LGPD na Prática

2021-06-14

Já passamos do tempo de estudar a lei, agora é hora de ação.

A Lei Geral de Proteção de Dados já vai completar dois anos e as penalidades diretas pelo seu descumprimento já devem entrar em vigor em agosto.

Esta lei está impactando o mercado imobiliário desde a sua entrada em vigor. 

Engana-se quem acredita que não deva se preocupar com esta lei antes da entrada em vigor de suas sanções. 

Nestes quase dois anos de vigência, muitas multas foram impostas aos operadores do mercado imobiliário com base em leis associadas à LGPD, foram cartórios, incorporadoras e imobiliárias.

Outro dado importante, em 2017 58% dos ataques cibernéticos tiveram como alvo negócios pequenos. 

Estes ataques tiveram como objetivo o roubo de informações para usá-las em golpes com apoio da engenharia social, e outros são ataques ransomware (trava o computador e pede resgate), segundo a Verizon.

Como adequar sua empresa para a LGPD?

São 5 etapas, e estão descritas no modelo SGPD (Sistema de Gestão de Proteção de Dados abordadas na GDPR):

  •         Preparação;
  •         Organização;
  •         Desenvolvimento e Implementação;
  •         Governança e
  •         Avaliação e Melhoria Contínua. 

Primeira Etapa: Preparação

O objetivo é descobrir quais atividades a empresa faz usando dados de pessoas físicas (ou naturais). 

Sejam em aplicações como emissão de notas fiscais, contratos, emissão de boletos, marketing, prospecção de clientes, rh, captação de currículos, entre outros. 

Estas informações podem estar em sistemas de CRM, mas também em planilhas eletrônicas, bases de dados informais, lista de contatos no celular, fichas, documentos e currículos em arquivos em papel.

Para iniciar o projeto de adequação da empresa à LGPD a empresa precisa avaliar as leis as quais está exposta, suas próprias regras e procedimentos, regras e procedimentos de seus parceiros, fornecedores e clientes estratégicos;

Segunda Fase: Organização

Foco na organização da equipe e das atividade (matriz RACI). 

A reorganização de todos os tratamentos de dados que a empresa faz de pessoas naturais, adequando processos, treinamentos e tecnologias. 

Nesta fase deve-se avaliar as tecnologias em uso e a segurança. Elaborar um mapa de informações, quais pessoas podem acessá-las, e para qual motivo.

Leia também: Marketing em Tempos de LGPD

Terceira Fase: Desenvolvimento e Implementação

Esta é a fase mais trabalhosa, onde todos vão colocar a “mão na massa” e aplicar a reorganização definidas nas fases 1 e 2.

  •         Desenvolvimento das Políticas de Privacidade e Proteção de dados;
  •         Documentar, ajustar e implementar alterações nos fluxos de tratamento de dados;
  •         Treinar colaboradores, parceiros, fornecedores e clientes;
  •         Ajustar contratos e sistemas. Ajuste na Segurança de dados, sistemas, fornecedores e contratos;

Quarta Fase: Governança

Nesta fase temos que produzir os relatórios exigidos na lei. 

Criar sistema de recepção e tratamento dos pedidos dos titulares para vista, alterações e exclusões de informações. 

Estabelecer e manter o plano de resposta à violação de dados pessoais.

Nas empresas de maior porte e com maior potencial de risco aos dados dos titulares devem ter um programa de Governança da Tecnologia baseada nos preceitos das ISO 27001 e 27002, entre outras.

Quinta Fase: Avaliação e Melhoria Contínua

A recomendação das boas práticas de gestão empresarial é fazer auditorias a cada 12 meses para checagem e reorientação de processos, tecnologias e pessoas:

  •         Contratar auditoria para avaliar se os novos processos estão sendo seguidos e documentar;
  •         Avaliar as mudanças que se tornaram necessárias;
  •         Propor as mudanças e executá-las – (ciclo PDCA).

O Time

Esta lei é multidisciplinar, portanto, mesmo as empresas pequenas vão precisar do apoio de três áreas, mesmo que sejam terceirizadas: Jurídico, Tecnologia da Informação e Gestão de Processos. Estas três disciplinas cobrem detalhes em praticamente todas as fases. O jurídico irá discutir contratos e políticas. 

A TI irá reorganizar os sistemas e acessos, bem como tratar da governança. 

A gestão de processos irá criar processos mais robustos, simples e inteligentes, gerando menores riscos de vazamentos de dados para os titulares e para a empresa.

8 Relatórios obrigatórios a todas as empresas:

  •         DPIA (GDPR) – Relatório de Impacto de Dados Pessoais (RIPD)
  •         Registro das Operações dos Tratamentos (log) – artigo 37
  •         Política de Proteção de Dados = interno, técnico (TI e jurídico)
  •         Nomeação do Encarregado de Dados/LGPD e DPO/GDPR e afins
  •         Política de Privacidade – Atualização do sítio web com: Dados do Encarregado (e-mail, telefone, endereço, sistema) e Política de Privacidade.
  •         Política de Privacidade para Funcionários
  •         Política de Retenção de Dados
  •         Formulário de Consentimento dos Titulares

Você faz negócios com empresas no exterior? 

Em algum momento seus parceiros, clientes, fornecedores irão cobrar sua adequação também para as leis dos países deles. 

Em Portugal e em toda Europa já temos a GDPR em atividade. Países da américa do sul também já tem suas leis ativas.

Mãos à obra!!!!

Luis Fernando Gardel Deak é Advogado – Direito Digital, LGPD e Imobiliário, Corretor de Imóveis CRECI-SP 131.710-F | CNAI 9.898 | REALTOR CIPS, SRS, Conciliador JUCON CRECI-SP, Gestor de Projetos PMP, MBA, Compliance.

Publicado originalmente no blog do Homer Parcerias
https://www.homer.com.br/blog/2021/06/08/lgpd-na-pratica/

Tags:, ,