Sebrae lista seis passos para que o empreendedor se ajuste à LGPD
Engajar os colaboradores, organizar as informações e conhecer os dados estão entre as dicas
A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor em setembro de 2020 e as penalizações passaram a valer a partir de agosto de 2021. As empresas que não estiverem adequadas podem receber severas aplicações de sanções administrativas, inclusive, multas de até R$ 50 milhões. Os pequenos negócios precisam estar atentos para não serem penalizados.
“A cultura de dados permite tomadas de decisões mais assertivas para as empresas. Por conta disso, virou uma fonte de informação preciosa. Desde a implantação da LGPD, principalmente, os pequenos negócios acham que apenas as médias e grandes empresas precisam se adequar à lei. Mas isso não é verdade. Todas as empresas devem se preocupar com isso. Vejo que muitos ainda nem sabem como implementar dentro da empresa”, conta a Data Protection Officer (DPO) do Sebrae Rio, Fernanda Facina.
Para orientar o pequeno negócio sobre a importância da proteção de dados, o Sebrae Rio listou seis passos para que o empreendedor atenda o nível mínimo de adequação da LGPD.
1. CONHEÇA OS DADOS PESSOAIS A QUE TEM ACESSO
Faça um levantamento minucioso dos dados pessoais de clientes, funcionários e fornecedores a que você tem acesso no dia a dia da execução da sua atividade, ou mesmo aqueles que podem estar armazenados e você quase não utiliza. Para isso, verifique documentos físicos, como contratos, cadernos contábeis, pastas e demais arquivos que possam conter essas informações, bem como as ferramentas e sistemas digitais, como planilhas de Excel, ferramenta de CRM, sites e etc.
2. AVALIE E ORGANIZE AS INFORMAÇÕES ENCONTRADAS
Agora que você tem conhecimento de todos os dados pessoais que circulam pela sua empresa, organize tudo. Primeiro verifique se tudo o que você tem armazenado ainda é necessário, por exemplo, como contratos antigos e informações de ex-funcionários. O ideal é consultar o seu contador para avaliar caso a caso o que fazer com cada documentação.
Quanto aos dados dos clientes, reveja se todos eles ainda são necessários e estabeleça um corte para eliminação. Para os dados que serão mantidos, organize um documento que informe a finalidade de tratamento de cada um deles.
3. MONTE UM PLANO DE AÇÃO PARA CUIDAR DESSES DADOS PESSOAIS
Um bom plano de ação precisa conter:
- Processo de eliminação - Tudo aquilo que foi identificado como dispensável deverá ser eliminado da forma mais segura possível. Documentos físicos devem ser triturados e dados digitais devem ser completamente eliminados, bem como suas cópias, se houver.
- Processo de armazenamento - Para o que não puder ser eliminado, defina medidas seguras para o armazenamento, como pastas digitais protegidas por senha e controle de acesso a esses materiais, por exemplo.
- Processo de captura de novos dados - Lembre-se de capturar, armazenar e realizar qualquer outro tipo de tratamento, apenas daqueles dados que forem estritamente necessários para a execução das atividades da sua empresa. Siga todos os processos anteriores para garantir a segurança das novas informações.
- Coleta de consentimento - Com relação aos dados dos clientes, utilize o documento preparado no passo anterior, onde você descreveu a finalidade de tratamento de cada um dos dados solicitados, e peça o consentimento do seu cliente para seguir utilizando os dados dessa maneira.
- Ajuste dos contratos - Para os contratos que ainda estão em vigor na sua empresa, busque entender se haverá necessidade de ajuste e converse com seus parceiros a respeito da inclusão de uma cláusula que mencione a realização do tratamento dos dados segundo a LGPD. Para os contratos futuros, faça a mesma avaliação e, se possível, estabeleça uma cláusula padronizada para abordar essa questão. Essa ação é importante para resguardar a sua empresa.
- Processo de atendimento às demandas dos clientes sobre a LGPD - Esteja ciente que o titular dos dados pessoais tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara e adequada, que incluem a confirmação da existência de tratamento, a finalidade específica do tratamento, o acesso aos dados, a correção de dados, a anonimização, bloqueio ou eliminação de dados, a portabilidade dos dados, a eliminação dos dados pessoais, a informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados, a informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa e a revogação do consentimento.
Para que o processo de adequação da sua empresa ocorra de maneira mais fluida, busque compartilhar com os seus colaboradores tudo o que você planejou e precisa executar para atender a legislação. É muito importante que todos estejam cientes desse processo e saibam a melhor maneira de agir em cada situação, afinal de contas, em muitos casos, serão os colaboradores que terão contato com dados pessoais dos clientes da empresa. Estimule que eles conheçam mais sobre o assunto, informe sobre conteúdos on-line gratuitos sobre o tema e peça a colaboração deles para que se engajem nesse processo.
5. SEGURANÇA DE SISTEMAS
É de extrema importância garantir a segurança dos dados pessoais e demais informações que estão sob a guarda da sua empresa. Para isso, tome as medidas mínimas de segurança já mencionadas, como pastas digitais protegidas por senha e controle de acesso a esses materiais. Não deixe de realizar as atualizações dos sistemas que possui e que muitas vezes são oferecidas gratuitamente pelos desenvolvedores, geralmente essas atualizações contêm melhorias de segurança. Outra ação de baixo custo, mas muito efetiva, é manter o antivírus dos computadores atualizados. Busque sempre estar informado sobre as boas práticas relacionadas à segurança da informação.
6. CRIE UM CANAL E MEIOS DE CONTATO COM O CLIENTE SOBRE A LGPD
Procure informar sempre de forma simples e transparente o que tem feito para se adequar à legislação. Se a sua empresa possuir um site, crie um espaço para atender às solicitações dos clientes; caso faça disparos de e-mail marketing, forneça sempre a opção para o cliente se descadastrar, caso ele não queira mais receber contatos, por exemplo.