É praticamente impossível pensar em um negócio que não trate diariamente dados pessoais, sejam eles de clientes, de colaboradores, de empregados, de parceiros ou de prestadores de serviço.
Por isso, é muito importante que todas as empresas e profissionais se conscientizem e se adaptem à Nova Lei Geral de Proteção de Dados Pessoais (LGPD).
A grande questão é: o que fazer na prática para estar de acordo com a LGPD? Pensando nisso, separamos 8 dicas a seguir:
1) Medidas Técnicas e Administrativas
É essencial que as startups e os negócios em geral adotem medidas técnicas e administrativas para proteger os dados pessoais que estejam em sua guarda. Busque garantir tanto a segurança da informação por meio de protocolos de segurança, servidores, sistemas e recursos, como também limitar internamente quem terá acesso aos dados pessoais e como a empresa irá controlar esse fluxo.
2) Termos de Uso e Políticas de Privacidade
Se a sua startup possui um site, aplicativo, SaaS ou qualquer tipo de plataforma, é necessário ter termos de uso e políticas de privacidades em conformidade com a LGPD, abordando quais são os direitos dos titulares, quais dados serão solicitados, para quais finalidades, de acordo com qual base legal, se haverá compartilhamento com terceiros e informando quem terá contato com essas informações. Além disso, esses documentos precisam ser apresentados de forma clara e simples.
3) Termo de Consentimento Específico
Caso o seu negócio trate dados pessoais sensíveis ou de crianças é necessário ter um documento chamado “Termo de Consentimento Específico”, no qual o titular ou o seu representante legal dará a autorização individualizada para que o tratamento daquele dado seja realizado.
4) Políticas Internas e Conscientização da Equipe
A maioria das empresas, especialmente startups que desejam escalar, são compostas por outras pessoas além dos sócios. Por isso, é muito importante conscientizar todos os membros que tenham acesso a dados pessoais sobre o dever de respeitarem a LGPD e as consequências do descumprimento dessa lei.
Na hipótese de vazamentos, compartilhamentos ou tratamentos inadequados por um membro da equipe, toda a empresa poderá ser penalizada.
5) Eleger um Encarregado (DPO)
As empresas que realizam tratamentos de dados pessoais devem indicar uma pessoa para atuar como canal de comunicação com os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Além disso, essa pessoa deve orientar os contratados da startup a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.
6) Mapeamento do Fluxo de Dados Pessoais
É também muito importante que toda a equipe se una para fazer um mapeamento dos dados pessoais, desde o momento em que entram na empresa até o momento em que são excluídos definitivamente, a fim de verificar se o tratamento está sendo adequado ou se existem falhas e pontos de atenção e repará-los.
7) Relatório de Impacto
Caso o seu negócio realize tratamento de dados pessoais que possa restringir liberdades dos titulares, é necessário elaborar um relatório de impacto. Essa documentação contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, bem como as medidas, salvaguardas e mecanismos de mitigação de risco.
É interessante ter esse documento pronto desde já e estar preparado, pois a Autoridade Nacional de Proteção de Dados poderá solicitá-lo.
8) Canais de Comunicação
É indispensável que a empresa tenha canais de comunicação fáceis e acessíveis, para tirar as dúvidas dos titulares sempre que necessário e atender às suas solicitações.
Ter uma comunicação facilitada com o titular pode muitas vezes resolver questões amigavelmente e evitar procedimentos perante a ANPD ou na justiça.
Por fim, esclarecemos que para diminuir riscos de forma mais segura é necessário buscar um profissional da área e fazer uma avaliação específica da sua empresa.
Por Natália Martins Nunes