a forma e duração do tratamento, bem como sua finalidade e base legal.

6. – Conclusão

Existem muitas ações que as empresas precisam tomar para estar em conformidade com as leis de proteção de dados, especialmente com a LGPD. No entanto, esta lista é um ponto de partida com elementos fundamentais para o estabelecimento de um programa de proteção de dados.

Veja todas as notícias