Por Thatiana Sousa Sestrem
Jornalista
Especialistas avaliam cenários do cotidiano e explicam as melhores práticas para as empresas atenderem às normas da LGPD.
Vivemos em uma era onde produtos e serviços não nascem de mera inspiração. As empresas querem ser certeiras em oferecer o produto ou serviço ideal que atende as necessidades dos clientes. E para isso, dados que revelam nossos gostos e comportamentos de compra são joias valiosas para obter grandes resultados. Mas como as organizações devem utilizar e tratar estes dados?
O tema não é novo no Brasil, pois o próprio Código de Defesa do Consumidor já oferece garantias de proteção de dados em seu artigo 43. Mas para sistematizar algumas ações relacionadas à coleta, armazenamento e compartilhamento de dados pessoais, entrará em vigor a partir de agosto deste ano a Lei Geral de Proteção de Dados (L13.709/2018).
Um dos pontos principais da LGPD destaca que “dono” dos dados é o próprio titular e é ele quem vai decidir o que pode ser feito com as suas informações. Com este fundamento, cabe às empresas atender estas bases legais e proporcionar uma relação de forma transparente com os titulares das informações.
O que isso tem a ver com a gestão da sua empresa?
A implantação do LGPD vai transformar a cultura da organização e inovar o sistema de gestão. O assunto já vem sendo amplamente debatido e inclusive foi tratado no webinar LGPD como um sistema de gestão: o que impacta no DNA das organizações, que a Qualyteam realizou em parceria com Fundação Vanzolini.
Baixe os slides e o arquivo de autodiagnóstico da palestra sobre LGPD:
Antecipar-se a este cenário possibilita uma transformação consciente, onde a alta direção terá a oportunidade de engajar todas as áreas para promover iniciativas arrojadas nesse segmento. O resultado: uma gestão que investe em qualidade e melhoria contínua para o seu negócio.
Além disso, sua empresa ganha em outros aspectos, ao iniciar a conformação do LGPD, como por exemplo:
- Vantagem competitiva em relação aos concorrentes no mercado;
- Redução de riscos, uma vez que sanções ocasionadas por uso de dados inadequados pode afetar a credibilidade da empresa no mercado;
- Blinda a organização de ataques externos e internos, uma vez que a organização olhará com mais ênfase para ações de governança digital;
- Fortalece a cultura da privacidade de dados entre os stakeholders.
Mas o tema ainda gera muitas dúvidas quanto a aplicabilidade e a forma como as organizações terão que lidar com os dados de seus clientes no dia a dia.
Para sanar estas dúvidas, os especialistas Edson Aguilera, Lara Rocha Garcia e Marcos Barretto pontuaram ações práticas em quatro cenários comumente vivenciados pelas empresas e a forma como devem ser adequados, com base na LGPD.
1. Dados de clientes em ferramentas como CRM
Para fazer uma boa gestão do relacionamento com os clientes, a maioria das empresas conta com um CRM para listar os dados pessoais, assim como histórico de contatos e possíveis negociações com cada cliente.
Como se adequar nesse caso se o cliente exigir a eliminação de seus dados? Segundo os especialistas, caso o CRM não tenha uma funcionalidade de apagar os dados de um cliente específico, seria uma opção fazer uma busca em nome do cliente no CRM e eliminar as informações manualmente para cada registro encontrado.
É importante lembrar que as fitas magnéticas e unidades de backup podem conter dados pessoais historicamente armazenados, que também precisam ser eliminados.
O que diz a lei?
De acordo com o Art. 18, da Lei Geral de Proteção de Dados.
O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei.
2. Garantias aos usuários quanto à eliminação dos dados
Mesmo o cliente ou o titular dos dados solicitando a eliminação dos mesmos, estes podem ter dúvidas se o processo realmente ocorreu, ou se as informações continuam sendo manipuladas mesmo contra a sua vontade.
Nesse caso, o titular pode pedir ao Encarregado de Dados que comprove a execução da solicitação.
Se caso o usuário não estiver satisfeito com o que foi apresentado, poderá pedir intervenção da Autoridade Nacional de Proteção de Dados (ANPD), para verificar se a eliminação das informações foi realizada efetivamente.
Vale ressaltar a importância de justificar tal pedido à ANPD com base em possíveis evidências. Tais casos passarão por análises e a ANPD poderá solicitar ao encarregado de dados da empresa que comprove a execução da solicitação do titular.
Ainda é passível da empresa passar por auditorias nos sistemas de TI e de terceiros para comprovar que os termos da Lei estão sendo atendidos.
O que diz a lei?
De acordo com o Art. 55-J, compete à ANPD:
V – apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação.
3. Compartilhamento de informações com outras áreas da empresa
Devido às ações específicas para clientes, parceiros de negócios e afins, vários departamentos da organização podem acessar e compartilhar estas informações diariamente. De acordo com os especialistas, o compartilhamento de informações entre vários departamentos é algo que dificulta muito o controle de acessos e a execução de solicitações recebidas tanto do titular quanto da Autoridade Nacional de Proteção de Dados.
Nesse caso, a coleta e o acesso aos dados pessoais precisam ser justificados, independente do departamento ou área de negócios da empresa. Ou seja é preciso relatar porque foram coletados, qual será o tratamento, quem tem permissão de acesso, quem acessou os dados, onde foram armazenados e para onde foram transmitidos.
Lembre-se que dados pessoais não podem ser acessados sem qualquer registro, sob pena da empresa sofrer pesadas sanções, como as que ocorreram em países europeus sujeitos à Lei de Proteção de Dados da União Européia (GDPR).
O que diz a lei?
Segundo o Art. 38 da LGPD:
A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
4. Proteção de dados em tempos de home office
Apesar de ainda estar em tempo para as empresas se adaptarem à Lei Geral de Proteção de Dados, as organizações já podem buscar ações internas e alternativas para que toda a equipe inicie o correto tratamento de dados de usuários, mesmo neste período em que boa parte das empresas estão trabalhando home office.
Os especialistas pontuam que um Termo de Ciência de Proteção de Dados Pessoais é um dos documentos usados na conscientização dos colaboradores.
Além dele, cada colaborador deve receber a descrição dos procedimentos-padrão para proteção dos dados pessoais relativos às atividades de tratamento que execute, inclusive aquelas desempenhadas em home office, como por exemplo:
- Um procedimento-padrão pode determinar que certos tipos de arquivos com dados pessoais não sejam armazenados no computador pessoal do colaborador, mas apenas no servidor da organização que está na nuvem.
- Backup de dados de um determinado diretório do servidor de arquivos com dados pessoais deve ser armazenado em separado dos demais dados da organização. Assim facilita o atendimento de uma solicitação de eliminação de dados feita pelo Titular.
O que diz a lei?
De acordo com o Art. 50 da LGPD.
Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Conclusão
A LGPD traça um novo caminho quanto a maneira de coleta e tratamento dos dados da empresa. E para realizar as devidas adequações é necessário contar com ferramentas simples e práticas que auxiliem no Sistema de Gestão.
Um sistema de gestão da qualidade pode ser um grande aliado. Automatizando esse processo, você pode por exemplo, gerenciar riscos de não conformidades que estejam relacionados a LGPD, analisar causa-raiz e planos de ação para realizar melhorias, gerenciar auditorias de conformação com requisitos da LGPD ou até mesmo gerenciar documentos internos e externos referentes à nova Lei.
Se quiser conhecer como a Qualyteam pode auxiliar sua organização neste desafio, conheça nosso sistema, fazendo o teste grátis abaixo.