O que é conformidade com a LGPD? Tudo o que você precisa saber

Atualizado: Mar 10

O que significa LGPD e o que é?


A princípio, a Lei Geral de Proteção de Dados (LGPD) é uma nova e abrangente lei de privacidade que afetará muitas empresas. A LGPD regula como as empresas lidam com informações pessoais e concede aos consumidores do Brasil novos direitos de acessar e excluir seus dados, ao mesmo tempo que impõe restrições às entidades que coletam, armazenam e vendem as informações pessoais dos brasileiros. A lei entra em vigor em 20º de agosto de 2020. Com isso, é possível fazer tudo em conformidade com a LGPD.



O caminho para a conformidade


1. Avaliação


Para determinar se a LGPD se aplica à sua empresa ou organização, você deve executar uma avaliação para ver quais etapas serão necessárias para atender aos requisitos. Contudo, a LGPD exige que as empresas regulamentadas manejem e protejam as informações pessoais dos residentes do Brasil:


(1) fornecendo tipos específicos de divulgação aos consumidores;

(2) aceitando e processando solicitações dos consumidores;

(3) garantindo que o consumidor optou pela venda de informações pessoais; e

(4) fornecer treinamento em privacidade aos funcionários, assim como parte da etapa de avaliação, a empresa deve considerar que tipo de dados ela coleta, como ela coleta, o que faz com os dados e quais divulgações, se houver, já existem.


O teste de aplicabilidade do Tutelas LGPD, pode ajudar sua organização a determinar se as novas leis de privacidade se aplicam a você. Contudo, é bom consultar um advogado também.



2. Crie um mapa de dados


Mesmo antes de os regulamentos da LGPD entrarem em vigor em 2020, sua organização deve começar a mapear onde e como coletam, armazenam, transmitam e vendem as informações pessoais dos residentes do Brasil.


A LGPD exige que as organizações possam encontrar e em alguns casos, excluir partes específicas de informações pessoais que coletaram nos 12 meses anteriores. No entanto, para fazer isso, as organizações precisam saber onde armazenam as informações pessoais dos residentes da Brasil e com quem as compartilharam.


Em alguns casos, pode ser necessário que sua organização, não só exclua essas informações de seus próprios sistemas, mas também instrua seus parceiros, afiliados e provedores de serviços a fazer o mesmo, sob pena de atingir sua empresa pela não conformidade e sofrer com a aplicação da multa determinada pela LGPD.


Dessa forma, criar um mapa de dados para informações pessoais é um processo técnico que o Tutelas pode ajudá-lo a usar suas ferramentas de automação.



3. Contratos de Terceiros


Sua organização também deve começar a revisar seus contratos com empresas e indivíduos com quem compartilha informações pessoais para garantir que esses contratos contenham os termos e condições exigidos pela LGPD. Dessa forma, em alguns casos, sua organização pode ser necessário negociar novamente os contratos já existentes.


No futuro, sua organização deve planejar incluir os termos exigidos pela LGPD em quaisquer novos contratos que envolvam o compartilhamento, transferência ou venda de informações pessoais. Portanto, o Tutelas Privacy pode fornecer ferramentas de automação para a criação desse termos do contrato e com atualizações, caso altere as regras do Brasil.



4. Aviso de Privacidade


Sua organização deve ter um aviso de privacidade em seu site, de acordo com esta nova política, antes de coletar informações dos consumidores da Brasil. Nesse sentido, ela deve explicar:


(1) de quais informações pessoais a organização coleta;

(2) de quem a organização coleta esses dados;

(3) o objetivo de coletar os dados; e

(4) com quem a organização compartilha os dados ou os vende.


Portanto, a LGPD exige que as organizações divulguem essas informações online.


O aviso de privacidade também deve divulgar os direitos dos consumidores do Brasil sob a LGPD, onde inclui o direito de optar pela não venda da informação pessoal, que a LGPD define.


O aviso deve estar acessível na página inicial da sua organização, assim como a opção de exclusão (na forma de um “link claro e conspícuo”) para os consumidores que não desejam que vendam suas informações.



5. Gerenciamento de Solicitações


Sua organização precisará de um sistema para coletar, buscar e responder a solicitações de residentes do Brasil para acessar ou excluir suas informações pessoais. Nesse sentido, a LGPD concede aos residentes do Brasil o direito de solicitar que as organizações:


(1) concedam a eles acesso a seus dados;

(2) excluam seus dados; e

(3) forneça informações sobre como seus dados estão sendo usados. Devem responder essas solicitações dentro de 45 dias.


A princípio, existem várias categorias amplas de exceções para situações em que a empresa não precisará atender a solicitações de exclusão. No entanto, para serem compatíveis, as organizações devem atender às solicitações de quem não vendam seus dados. Dessa forma, a LGPD não inclui nenhuma exceção ao direito de exclusão dos consumidores.


Portanto, sua organização deve ter um sistema para coletar e buscar os nomes dos consumidores que não o autorizam a vender ou compartilhar suas informações pessoais.


Para fins de conformidade, é importante que as empresas ou organizações mantenham uma lista precisa desses nomes para garantir que eles não vendam as informações pessoais desses consumidores e que não solicitem sua permissão para vender suas informações por pelo menos 12 meses após o recebimento da solicitação de exclusão.



6. Políticas internas e treinamento


Desde já, sua organização deve ter políticas e procedimentos para seus funcionários sobre como cumprir os requisitos de conformidade da LGPD. Se investigar a sua organização por não conformidade ou violação de dados, suas políticas e procedimentos podem ajudar a demonstrar e defender seus esforços para atender aos requisitos da LGPD. Portanto, é importante que não apontam esses procedimentos, mas que sua organização implemente e siga os métodos.


Sua organização deve informar seus funcionários sobre os requisitos de conformidade e fornecer treinamento em privacidade antes que a LGPD se torne efetiva. À medida que os requisitos legais e os processos internos mudam, as organizações precisarão atualizar periodicamente seu treinamento, mesmo após a entrada em vigor da lei, à medida que atualizam o manuseio de dados, contratos, políticas e procedimentos e avisos de privacidade.



7. Data efetiva


Primeiramente, a LGPD entra em vigor em 1º de janeiro de 2020. Com poucas exceções, as organizações que lidam com as informações pessoais dos residentes do Brasil devem estar preparadas para cumprir a LGPD até essa data ou correr o risco de penalidades graves.


Embora a aplicação pela AG não comece antes de 1º de julho de 2020, o direito de ação privado dos consumidores se torna imediatamente efetivo em 1º de janeiro.


Determinar as exceções que se aplicam e não se aplicam ao tratamento de dados do consumidor da sua organização e identificar como cumprir a LGPD, exige que faça uma análise minuciosa das informações pessoais que você recebe e compartilha, os processos e objetivos comerciais para os quais você lida e potencialmente compartilha informações pessoais e onde partes específicas compartilham informações pessoais


A LGPD é uma lei complicada que ainda está sendo analisada pelo Procurador Geral do Brasil e outros, por isso é importante permanecer engajado e observar as atualizações dessa importante lei.

29 visualizações0 comentário