Compliance LGPD: veja como e por que é importante se adequar

Compliance LGPD: veja como e por que é importante se adequar
Share on twitter
Share on facebook
Share on whatsapp
Share on email

Com a vigência da Lei Geral de Proteção de Dados, o termo “compliance LGPD” começou a pipocar nos portais e sites especializados em gestão e segurança da informação. Isto porque o setor de compliance nas empresas será afetado, exigindo profissionais capacitados e especializados no tratamento de dados.

No artigo que preparamos hoje, você vai saber tudo a respeito do assunto compliance LGPD, bem como suas características e dicas para adequação. Boa leitura!

O que é compliance LGPD?

Compliance LGPD é o termo utilizado para se referir à adequação de processos e procedimentos que precisa ser feita para implementar a LGPD, a fim de atender às suas diretrizes e evitar as penalidades previstas em lei.

No entanto, para que possamos entender o que é compliance LGPD e como isso funciona na prática, precisamos primeiro conceituar compliance.

O que é compliance?

Compliance, termo em inglês que, traduzido para o português, significa “conformidade”, é o nome dado ao setor responsável por assegurar a conformidade legal nas organizações.

Muitas vezes, o profissional responsável por esse setor também é chamado de compliance. Seria algo como “Sou o compliance da empresa, então, preciso garantir que estamos respeitando as regras e leis vigentes”.

Um programa de compliance, por sua vez, é um conjunto de regras e diretrizes que uma organização segue para atuar dentro da lei.

Sabendo o que é compliance, fica mais fácil entender como esse setor se relacionada com a Lei Geral de Proteção de Dados.

Veja, a seguir, o que é LGPD e como ela afeta esse setor tão importante nas organizações.

O que é LGPD?

LGPD, ou Lei Geral de Proteção de Dados, sancionada em agosto de 2018 e em vigor desde setembro de 2019, tem como inspiração a GDPR.

A GDPR, General Data Protection Regulation, é a regulamentação europeia para a proteção de dados pessoais.

A versão brasileira, cujo número de lei é o 13.709/18, versa sobre o tema de proteção de dados, determinando como as organizações precisam coletar, tratar, armazenar e utilizar os dados pessoais — seja de clientes, de funcionários, fornecedores, entre outros.

Assim, a Lei Geral de Proteção de Dados e compliance se relacionam intimamente, já que a primeira é uma lei e, a segunda, um conjunto de regras que visam seguir as leis.

Quais as penalidades previstas para as empresas que não fizerem a adequação LGPD?

Já deve ter ficado mais claro que o setor de compliance precisará fazer a adequação LGPD se não quiser trazer prejuízos para a organização.

Dentre as punições cabíveis, estão:

  • Publicização da infração, trazendo danos à imagem da empresa;
  • Multas com valores variáveis, podendo chegar na casa dos R$ 50 milhões;
  • Atividades suspensas temporária ou permanentemente.

Ebook LGPD

EBOOK GRATUITO | 14 passos para adequar sua empresa à LGPD

Baixe o ebook gratuito e saiba como iniciar a adequação da sua empresa à LGPD!

Ebook LGPD

EBOOK GRATUITO | 14 passos para adequar sua empresa à LGPD

Plano de implementação da LGPD

Diante das informações que apresentamos até o momento, o plano de implementação da LGPD dentro do setor de compliance tem grande importância. Ele precisa passar por algumas etapas. Destacamos e explicamos as principais a seguir:

  1. A escolha do DPO;
  2. O diagnóstico e a matriz de risco;
  3. Os dados e seu fluxo;
  4. O código de conduta e a política de privacidade;
  5. As atualizações contratuais;
  6. Os termos de uso.

1. A escolha do DPO

DPO é a sigla para Data Protection Officer ou, em português, Agente de Proteção de Dados. Para que o compliance de dados seja feito com sucesso, esse profissional é imprescindível.

O DPO será o responsável por regular e fiscalizar as regras da LGPD e como elas se aplicam na organização em questão.

Quer ser um DPO certificado? Confira nosso curso Privacy & Data Protection – Essentials e dê o primeiro passo em busca da sua certificação!

2. O diagnóstico e a matriz de risco

Escolhido o DPO, o profissional agora ficará encarregado de traçar um diagnóstico geral da empresa. Nesse diagnóstico, ele deverá verificar o que precisa se adequar ao compliance LGPD.

Em seguida, é hora de fazer a matriz de risco e, claro, o plano que deverá ser colocado em ação para atender as diretrizes da Lei Geral de Proteção de Dados.

Nessa matriz, o DPO deve inserir, entre outras ações: controles técnicos, documentos, procedimentos, campanhas e treinamentos para adequação.

3. Os dados e seu fluxo

De nada adiantará ter um plano de ação se os dados não estiverem organizados. Ou seja, o DPO precisará mapear o fluxo de dados, a fim de definir o caminho mais correto a seguir.

Em outras palavras, nesse mapeamento, o profissional precisará ser capaz de identificar quais etapas são importantes (e como devem ser seguidas) no que diz respeito à forma como os dados são recebidos e tratados pela organização.

Alguns exemplos incluem:

  • Coleta dos dados;
  • Utilização dos dados;
  • Compartilhamento dos dados;
  • Armazenamento dos dados (se em nuvem ou não);
  • Exclusão dos dados;
  • Portabilidade dos dados.

4. O código de conduta e a política de privacidade

Para fazer valer o papel do compliance na LGPD, o DPO deve, em seguida, elaborar um novo código de conduta ao qual a organização precisará obedecer.

Além disso, se necessário, o DPO precisará criar uma nova política de privacidade. Aspectos como criptografia e armazenamento de registros (logs) podem entrar nessa política.

5. As atualizações contratuais

Tanto os contratos com parceiros quanto os contratos com clientes deverão ser revistos. Isto é, depois que o DPO passou por todas as etapas anteriores, ele é capaz de fazer um checklist e identificar quais pontos contratuais precisam ser ajustados.

6. Os termos de uso

O cliente final, que é o mais beneficiado pela LGPD compliance na prática, precisa ser informado sobre as adequações e alterações realizadas pela organização. Isto, é claro, desde que essas mudanças se relacionam de alguma forma com seus dados pessoais.

Caso a finalidade do uso dos dados do cliente, por exemplo, tenha mudado, isso deve estar claro nos termos de uso. Ademais, a empresa só poderá utilizar os dados pessoais de seus clientes caso ele tenha permitido – o que deve ficar sempre muito claro no momento de um cadastro ou assinatura de um serviço.

É possível fazer um curso LGPD?

Sim. O mercado já disponibiliza algumas opções de curso LGPD para que os profissionais interessados possam se especializar.

O Certifiquei, por exemplo, já tem disponível o curso preparatório para a certificação PDPE (Privacy & Data Protection – Essentials). Para dominar o assunto compliance LGPD e garantir a segurança da organização e dos dados de seus clientes, o investimento é super indicado.

Carla Batistella
Carla Batistella
Carla Batistella é formada em Redes de computadores e MBA em gestão de projetos pela FGV, atua há 18 anos com tecnologia da informação, sendo os últimos cinco anos com projetos de compliance de segurança da informação. Estuda Privacidade e Proteção de Dados há algum tempo e é DPO EXIN. Atua em diversos projetos, auxiliando os clientes nas adequações de empresas e seus processos e negócios à LGPD.

relacionadas