Em vigor desde setembro do ano passado, a Lei Geral de Proteção de Dados (LGPD) foi criada para garantir a proteção de informações pessoais armazenadas e compartilhadas por empresas, organizações da sociedade civil e poder público.
Para ajudar pequenos negócios a se adaptarem a essa realidade, o Instituto Brasileiro de Defesa do Consumidor (Idec) lançou uma cartilha com dicas para os microempreendedores. Além disso, há um documento voltado especificamente para as organizações do terceiro setor.
“Além de ser um compromisso com o que determina a lei, o processo de adequação de organizações e empresas com os princípios de privacidade e proteção de dados pessoais é um ato de respeito cada vez mais valorizado pelos consumidores”, ressalta Teresa Liporace, diretora executiva do Idec.
Confira abaixo as dicas do Idec:
1. Definir o principal objetivo da adequação
É ideal que se defina um objetivo principal que a empresa pretende alcançar com a adequação, como reduzir a captação de dados ao mínimo necessário para realizar as atividades. De acordo com o Idec, esse propósito precisa estar ligado às atividades do negócio, à estrutura ou ao momento institucional.
A dica do Instituto para as micro e pequenas empresas é considerar que essa mudança pode aumentar sua eficiência e transparência, o que pode trazer impactos positivos na imagem do negócio, além de diminuir a chance de incidentes relacionados à gestão de dados.
2. Conscientizar e capacitar a equipe sobre a LGPD
Moldar-se de forma consistente à Lei requer que a empresa crie uma cultura de proteção de dados. Para isso, é fundamental que todas as pessoas da equipe detenham conhecimentos sobre a LGPD, quais são os principais conceitos, seus princípios, justificativas para tratamento e possíveis sanções.
O instituto recomenda que os pequenos empresários promovam capacitações e formações para os colaboradores constantemente.
3. Contratar serviço de consultoria ou implementação
Por ser algo relativamente novo, o ideal é contratar consultorias ou especialistas na implementação da lei. A dica do Idec para baratear o processo é contratar serviços avulsos ou por etapas. Optando pela consultoria, a empresa pode contar com a própria equipe para efetuar as demandas.
Entre as tarefas que a empresa ou profissional contratado para fazer a adequação devem fazer estão:
- Conscientização da equipe;
- Capacitação do encarregado de dados;
- Análise dos fluxos de dados da sua instituição e proposta de ajustes;
- Revisão de contratos e parcerias;
- Criação de cláusulas e avisos sobre captação de dados;
- Redação de documentos específicos da sua política de proteção de dados;
- Criação de listas de condutas (checklists);
- Monitoramento após a finalização do processo de adequação.
4. Mapear fluxos dos dados
Após a definição dos passos anteriores, o empreendedor deve mapear todos os processos que envolvem dados pessoais e, assim, detectar possíveis erros e fluxos que precisam ser modificados.
O Idec sugere fazer um levantamento a partir de formulários com perguntas sobre o processo que devem ser distribuídos a todos os colaboradores envolvidos no tratamento de dados.
Uma boa opção para esse passo é utilizar ferramentas prontas para a criação de fluxos online, como o LucidChart e o Draw.io.
5. Melhorar fluxos
Nesta etapa é importante identificar quais documentos são utilizados para captação de dados pessoais, adequando-os às cláusulas da Lei, bem como as finalidades dos tratamentos de dados pessoais feitos pela instituição.
Um passo indispensável é organizar os dados em documentos com acesso restrito às pessoas que precisam trabalhar com eles, de modo a garantir a proteção necessária.
Em alguns casos, pode ser adequado estabelecer um termo de confidencialidade a ser assinado pelos colaboradores.
6. Redigir os documentos de proteção de dados
Com quase todas as definições necessárias para a adequação concluídas, a empresa deve criar ou ajustar os documentos que comprovam o seguimento às regras estabelecidas pela LGPD. São eles:
- Política de privacidade;
- Aviso de cookies (rastreadores);
- Política Interna de proteção de Dados;
- Política de proteção de dados pessoais de colaboradores/as;
- Política de segurança da informação;
- Política de incidente de insegurança.
7. Definir o encarregado de dados
Por último, deve-se escolher o encarregado de dados da empresa, que será responsável pelas atividades de tratamento de dados pessoais e pelo contato com a Autoridade Nacional de Proteção de Dados (ANPD) e titulares. Essa função também pode ser exercida por uma empresa terceirizada.
A pessoa escolhida precisa entender bem os conceitos da Lei e os fluxos de dados da instituição, sendo capaz de operar seus mecanismos de proteção de dados, conforme explica o Idec.