LGPD nas empresas: guia completo para garantir segurança e conformidade com a lei

Seja qual for o porte do seu negócio, é necessário respeitar as diretrizes de segurança e privacidade de dados determinadas pela LGPD. Entenda como adaptar sua empresa essa lei sem complicações!

A LGPD nas empresas se tornou ainda mais importante nos últimos anos com a crescente digitalização dos negócios.

No entanto, embora a Lei Geral de Proteção de Dados esteja em vigor desde 2020, é possível encontrar muitos empreendedores que desconhecem o assunto e, consequentemente, não estejam em conformidade com as diretrizes sobre o tratamento de dados pessoais.

Neste texto, ajudamos você a entender o que é essa legislação, suas principais exigências e o que você precisa saber sobre LGPD nas empresas para adequar seu negócio à segurança da informação.

O que é LGPD nas empresas e para que serve?

LGPD nas empresas se refere à aplicação das diretrizes da Lei nº 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados (LGPD), em negócios de todos os portes.

Sancionada em 2018 e em vigor desde setembro de 2020, essa lei serve para regular a coleta, armazenamento, uso e compartilhamento de dados pessoais e visa proteger o direito de liberdade e privacidade dos indivíduos.

O que a LGPD garante?

A LGPD garante que as pessoas tenham controle sobre suas informações.

Para que isso aconteça, estabelece regras que devem ser cumpridas por empresas e instituições que tratam esses dados.

A Lei Geral de Proteção de Dados assegura:

O direito à informação clara e acessível sobre o tratamento de dados.
A opção de corrigir, excluir ou restringir o uso de dados pessoais.
A revogação do consentimento de uso dos dados pessoais a qualquer momento.
O direito de oposição ao tratamento de dados realizados, com base em interesse legítimo.

E é bom reforçar: a proteção de dados é um direito fundamental, garantido pelo artigo 5º, inciso LXXIX, da Constituição Brasileira.

Nomenclaturas essenciais da LGPD

Antes de continuarmos falando sobre LGPD e empresas, vamos explicar algumas nomenclaturas importantes trazidas pela Lei Geral de Proteção de Dados.

Autoridade Nacional de Proteção de Dados (ANPD)

Órgão do governo federal que foi criado especialmente para orientar, fiscalizar e aplicar a LGPD.

Titular dos dados

É a pessoa física a quem se referem os dados pessoais.

Consentimento

Autorização clara e livre dada pelo titular para que seus dados sejam coletados e utilizados por uma pessoa física ou jurídica para uma determinada finalidade.

Controlador dos dados

É a pessoa (física ou jurídica) que decide como e por que os dados pessoais serão tratados. Tem o papel mais relevante para garantir a proteção dos dados. É responsável por informar os titulares sobre o uso das informações e pode ser responsabilizado em caso de eventuais incidentes.

Operador de dados

É a pessoa (física ou jurídica) que faz o tratamento dos dados pessoais, de acordo com as orientações do controlador. Também pode ser responsabilizado em caso de falhas de segurança e proteção de dados.

Encarregado de proteção de dados

É a pessoa nomeada pelo controlador para ser o responsável pelo contato entre a empresa, os titulares dos dados e a ANPD. Também pode ser chamado de DPO – sigla para Data Protection Officer (nome do cargo em inglês).

Quem fiscaliza a LGPD nas empresas?

A Autoridade Nacional de Proteção de Dados (ANPD), órgão vinculado à Presidência da República, é responsável por editar as normas e procedimentos da LGPD nas empresas.

Criada com a LGPD, a ANPD tem a finalidade de fiscalizar e garantir que a lei seja cumprida.

LGPD na prática: como funciona e como ela afeta a sua empresa?

Na prática, a LGPD determina diretrizes para que empresas e instituições públicas ou privadas garantam a segurança, a privacidade e a proteção dos dados pessoais que utilizam – sejam estes dados de clientes, fornecedores ou trabalhadores.

Entre outras medidas, quem tem um negócio precisa adequar e estabelecer políticas internas sobre a utilização, o armazenamento e o acesso a dados pessoais por quem trabalha na empresa.

A quais empresas a LGPD se aplica?

A LGPD se aplica a empresas públicas ou privadas de todos os portes e setores.

Ou seja: se você tem um negócio, precisa cumprir o que a LGPD estabelece.

Afinal, todas as empresas utilizam dados pessoais de alguma maneira – e se isso acontece, é necessário protegê-los.

Como funciona a LGPD nas empresas?

A LGPD nas empresas funciona para determinar o que um negócio precisa fazer para garantir a segurança e privacidade dos dados pessoais que utiliza.

Além disso, a LGPD também determina o que as empresas devem fazer em caso de incidentes envolvendo dados pessoais.

O que a LGPD considera como dados pessoais?

A LGPD considera e classifica os dados em três tipos: o dado pessoal, o dado pessoal sensível e o dado anonimizado.

Dados pessoais – são aquelas informações que tornam possível identificar uma pessoa tais como nome completo, números de documentos (CPF, RG, CNH), data e local de nascimento, foto, dados bancários e contatos (e-mail, telefone, endereço).
Dados pessoais sensíveis – são todas as informações que revelam aspectos íntimos de uma pessoa. Enquadram-se aí dados sobre origem racial/étnica, saúde, vida sexual, dados genéticos e biométricos, filiação a instituições como sindicatos, partidos, organizações religiosas, opiniões e convicções religiosas, políticas e filosóficas etc.
Dados anonimizados – são informações pessoais que, após terem passado por algum processo ou tratamento, não podem ser associados a uma pessoa específica. A criptografia é um exemplo de técnica que pode ser usada para anonimizar um dado pessoal.

Direitos dos titulares dos dados

A Lei Geral de Proteção de Dados assegura diversos direitos às pessoas que são titulares de dados. Os principais são:

Confirmação da existência de tratamento de dados: titulares têm o direito de saber se seus dados estão sendo tratados, analisados, compartilhados etc.
Acesso: os titulares também podem acessar seus dados pessoais que estão sob posse de uma empresa.
Correção de dados: titulares também podem pedir para as empresas ajustarem ou atualizarem seus dados.
Portabilidade: uma pessoa também pode solicitar que seus dados sejam transferidos com segurança para outra empresa. É o que acontece quando há troca de operadora de telefone ou com o Open Finance, por exemplo.
Exclusão de dados e revogação do consentimento de uso: titulares podem solicitar a exclusão de seus dados pessoais e/ou retirar o consentimento de uso dessas informações (exceto em situações legais isso não possa ser feito).
Reclamação à ANPD: a LGPD assegura que titulares possam formalizar reclamações à ANPD sempre que acharem que seus direitos estão sendo desrespeitados.

Para atender a essas solicitações, todo negócio deve manter um canal de contato que possa ser facilmente acessado pelos titulares de dados.

O que a LGPD para empresas exige?

A LGPD exige que as empresas adotem boas práticas de governança em privacidade e segurança de dados.

Entre outras medidas, a Lei Geral de Proteção de Dados determina que as empresas:

Promovam treinamentos sobre o tema para seus colaboradores.
Façam um inventário dos dados tratados.
Possuam políticas de privacidade transparentes e objetivas.
Avaliem riscos e impactos da utilização dos dados.
Forneçam informações claras para obter o consentimento do uso de dados.
Criem canais para atender as pessoas titulares de dados.
Tenham alguém responsável por garantir a conformidade do negócio em relação à LGPD (Encarregado de Proteção de Dados).
Realizem o controle de acesso a dados, registrando o tratamento dado a eles.
Mantenham planos de resposta a incidentes.

Quais são os princípios da LGPD nas empresas?

Além das obrigações, é importante considerar também os princípios que regem a LGPD para direcionar as ações da empresa em relação a uso e tratamento de dados pessoais, tais como:

Finalidade: o tratamento de dados deve ter um propósito legítimo às atividades do seu negócio. A finalidade e a coleta dos dados devem ser explicitamente informadas aos clientes.
Necessidade: o uso de dados deve se limitar ao mínimo necessário para a finalidade determinada. Então, nada de coletar mais dados do que seu negócio realmente precisa.
Consentimento: exceto em casos muito específicos e previstos em lei, a coleta e tratamento de dados só pode ser feita após consentimento livre e inequívoco dos titulares.
Livre acesso: você deve garantir acesso facilitado e sem custos aos titulares sobre seus dados pessoais. Isso inclui consulta, possibilidade de retificação de informações, formas de acesso etc.
Qualidade dos dados: você também precisa garantir que os dados sejam precisos e atualizados, de acordo com a finalidade do uso.
Segurança e prevenção: sua empresa deve adotar medidas para prevenir e evitar acessos não autorizados, vazamento, perdas e outros danos aos dados pessoais que utiliza.
Não discriminação: é totalmente proibido usar dados pessoais para finalidade discriminatória.
Responsabilização e prestação de contas: comprovação das medidas adotadas.

Importante: LGPD para empresas não é restrita a dados pessoais em meios digitais

Ao contrário do que muita gente pensa, a LGPD não se refere apenas aos dados pessoais que estão em meios digitais/virtuais.

A Lei Geral de Proteção de Dados engloba o uso e tratamento de qualquer dado pessoal – incluindo aqueles que estão dispostos em papéis, fichas cadastrais, documentos, fotos, gravações de áudio e vídeo etc.

Por isso, independente do porte do seu negócio, você precisa adequá-lo à LGPD. Sem isso, você pode colocar seu empreendimento em risco!

Como se adequar à LGPD?

O primeiro passo para adequar seu negócio à Lei Geral de Proteção de Dados é considerar o porte da sua empresa.

Isso porque, através da Resolução nº 2, de 27 de janeiro 2022, a ANPD criou algumas flexibilizações da LGPD para empresas de pequeno porte.

A Agência criou alguns materiais de suporte para pequenos empreendedores que estão buscando se adequar à LGPD:

10 dicas para adequar a sua empresa à LGPD

Preparamos 10 dicas para adequar sua empresa à LGPD, considerando os principais pontos de atenção que você precisa ter no seu negócio:

Mapeie, identifique e classifique os dados pessoais que sua empresa deve tratar, sejam eles de fornecedores, clientes ou funcionários.
Colete apenas dados que você realmente precisa.
Expresse de forma clara que haverá coleta e uso de dados no seu site, formulário, cadastro impresso ou qualquer outro meio utilizado para coleta dessas informações. Garanta que as pessoas possam autorizar ou não o uso de seus dados pessoais.
Escolha quem vai controlar e/ou operar o tratamento de dados no seu negócio.
Ofereça treinamentos frequentes à sua equipe sobre a LGPD e o uso de dados pessoais.
Limite o acesso aos dados pessoais que sua empresa coleta. Somente pessoas autorizadas devem fazer isso, quando necessário.
Disponibilize um e-mail, WhatsApp ou outro canal para pessoas que desejem solicitar informações, atualizações ou exclusão de seus dados.
Avalie aspectos relacionados à LGPD em contratos com empresas fornecedoras e/ou parceiras.
Use senhas fortes e recursos de segurança para garantir a proteção aos dados em ambientes digitais. Jamais deixe planilhas, documentos ou qualquer tipo de papel com dados pessoais onde possam ser vistos ou acessados facilmente.
Liste possíveis riscos no tratamento de dados e defina ações a serem realizadas em caso de incidentes.

Como aplicar mudança cultural na empresa

Esperamos que esse texto tenha ajudado você a saber mais sobre LGPD nas empresas.

Aplicar a Lei Geral de Proteção de Dados nos negócios exige atenção e cuidado. Acima de tudo, você precisa promover uma mudança cultural no seu empreendimento – seja ele pequeno, médio ou de grande porte.

Difundir a informação sobre o tema é essencial para criar um ambiente corporativo onde todas as pessoas sabem qual seu papel e o que devem fazer para evitar incidentes envolvendo uso de dados pessoais.

Mais do que uma obrigação, cumprir a LGPD é um diferencial competitivo.

Então, use isso a seu favor e mantenha sempre seu público bem-informado sobre as ações que seu negócio realiza sobre o tema!

Veja também: