A Lei Geral de Proteção de Dados (LGPD) é uma legislação brasileira que regulamenta o tratamento de dados pessoais no país. Com ela, empresas de todos os portes e setores precisam se adequar para garantir a proteção dos dados dos seus clientes e usuários.
No entanto, estar totalmente adequado à LGPD pode ser uma tarefa desafiadora para as organizações. E conseguir demonstrar que está tomando ações em prol da segurança de dados é imprescindível!
Pensando nisso, neste artigo contamos o “segredo” de como cumprir 21 requisitos da LGPD de forma simples, eficiente e em tempo recorde!
As exigências da LGPD
A Lei Geral de Proteção de Dados (LGPD) estabelece uma série de requisitos que as empresas precisam cumprir para garantir a privacidade e segurança dos dados pessoais de seus clientes, colaboradores e parceiros de negócios.
Desde a nomeação do Encarregado de Proteção de Dados (DPO) até a implementação de medidas técnicas e administrativas de segurança da informação, a LGPD exige um conjunto complexo de ações que devem ser realizadas pelas empresas.
Uma solução que pode resolver isso para as empresas
Sabemos que o caminho de uma adequação é longo. No entanto, hoje já temos ferramentas no mercado que são realmente uma aliada para as empresas conseguirem cumprir a LGPD e fazer a gestão de dados pessoais contínua, como é o caso da DPOnet.
Completa, online e por um custo acessível, a DPOnet é a escolha de mais de 2.000 empresas de diversos portes e segmentos..
E o mais interessante é: apenas por contratar a DPOnet, nossos clientes já conseguem cumprir pelo menos 21 requisitos exigidos na Lei.
Quais são eles?
| Tema | Medida de controle adotada |
| Requisito fundamental | A organização conta com mecanismos para manter viva a cultura de proteção e privacidade de dados pessoais, tais como a realização de tarefas contínuas sobre o tema, disseminação de conteúdos em textos e vídeo, como newsletter, ou outras formas de manter ativo o debate. |
| Requisito fundamental | A organização tem mecanismos para manter mapeadas as atividades de tratamento de dados pessoais identificadas por qual departamento pertencem. |
| Requisito fundamental | A organização conta com mecanismos para identificar a finalidade de cada uma das atividades de tratamento de dados pessoais. |
| Requisito fundamental | A organização conta com mecanismos para identificar os dados pessoais tratados de acordo com cada categoria de titulares (ex.: colaboradores, clientes, sócios). |
| Requisito fundamental | A organização conta com mecanismos para classificar os dados pessoais em, pelo menos, as categorias “dados pessoais não sensíveis” e “dados pessoais sensíveis”. |
| Requisito fundamental | A organização conta com mecanismos para identificar em cada uma das atividades de tratamento de dados pessoais, a possibilidade de haver tratamento de dados de menores de 18 anos. |
| Requisito fundamental | A organização conta com mecanismos para identificar o ciclo de vida dos dados pessoais, incluindo-se, pelo menos, o local de armazenamento dos dados, o tempo de armazenamento e a forma como são dispostos (descartados). |
| Requisito fundamental | A organização conta com mecanismos para identificar os compartilhamentos dos dados pessoais, incluindo-se, pelo menos, o destinatário do compartilhamento e a finalidade do compartilhamento. |
| Requisito fundamental | A organização conta com mecanismos para realizar análise que permita identificar se os dados tratados são necessários e proporcionais à finalidade da atividade de tratamento. |
| Requisito Fundamental | A organização conta com mecanismos para identificar as hipóteses legais de tratamento de dados pessoais, previstas na Lei 13.709/2018, nos Arts. 7º e 11, que autorizam todas as suas atividades de tratamento de dados pessoais. |
| Requisito Fundamental | A organização conta com mecanismos para realizar uma avaliação de riscos de cada uma de todas as suas atividades de tratamento de dados pessoais, utilizando um critério objetivo e justificável (e não critérios subjetivos) para definir cada nível de risco. |
| Requisito Fundamental | A organização adota mecanismos para registrar as mudanças que são realizadas nas atividades de tratamento de dados pessoais e manter atualizado o seu mapeamento? |
| Requisito Fundamental | A organização conta com profissionais especializados em proteção de dados pessoais (internos ou terceirizados) para saneamento de dúvidas cotidianas e orientações sobre as atividades de tratamento de dados pessoais. |
| Requisito Fundamental | A organização adota mecanismos para registro e gerenciamento de incidentes de dados pessoais. |
| Requisito Fundamental | A organização adota procedimento para identificar a necessidade de notificar a Autoridade Nacional de Proteção de Dados e realizar a notificação a ela, no caso de incidentes de dados pessoais com graves riscos de lesão ou dano aos titulares de dados pessoais. |
| Requisito Fundamental | A organização adota procedimento para geração de notificação ao titular de dados no caso de incidentes de dados pessoais. |
| Requisito Fundamental | A organização adota procedimento padrão para identificar a causa de um incidente de dados pessoais e corrigir a causa da violação. |
| Requisito Fundamental | A organização conta com um Relatório de Impacto à Proteção de Dados que contém a identificação e detalhes das atividades de tratamento com maior risco aos direitos e liberdades individuais dos titulares de dados (de acordo com um critério objetivo), de maneira que esses detalhes contenham, pelo menos, o nome da atividade de tratamento de dados pessoais, a finalidade, categorias de titulares de dados, classificação dos dados, ciclo de vida, compartilhamentos, análise de necessidade e proporcionalidade e hipótese legal de tratamento. |
| Requisito Fundamental | A organização adota canal facilitado de atendimento ao titular de dados pessoais, para permitir que todos os direitos descritos na LGPD sejam exercidos. |
| Requisito Fundamental | A organização conta com mecanismos para identificar não cumprimento de exigências legais e de exigências de medidas de segurança administrativas e técnicas (aplicáveis ao seu ramo de atuação e ao tamanho da sua atividade econômica), para gerencias essas exigências de forma a, ao menos, estabelecer prazos e planos de ação para implementá-las e depois identificar o que foi implementado. |
E o que isso significa?
Ao contratar a DPOnet, a organização terá como comprovar, para o órgão regulador (ANPD) ou para quem interessar, que já está em processo de adequação e que já cumpre ao menos 20 requisitos da Lei.
Isso significa que, em caso de incidente de dados ou denúncia, a empresa poderá demonstrar que já começou a adotar medidas de proteção de dados pessoais.
E ter como comprovar essas ações muda muito o jogo, pois impacta diretamente na dosimetria de uma possível multa ou advertência que seria aplicada à empresa, sendo utilizado até mesmo como uma atenuante de multa, conforme a resolução de n° 4 divulgada pela ANPD.
Conclusão
Como observamos, é claro que é impossível estar adequado totalmente à LGPD em pouco tempo. No entanto, está mais do que claro que a ANPD irá observar o quão negligente foi a empresa diante da situação e quais medidas ela já está agindo para prevenir e remediar incidentes de segurança.
E não basta somente falar que a empresa está fazendo algo, é preciso demonstrar isso.
Com a nossa plataforma, é possível demonstrar de forma clara e transparente que a empresa está tomando as medidas necessárias para cumprir os requisitos da LGPD.
A adoção de boas práticas e a implementação de medidas de segurança da informação são fundamentais para garantir o cumprimento da lei e evitar sanções e danos à reputação da marca. Com a nossa ajuda, a adequação à LGPD pode ser mais fácil e eficiente.
Entre em contato conosco para saber mais sobre como podemos ajudar!
