Definir a forma como os dados serão coletados, processados e protegidos é fundamental para qualquer empresa para estar de acordo com a LGPD (Lei Geral de Proteção de Dados), bem como estabelecer de forma clara e objetiva as boas práticas que serão consolidadas dentro da empresa, englobando todos os procedimentos e conscientizações internos necessários. Ao implementar boas práticas de proteção de dados e privacidade, facilita-se a adequação à lei.
A adequação necessária à LGPD envolve uma série de medidas a serem tomadas e validadas, variando de acordo com as particularidades de cada empresa. Por ser uma legislação bem principiológica, diz muito o que deve ser feito e que é bom que seja feito, mas não como deve ser feito, sendo assim, os agentes de tratamento têm liberdade para estabelecer os seus modelos de governança.
Abaixo citaremos algumas boas práticas que toda empresa deve saber e se atentar.
Mapeamento de dados (Data mapping): é necessário observar como é feito o mapeamento de dados, ou seja, como esses dados são coletados, como circulam na empresa durante todo o seu ciclo de vida, da coleta até o descarte, como a empresa os utiliza; é preciso então avaliar a conformidade com à lei e seus princípios, a adequação às bases legais, a segurança desses dados e as proteções contra vazamentos e mitigação em caso de exposição dos mesmos. Vale ressaltar que é preciso dar atenção especial para as regras específicas para transferência de dados internacionais.
Além de uma boa prática, essa etapa é essencial para garantir o cumprimento da LGPD, ela é que garantirá um entendimento claro da gestão de dados e permitirá a criação de um plano de governança e de adequação à lei.
Transparência: é preciso deixar o cliente ciente do por quê e como os dados coletados serão utilizados, é essencial que a linguagem utilizada seja clara, objetiva e sucinta, afim de evitar erros interpretativos ou gerar dúvidas.
Utilizar os dados apenas para os fins requeridos/descritos: é importante descrever tudo o que será feito com os dados que estão sendo coletados. Por exemplo, se são requeridos os dados para o download de um e-book informativo, deve também estar descrito para o que estes serão utilizados, se serão feitos e-mail marketings, ligações etc., é preciso estar dito ali o que o cliente deve esperar e não se pode ir além.
Não deixar opções já marcadas: essa é uma prática maliciosa e não recomendada, pois o cliente pode não perceber a opção marcada e confirmar por engano, dando assim uma permissão que não gostaria. O consumidor precisa ter autonomia para escolher se aceita algo ou não e estar ciente das permissões que está concedendo.
Cuidado extra com dados de crianças e adolescentes: quando se lida com menores de idade é preciso estar ciente de cuidados especiais e redobrados, como, por exemplo, se as permissões necessárias foram dadas por um responsável legal ou tutor.
Livre acesso: deixar público o nome e o contato do encarregado (DPO), porque é ele que vai fazer a ligação entre o titular dos dados, os operadores e a ANPD (Autoridade Nacional de Proteção de Dados). Pois caso o titular queira que os dados sejam retirados ou queira fazer uma denúncia de mau uso dos dados ou algo que não esteja de acordo com a LGPD, ele precisa ter um acesso fácil a esse contato.
Transformação cultural dentro da organização: basicamente considerar a segurança e a privacidade desde o início do processo, um princípio básico conhecido como privacy by design, que além de ser uma boa prática no tratamento de dados, facilita a adequação à LGPD. Ações de conscientização de respeito à privacidade dos dados dentro da empresa também são importantes para fortalecer esse conceito internamente.
Manter registros das operações de tratamento: essa é uma prática fundamental para demonstrar para os órgãos de fiscalização que o tratamento de dados é feito de acordo com a lei e que a empresa está comprometida com a segurança e privacidade dos dados dos clientes; esse registro deve incluir sua finalidade e a classificação das operações, levando em conta sua base legal.
Emissão de relatórios de riscos: o Relatório de Impacto à Proteção de Dados (RIPD), é uma ferramenta de gestão de riscos, trata-se de um documento que precisa ser elaborado quando existe risco às liberdades civis e aos direitos fundamentais. É nele que será demonstrado que o controlador avaliou os riscos nas operações de tratamentos de dados e adotou medidas para mitigá-los.
Criação de protocolo de resposta a incidentes envolvendo dados: toda empresa, independentemente de seu porte ou ramo, precisa estar preparada para lidar com possíveis incidentes envolvendo dados pessoais, sejam eles vazamentos, acesso indevido, eliminação ou alteração destes, portanto é imprescindível que exista um protocolo de resposta a incidentes. Esse protocolo será um passo a passo de como agir em caso de um incidente de segurança envolvendo dados, ele deve ser elaborado levando em conta as exigências e determinações da LGPD.
Existem ainda diversas outras boas práticas que podem sem implementadas para assegurar a adequação à lei e que garantem maior credibilidade e confiabilidade à empresa, algumas podem ser conferidas no guia de boas práticas sobre a LGPD do Governo Federal.
Todas essas práticas e as especificação previstas em lei podem causar estranheza em um primeiro momento, sendo até certo ponto complicadas sem um bom planejamento ou amparo jurídico, a INTUIX traz soluções para uma rápida, prática e inteligente adequação à lei, pois conta com a Certificação LGPD, fornecendo um serviço que vai muito além da simples conformidade com a lei, cuidando da implantação, certificação e acompanhamento. A empresa incorpora recursos altamente tecnológicos, como o blockchain, que é utilizado para validar todo o processo de certificação, garantindo maior segurança, transparência e agilidade, tornando o processo mais simples e intuitivo ao agregar uma tecnologia inovadora e em alta no mercado mundial.
