A LGPD já é uma realidade na internet brasileira, a lei entrou em vigor em Agosto de 2020 e muitas empresas já começaram a adequar seus canais online com as diretrizes da lei. Nesta etapa de implementação, é normal crescer a preocupação em enquadrar a nova legislação no processo de tratamento de dados da empresa.
Para facilitar, trouxemos os princípios da nova lei em uma jornada que irá simplificar na hora de montar o novo processo de tratamento de dados da sua empresa e ainda te ajudar a reconhecer as boas condutas e práticas inadequadas no dia a dia.
Princípio da Finalidade
Quais dados estão na sua base e para que serão tratados?
Não será mais possível tratar dados pessoais com finalidades genéricas ou indeterminadas.
Cada informação deverá ser recolhida com fins específicos, legítimos, explícitos e informados ao titular sobre seu uso. Além disso, a empresa não poderá modificar a finalidade durante o tratamento.
Este princípio se encaixa na primeira etapa da sua jornada na LGPD que é fazer um inventário dos dados que sua empresa tem acesso, o motivo de estarem em seu banco de dados e se devem continuar.
Princípio da Adequação
A utilização do dado está compatível com a finalidade?
Quando a empresa fizer o recolhimento de dados pessoais, a finalidade deve ser informada e ser compatível com o tratamento que esses dados terão.
Este princípio se fez necessário, pois algumas empresas recolhiam dados que muitas vezes não eram compatíveis com a sua atuação no mercado. Estes dados eram vendidos para outras empresas que se interessavam pela informação e o usuário sofria as consequências com ligações de telemarketing indesejadas, malas diretas entre outros casos.
Ele se encaixa na etapa de classificar e identificar aderência à LGPD se os dados guardados ainda são usados para a finalidade que foram coletados.
Princípio da Necessidade
Qual tratamento necessário para atender a finalidade?
No geral, empresas devem utilizar apenas dados estritamente necessários para suas finalidades, além de apresentar motivos legítimos e documentados em relatórios.
Este princípio também está ligado a etapa de classificar e identificar aderência à LGPD, por isso deve se ter em mente a ponderação entre o que é realmente essencial para o negócio e o que é conveniente, assim fica mais fácil aderir à nova legislação nos processos da empresa.
Princípio da Segurança
Há medidas técnicas adequadas para proteger os dados?
Cada empresa ficará responsável por buscar procedimentos, meios e tecnologia que garantam a proteção dos dados pessoais de acessos por terceiros e invasões por hackers.
Hoje no mercado existem empresas de segurança da informação que fazer a gestão eficiente e adequada dos dados.
Medidas para situações acidentais como destruição, perda, alteração, comunicação ou difusão dos dados deverá entrar em pauta nesta etapa de adequar processos e sistemas de segurança.
Princípio da Prevenção
Há medidas preventivas para manter os dados seguros?
Adotar medidas prévias que evitam ocorrências de danos no tratamento de dados é essencial.
As empresas que querem adequar seus processos à LGPD devem ter ações prontas antes dos problemas aparecerem e que de preferência os evite. Por isso a importância de auditar seu site (link para artigo sobre auditoria de site) e manter os dados dos seus clientes longe de qualquer dano.
Princípio da responsabilização e prestação de contas
Como conscientizar a empresa da importância da privacidade?
É essencial que a empresa cumpra integralmente com a lei, além disso, devem adquirir o hábito de documentar evidências de todas as medidas adotadas para a proteção e tratamento dos dados. Isto demonstra não só respeito com a lei, mas a transparência com seus clientes.
Treinamentos com a equipe, contratação de consultoria, a utilização de sistemas e processos que garantam a segurança dos dados são provas de que sua empresa se importa com a privacidade, e elas precisam ter acesso facilitado do titular do dado sempre que preciso.
A etapa de conscientizar é extremamente importante para que este tipo de processo seja tomado como parte da cultura da empresa.
Princípio do livre acesso
Como comprovar à agência e ao titular estar aderente à Lei?
Este ponto mostra como o controle dos usuários titulares é bem maior com a nova lei. A pessoa que optar por deixar seus dados pessoais com sua empresa, tem o direito de consultar, de forma simples e gratuita, todos os dados que a empresa tenha a seu respeito, bem como a finalidade que serão utilizados.
Devem ser especificadas questões sobre o tratamento que será realizado e por quanto tempo a empresa terá posse destes dados. Além disso, o titular tem o direito de solicitar a exclusão dos dados, ou até mesmo que alterações sejam feitas.
Este princípio é parte fundamental da última etapa da adequação, faz parte da gestão e atendimento dos direitos dos titulares e deve ser o princípio que traz mais mudanças se comparado a antiga legislação de proteção de dados.
Princípio da qualidade dos dados
Como garantir aos titulares a consulta sobre seus dados?
A qualidade dos dados está intimamente ligada a necessidade e finalidade de seu tratamento. Devem ser informações verdadeiras e de relevância para os processos da empresa que irá tratar os dados e estarem disponíveis aos titulares para consulta.
Princípio da transparência
Como garantir a exatidão dos dados?
Transparência é algo que precisa ser prioridade na empresa. Desta forma, todas as informações passadas pela empresa devem ser claras, precisas e verdadeiras.
Uma forma simples de se adequar a este princípio é através de mensagens de consentimento onde você pode comunicar ao cliente sobre as informações que seu site tem acesso e se ele concorda em compartilhá-las.
Ferramentas como o LGPDY é uma alternativa simples e de baixo custo para consentimento de uso de cookies. Com ela, sua empresa é transparente com o cliente nas questões de políticas de cookies.
Este princípio está intimamente ligado ao compartilhamento de dados de forma oculta, prática que muitas empresas realizam e não é bem vista.
Por isso opte por garantir que seu cliente saiba exatamente o que é feito com os dados dele, se os dados coletados são tratados por uma empresa terceirizada, seu cliente precisa saber.
Princípio da não-discriminação
Como informar de forma precisa os tratamentos realizados com os dados?
Na LGPD, existem os dados categorizados como sensíveis, que nada mais é do que informações relacionadas a um indivíduo que trate sobre sua origem étnica, convicção religiosa, opinião política, dados referente a saúde, genético ou biométrico.
Estes dados não podem de forma alguma serem usados com o objetivo de obter vantagem econômica ou compartilhados entre controladores de dados sem a autorização do titular.
O novo princípio vem para reforçar que apesar da frequência em utilizar dados sensíveis para discriminar ou promover abusos contra os seus titulares, é uma prática inadequada.
Para entender um pouquinho, imagine que uma empresa que trabalhe com relógios que medem frequência cardíaca de seus usuários, e vende ou compartilha esses dados com uma empresa de planos de saúde. Quando o titular procura por um plano de saúde, a empresa que teve acesso inadequado aos dados irá ter em mãos histórico sobre a saúde e pode ou não tirar vantagem econômica dele.
Por práticas frequentes como essa no mercado, se fez necessário assegurar que dados sensíveis tenham critérios de tratamento mais rigoroso.
Agora você já sabe como iniciar a adequação da sua empresa a LGPD, seguindo todos os princípios da nova legislação, sua empresa está dentro dos conformes e assegurando a privacidade de seus clientes.
Se você ficou curioso em como uma ferramenta de proteção de dados funciona, nossos consultores podem explicar cada passo. Entre em contato conosco.