Lei Geral de Proteção de Dados: Checklist para adequação na empresa - Cepecaf

Cepecaf - Centro de Pesquisa e Capacitação do Agronegócio Familiar

(16) 3209-7259 | (16) 99975-0502
Cepecaf - Centro de Pesquisa e Capacitação do Agronegócio Familiar

Blog

Lei Geral de Proteção de Dados: Checklist para adequação na empresa

A Lei Geral de Proteção de Dados (Lei 13.709/2018 ou “LGPD”) regulamenta a forma pela qual pessoas físicas, pessoas jurídicas e órgãos públicos passarão a utilizar, no Brasil, dados pessoais relacionados a pessoas naturais.

A lei brasileira foi inspirada no General Data Protection Regulation (“GDPR”), o regulamento de proteção de dados da União Europeia, vigente desde 25 de maio de 2018.

A LGPD provocará uma mudança radical na forma de tratamento de dados pessoais em todas as empresas brasileiras, das menores às maiores, envolvendo qualquer atividade, inclusive as relações entre clientes e fornecedores de produtos e serviços, empregado e empregador, relações comerciais transnacionais e nacionais, além de outras relações nas quais dados pessoais sejam coletados tanto no ambiente digital quanto fora dele.

Diante da sua ampla abrangência, a observação das regras dispostas na LGPD é um fator fundamental para a empresa evitar multas e punições, além, obviamente, de estar adequada (em compliance) e zelando pelas informações de todas as pessoas naturais com as quais se relaciona, seja por princípio ético ou por atendimento da lei.

Assim, dada a importância do tema regulamentado pela LGPD, preparamos esse checklist para, de uma forma resumida, elencar quais providências deverão ser tomadas para que, até 16 de agosto de 2020, as medidas necessárias para a adequação e compliance sejam adotadas de modo planejado e seguro no âmbito empresarial.

A seguir, será apresentado um checklist com as principais informações que o empresário deverá levar em consideração para adequar-se à LGDP.

  1. Realizar um inventário dos dados pessoais, refletindo sobre algumas questões:
  • Quais são os dados coletados (é necessário que sejam dados essenciais à atividade e que sejam obtidos a menor quantidade de dados possível)?
  • Onde estão os dados coletados (segurança, disponibilidade, acesso à pessoa interessada e à ANPD)? Estamos nos referindo aos dados pessoais de todas as pessoas naturais que disponibilizam essas informações à empresa. São os clientes, os próprios funcionários, dentre outros. Nessa perspectiva, o Data Protection Officer (responsável pela gestão de dados – artigo 5º, VII da LGPD) da empresa deverá tratar todas essas informações como a lei determina (produzir relatórios para as pessoas e órgão regulador, atender aos pedidos de exclusão de informações, descartar as informações por meio de um processo controlado, seguro e comprovado).
  • Qual a matriz de tratamento (Matriz de tratamento dos dados pessoais (tipos de tratamento e para quais finalidades) dos dados pessoais? Como é feita a colheita, manutenção e descarte dessas informações? Como é feita a gestão do controle de consentimentos (autorização da pessoa natural para que os dados sejam mantidos na empresa)?
  • Quais são as finalidades de uso dos dados pessoais (para que a empresa precisa desses dados)?

    2. Depois de responder a essas perguntas, de ser realizado um mapa de risco, que conterá:
  • Nível técnico (ferramentas a serem adaptadas);
  • Documental (atualizar normas, políticas, contratos): revisão e atualização da política de privacidade; atualização das cláusulas contratuais com cliente/funcionários/parceiros/fornecedores para prever a aplicação da LGPD e da GDPR; atualizar NDA;
  • Procedimental (adequar a governança e a gestão dos dados pessoais);
  • Cultural (realizar treinamentos e campanhas de conscientização das equipes, dos parceiros, fornecedores e clientes), a saber:

a) Criar programa de compliance digital: avaliação de risco, planos de respostas a incidentes, treinamentos e comunicação, due diligence de terceiros;

b) Criar modelo de resposta para a notificação ao Órgão de Controle de Dados (ANPD) sobre o nível de conformidade da empresa e controles auditáveis, para prevenção a aplicação de multas e fiscalizações;

c) Fornecedores e parceiros deverão estar em conformidade com as novas regulamentações de proteção de dados pessoais (compliance);

d) Código de Conduta: atualizar com cláusulas que preveem respeito à proteção de dados pessoais;

e) Atualizar a Política de Segurança da Informação.

É importante ressaltarmos que aconselhamos a revisão constante da política de privacidade das empresas e de seus sites, pois ela deve acompanhar as mudanças que ocorrem na empresa. Por isso, sugerimos que a política de privacidade seja revisada, pelo menos, uma vez ao ano.

Podemos concluir que a LGPD veio para consolidar a necessidade do uso ético e seguro dos dados pessoais pelas empresas. Isso consistirá na adequação de toda e qualquer empresa por meio de um plano multidisciplinar que envolverá, principalmente, a conscientização de todas as pessoas envolvidas nas atividades da empresa e que tenham acesso aos dados pessoais dos funcionários, diretores, acionistas, fornecedores e, por fim, clientes.

 

(*) A postergação da entrada em vigor da LGPD foi aprovada no Senado (PL 1.179/2020), que também aprovou a prorrogação da aplicação das sanções por mais 12 meses, ou seja, as punições só poderão ser aplicadas a partir de agosto de 2021. O texto segue para aprovação da Câmara e depois para sanção presidencial. A Medida Provisória 959/2020 também prorroga a entrada em vigor da LGPD para 3 de maio de 2021. Nesse contexto, onde podem prevalecer o projeto de lei ou a medida provisória, se o projeto de lei for aprovado antes de a medida provisória ser convertida em lei, prevalecem os prazos do projeto. No caso de a medida provisória ser convertida em lei antes, valerá o prazo da medida provisória. De qualquer forma, os prazos serão estendidos para agosto de 2021 ou maio de 2021, ao que tudo indica.

 

Gostou do texto? Curta!

O conteúdo foi útil? Compartilhe.

 

Compartilhe esse artigo
    [ssba-buttons]

SOBRE O CEPECAF

O CEPECAF – Centro de Pesquisa e Capacitação da Empresa Familiar tem como propósito dar visibilidade a um tipo de organização de extrema importância econômica e relevância social em nível mundial: a empresa familiar.

O CEPECAF nasceu na FCAV-UNESP, campus Jaboticabal – SP, sob a coordenação geral da Profa. Dra. Lesley Carina do Lago Attadia Galli, docente e pesquisadora da instituição. Atualmente, o grupo vem ampliando sua abrangência, englobando estudantes e pesquisadores de outras universidades brasileiras e do exterior.

A presença do CEPECAF em uma plataforma digital é uma conquista muito importante na medida em que aproxima ainda mais o grupo da comunidade, por meio da articulação de diferentes mecanismos de comunicação e interação junto ao nosso público-alvo.

Certificado pelo CNPq, o CEPECAF realiza diversas de atividades de ensino, pesquisa e extensão, esperando contribuir de maneira efetiva para o desenvolvimento e sustentabilidade das empresas familiares.

Cepecaf - Centro de Pesquisa e Capacitação do Agronegócio Familiar


    Endereço

    UNESP
    Faculdade de Ciências Agrárias e Veterinárias - FCAV - campus Jaboticabal
    Departamento de Economia, Administração e Educação - DEAE

    Telefone

    (16) 3209-7259

    (16) 99975-0502

    Email

    contato@cepecaf.com.br