Inicio > noticias-corporativas > LGPD: checklist de conformidade para adequar empresa à lei    
19/04/2021

LGPD: checklist de conformidade para adequar empresa à lei

LGPD: checklist de conformidade para adequar empresa à lei

Curitiba, PR 19/4/2021 –

A empresa especializada em LGPD Get Privacy criou um checklist para ajudar gestores com itens e pontos importantes de conformidade à lei.

O projeto de adequação e conformidade com a Lei Geral de Proteção de Dados (LGPD) envolve muitos processos e etapas que costumam variar, geralmente, de acordo com o setor de atuação e o tamanho da empresa. Além disso, a forma como a organização realiza o tratamento de dados pessoais de clientes, parceiros, funcionários e colaboradores também deve ser levada em consideração.

Por isso, não há um modelo pronto que deva ser seguido à risca por todas as empresas. Mas existem pontos comuns que podem guiar as empresas quando se está planejando um projeto de adequação à LGPD. Foi pensando nisso que a empresa de consultoria para LGPD Get Privacy criou um checklist de conformidade com a lei.

Para se aprofundar no assunto, basta realizar um diagnóstico gratuito para LGPD.

1. Mapeamento de dados

• Entender o ciclo de vida de cada dado dentro da instituição, da coleta ao uso, compartilhamento, arquivamento e eliminação.

• Identificar quais setores dentro da empresa tratam o maior volume de dados e a natureza destes dados.

• Verificar com quem a instituição compartilha dados e por que compartilha.

2. Encarregado (DPO)

• Indicar um encarregado, também conhecido como DPO (Data Protection Officer). O cargo é obrigatório por lei para todas as empresas e organizações, independentemente do porte.

3. Aderência aos princípios da LGPD

• Verificar se o tratamento de dados é pautado pelos princípios da LGPD. Em especial, se o tratamento cumpre uma finalidade específica.

• Checar se os dados tratados são de fato necessários para o cumprimento dessa finalidade e se não há coleta de dados em excesso. Lembrando que a custódia de dados desnecessários atrai uma responsabilidade desnecessária.

• Verificar se é possível minimizar a coleta de dados, inclusive revisando bancos de dados já existentes e a possibilidade de eliminação dos dados desnecessários.

4. Enquadramento em bases legais

• Fazer uma análise jurídica para identificar a melhor base legal para cada tratamento, conforme a finalidade.

• No caso de dados sensíveis tratados sem consentimento, verificar se há base legal que de fato justifique o tratamento.

• Para dados tratados com consentimento (sensíveis ou “comuns”), certificar que o consentimento é obtido de forma livre, informada, inequívoca e para finalidade determinada (o consentimento genérico não é válido).

5. Relacionamento com o titular

• O titular deve estar ciente da finalidade do tratamento dos seus dados, entendendo quais dados são tratados e por que são tratados.

• Estabelecer um canal de comunicação com o titular, para que ele possa requerer informações e solicitar o cumprimento dos seus direitos.

• Criar um protocolo de resposta às solicitações do titular para tornar fácil e ágil o seu atendimento.

6. Gestão de acesso

• Desenvolver políticas de controle de acesso aos dados, limitando o acesso apenas a quem realmente precisa.

• Investir em ferramentas de autenticação segura e proteção de credenciais.

7. Armazenamento e eliminação de dados

• Garantir o armazenamento seguro dos dados, seja em formato físico ou digital.

• Investir em ferramentas de proteção contra acesso indevido, cópia, roubo, perda ou destruição de dados.

• Desenvolver e testar um plano de backup e recuperação de desastres.

• Estabelecer critérios para estabelecimento de prazos de armazenamento dos dados, e eventual eliminação.

8. Proteção contra ataques

• Estabelecer uma Política de Segurança da Informação adequada, com treinamentos, códigos de conduta e ferramentas de proteção.

• Investir em especial na segurança de endpoints, email, web e redes.

• Fazer análises regulares em busca de vulnerabilidades.

• Promover simulações de ataques para que os colaboradores aprendam a reconhecer as ameaças mais comuns.

9. Resposta a incidentes

• Estar preparado para incidentes de segurança, estabelecendo um plano de resposta e treinando o time responsável por avaliar e mitigar o incidente.

• Estabelecer canais de comunicação seguros com os titulares e com a ANPD para situações emergenciais.

• Estabelecer que a mensagem a ser transmitida quanto ao incidente, se necessário, seja feita de forma coerente e clara ao público.

• Criar protocolos para avaliar os possíveis danos aos titulares.

• Definir de antemão modelos e formatos de comunicação de incidente a serem enviados aos titulares, à ANPD, aos diferentes setores da empresa, aos investidores e à imprensa.

10. Contratação de parceiros e fornecedores

• Escolher parceiros e fornecedores tendo como prioridade a aderência deles à LGPD.

• Para softwares e sistemas, avaliar o grau de segurança das ferramentas.

• Incluir cláusulas relacionadas à LGPD e à proteção de dados nos contratos com colaboradores, parceiros e funcionários.

11. Documentos e contratos

Elaborar políticas e documentos mínimos necessários para a adequação à LGPD, como:

• Aviso de Privacidade (voltado a informar o público externo);

• Política de privacidade (voltada a orientar os colaboradores da empresa);

• Política de retenção de dados;

• Cronograma de retenção de dados;

• Formulário de consentimento do titular;

• Contrato de processamento de dados com parceiros;

Relatório de Impacto à Privacidade, se necessário;

• Modelo de resposta e notificação de violação de dados;

• Registro de violação de dados;

• Formulário de notificação à ANPD;

• Cláusulas contratuais com parceiros quanto à necessidade de compliance.

12. Treinamentos

Treinar e conscientizar colaboradores e funcionários a respeito da proteção de dados e da LGPD;

• Investir em treinamentos de segurança, para que todos consigam reconhecer as principais e mais corriqueiras ameaças (a exemplo do phishing).

13. Monitoramento contínuo

• Monitorar, revisar, prever readequações e alterações de maneira periódica e contínua;

• Ficar atento a novas leis e regulamentações de proteção de dados.

Consultoria especializada para LGPD

A Get Privacy é uma empresa especializada em LGPD. O trabalho é de ponta a ponta, oferecendo todo o conhecimento necessário para que empresas de diferentes setores e portes, de pequenas a grandes, se adequem à LGPD.

Para saber mais sobre a Get Privacy, basta visitar getprivacy.com.br ou ligar para (41) 2391-0966 (WhatsApp).

Com informações de Get Privacy.

Website: https://getprivacy.com.br/