10 perguntas sobre LGPD que toda empresa deve saber responder

Get Privacy, consultoria especializada em LGPD, mostra os principais questionamentos que as empresas podem enfrentar                                            

CURITIBA, Brasil, 30 de março de 2022 /PRNewswire/ -- Com a Lei Geral de Proteção de Dados (LGPD) em vigor, as empresas precisam estar preparadas para responder a possíveis questionamentos sobre a conformidade com a lei. Isso tanto por parte dos titulares, cada vez mais antenados ao que é feito com os seus dados pessoais, quanto da ANPD, a autoridade responsável por fiscalizar o cumprimento da lei.

Para dar uma ideia do tipo de questionamento que a sua empresa pode esperar, a Get Privacy, consultoria especializada em proteção de dados, separou uma lista com 10 perguntas que toda empresa deve estar preparada para responder.

LGPD: 10 perguntas importantes para empresas

1) Quais cuidados e ações a empresa adota para garantir que o tratamento está de acordo com a LGPD?

Esta é a pergunta mais básica e essencial, que pode partir tanto da ANPD quanto dos titulares de dados. Basicamente, a empresa deve estar preparada para mostrar e comprovar todas as medidas adotadas para garantir a conformidade com a lei.

Aliás, é importante lembrar que a LGPD opera sob a ótica da responsabilidade demonstrada. Ou seja, não basta afirmar que a empresa está em conformidade com a lei. É preciso ser capaz de demonstrar essa conformidade, comprovando as medidas adotadas.

Isso inclui, por exemplo, garantir que o tratamento de dados esteja enquadrado em uma base legal, adotar medidas de segurança para proteger os dados e permitir que eles sejam acessados apenas por quem precisa.  Para saber mais, confira um checklist de conformidade com a LGPD.

2) Como a empresa recebe/tem acesso aos dados?

Esta é uma pergunta comum e especialmente importante para o titular de dados, que tem o direito de se certificar de que a empresa teve acesso ao seu dado de forma legal.  

De maneira geral, a informação pode ter sido fornecida pelo próprio titular ou compartilhada por parceiro ou órgão público – sempre de acordo com os termos da lei.

Vale lembrar que a prática de comprar ou vender uma base de dados pessoais é ilegal.                                                            

3) Qual é a finalidade para o tratamento dos dados? Ou seja, por que a empresa trata os dados solicitados?

Por lei, todo tratamento de dados deve ser feito para cumprir uma finalidade específica – esse é um dos princípios da LGPD. Por exemplo, se uma empresa solicita um e-mail com a finalidade exclusiva de enviar um boleto de pagamento, ela não pode usar esse dado para enviar e-mails com promoções.

É importante que a finalidade do tratamento seja informada ao titular desde o início, para que ele saiba como seu dado será utilizado. Da mesma maneira, a empresa deve saber responder qual é a finalidade de cada tratamento realizado.

4) Por quanto tempo os dados são armazenados pela empresa?                      

Quando um titular fornece um dado pessoal, isso não significa que essa informação pode ser armazenada pela empresa por tempo indeterminado. Afinal, pela LGPD todo tratamento de dados deve ter um fim, que normalmente ocorre quando se cumpre a finalidade para o uso daquele dado.

É natural que o titular de dados queira saber por quanto tempo sua informação será armazenada, portanto a empresa deve estar pronta para responder esse questionamento. Da mesma maneira, a ANPD também pode solicitar essa informação.

5) Quem tem acesso aos dados dentro da empresa?                                

Uma boa prática de proteção de dados é restringir o acesso ao dado apenas a quem necessariamente precisa dele para exercer seu trabalho. Estabelecer essa restrição e saber responder exatamente quem pode acessar dados pessoais ajuda a:

  • Evitar incidentes de segurança;
  • Identificar responsáveis caso haja algum incidente de origem interna;
  • Comprovar para a ANPD que a empresa adotou uma medida importante de conformidade com a lei;
  • Tranquilizar o titular de que seu dado está sendo tratado com critério.

6) Os dados são compartilhados com outras empresas ou organizações? Por qual motivo?                                   

O compartilhamento indevido de dados pode se transformar numa dor de cabeça para a empresa, sendo um dos principais motivos de ações judiciais por parte dos titulares de dados.

Portanto, é fundamental saber apontar com quem a empresa compartilha dados e deixar claro que eles foram compartilhados dentro dos limites estabelecidos em lei (com o consentimento do titular, por exemplo).

7) A empresa emprega medidas de segurança da informação para proteger os dados?                                                                            

Com ataques hacker, roubo e vazamento de dados cada vez mais frequentes, é importante que a empresa esteja preparada para lidar com perguntas a respeito das medidas de segurança que adota para proteger as informações sob sua responsabilidade.

Além de ser um ponto sensível para o titular de dados, a Segurança da Informação é também uma obrigação da empresa prevista na LGPD.

8) A empresa já sofreu algum incidente de segurança ou vazamento de dados?

Esta é uma pergunta diretamente relacionada à anterior e exige transparência por parte da empresa, já que tanto os titulares de dados quanto a ANPD podem questionar a organização a respeito de eventuais incidentes de segurança.

Caso de fato tenha ocorrido algum incidente, é preciso que a empresa esteja pronta para responder detalhadamente sobre como agiu para prevenir e conter o estrago.

Aliás, idealmente a empresa deve possuir um plano de resposta a incidentes justamente para saber como agir em situações como essa.

Além disso, incidentes de segurança que tragam risco ou dano relevante ao titular devem obrigatoriamente ser informados à ANPD.

9) Como o titular pode consultar mais informações sobre os dados armazenados pela empresa?                                        

O titular tem uma série de direitos previstos na LGPD, como confirmar a existência de tratamento e solicitar o acesso ou a exclusão de seus dados. É fundamental que a empresa estabeleça um canal de comunicação claro para que o titular possa fazer essas solicitações.

A prática mais recomendada é adotar um protocolo de resposta a essas demandas, com um passo a passo definido para avaliar a solicitação e respondê-la.

Aliás, nem sempre o pedido do titular poderá ser atendido. Por exemplo, um pedido de exclusão de dados pode ser negado caso a empresa precise manter o dado para cumprir com alguma obrigação legal ou regulatória.

10) A empresa já indicou um DPO (Encarregado)? Como é possível contatá-lo?

Uma última pergunta importante diz respeito ao DPO (Data Protection Officer), chamado na lei de Encarregado.

O DPO é o responsável, dentre outras coisas, por fazer a ponte entre a empresa, os titulares e a ANPD. A indicação de alguém para o cargo é obrigatória, exceto para startups e pequenas empresas.

Portanto, é preciso que a companhia esteja preparada para responder se já indicou alguém para atuar como DPO e como ele pode ser contatado.

É importante destacar ainda que o cargo pode ser ocupado tanto por um funcionário da empresa quanto por um profissional terceirizado, como no serviço de DPO as a Service.  

Obtenha ajuda de especialistas em LGPD

A Get Privacy ajuda empresas de todos os portes a se adequarem à LGPD de forma prática e assertiva. Ligue para (41) 2391-0966 (Whatsapp) ou visite getprivacy.com.br saber mais.

FONTE GET PRIVACY

Foto - https://mma.prnewswire.com/media/1776096/Solu__o_para_LGPD.jpg

FONTE Get Privacy

Get Privacy, consultoria especializada em LGPD, mostra os principais questionamentos que as empresas podem enfrentar                                            

CURITIBA, Brasil, 30 de março de 2022 /PRNewswire/ -- Com a Lei Geral de Proteção de Dados (LGPD) em vigor, as empresas precisam estar preparadas para responder a possíveis questionamentos sobre a conformidade com a lei. Isso tanto por parte dos titulares, cada vez mais antenados ao que é feito com os seus dados pessoais, quanto da ANPD, a autoridade responsável por fiscalizar o cumprimento da lei.

Para dar uma ideia do tipo de questionamento que a sua empresa pode esperar, a Get Privacy, consultoria especializada em proteção de dados, separou uma lista com 10 perguntas que toda empresa deve estar preparada para responder.

LGPD: 10 perguntas importantes para empresas

1) Quais cuidados e ações a empresa adota para garantir que o tratamento está de acordo com a LGPD?

Esta é a pergunta mais básica e essencial, que pode partir tanto da ANPD quanto dos titulares de dados. Basicamente, a empresa deve estar preparada para mostrar e comprovar todas as medidas adotadas para garantir a conformidade com a lei.

Aliás, é importante lembrar que a LGPD opera sob a ótica da responsabilidade demonstrada. Ou seja, não basta afirmar que a empresa está em conformidade com a lei. É preciso ser capaz de demonstrar essa conformidade, comprovando as medidas adotadas.

Isso inclui, por exemplo, garantir que o tratamento de dados esteja enquadrado em uma base legal, adotar medidas de segurança para proteger os dados e permitir que eles sejam acessados apenas por quem precisa.  Para saber mais, confira um checklist de conformidade com a LGPD.

2) Como a empresa recebe/tem acesso aos dados?

Esta é uma pergunta comum e especialmente importante para o titular de dados, que tem o direito de se certificar de que a empresa teve acesso ao seu dado de forma legal.  

De maneira geral, a informação pode ter sido fornecida pelo próprio titular ou compartilhada por parceiro ou órgão público – sempre de acordo com os termos da lei.

Vale lembrar que a prática de comprar ou vender uma base de dados pessoais é ilegal.                                                            

3) Qual é a finalidade para o tratamento dos dados? Ou seja, por que a empresa trata os dados solicitados?

Por lei, todo tratamento de dados deve ser feito para cumprir uma finalidade específica – esse é um dos princípios da LGPD. Por exemplo, se uma empresa solicita um e-mail com a finalidade exclusiva de enviar um boleto de pagamento, ela não pode usar esse dado para enviar e-mails com promoções.

É importante que a finalidade do tratamento seja informada ao titular desde o início, para que ele saiba como seu dado será utilizado. Da mesma maneira, a empresa deve saber responder qual é a finalidade de cada tratamento realizado.

4) Por quanto tempo os dados são armazenados pela empresa?                      

Quando um titular fornece um dado pessoal, isso não significa que essa informação pode ser armazenada pela empresa por tempo indeterminado. Afinal, pela LGPD todo tratamento de dados deve ter um fim, que normalmente ocorre quando se cumpre a finalidade para o uso daquele dado.

É natural que o titular de dados queira saber por quanto tempo sua informação será armazenada, portanto a empresa deve estar pronta para responder esse questionamento. Da mesma maneira, a ANPD também pode solicitar essa informação.

5) Quem tem acesso aos dados dentro da empresa?                                

Uma boa prática de proteção de dados é restringir o acesso ao dado apenas a quem necessariamente precisa dele para exercer seu trabalho. Estabelecer essa restrição e saber responder exatamente quem pode acessar dados pessoais ajuda a:

  • Evitar incidentes de segurança;
  • Identificar responsáveis caso haja algum incidente de origem interna;
  • Comprovar para a ANPD que a empresa adotou uma medida importante de conformidade com a lei;
  • Tranquilizar o titular de que seu dado está sendo tratado com critério.

6) Os dados são compartilhados com outras empresas ou organizações? Por qual motivo?                                   

O compartilhamento indevido de dados pode se transformar numa dor de cabeça para a empresa, sendo um dos principais motivos de ações judiciais por parte dos titulares de dados.

Portanto, é fundamental saber apontar com quem a empresa compartilha dados e deixar claro que eles foram compartilhados dentro dos limites estabelecidos em lei (com o consentimento do titular, por exemplo).

7) A empresa emprega medidas de segurança da informação para proteger os dados?                                                                            

Com ataques hacker, roubo e vazamento de dados cada vez mais frequentes, é importante que a empresa esteja preparada para lidar com perguntas a respeito das medidas de segurança que adota para proteger as informações sob sua responsabilidade.

Além de ser um ponto sensível para o titular de dados, a Segurança da Informação é também uma obrigação da empresa prevista na LGPD.

8) A empresa já sofreu algum incidente de segurança ou vazamento de dados?

Esta é uma pergunta diretamente relacionada à anterior e exige transparência por parte da empresa, já que tanto os titulares de dados quanto a ANPD podem questionar a organização a respeito de eventuais incidentes de segurança.

Caso de fato tenha ocorrido algum incidente, é preciso que a empresa esteja pronta para responder detalhadamente sobre como agiu para prevenir e conter o estrago.

Aliás, idealmente a empresa deve possuir um plano de resposta a incidentes justamente para saber como agir em situações como essa.

Além disso, incidentes de segurança que tragam risco ou dano relevante ao titular devem obrigatoriamente ser informados à ANPD.

9) Como o titular pode consultar mais informações sobre os dados armazenados pela empresa?                                        

O titular tem uma série de direitos previstos na LGPD, como confirmar a existência de tratamento e solicitar o acesso ou a exclusão de seus dados. É fundamental que a empresa estabeleça um canal de comunicação claro para que o titular possa fazer essas solicitações.

A prática mais recomendada é adotar um protocolo de resposta a essas demandas, com um passo a passo definido para avaliar a solicitação e respondê-la.

Aliás, nem sempre o pedido do titular poderá ser atendido. Por exemplo, um pedido de exclusão de dados pode ser negado caso a empresa precise manter o dado para cumprir com alguma obrigação legal ou regulatória.

10) A empresa já indicou um DPO (Encarregado)? Como é possível contatá-lo?

Uma última pergunta importante diz respeito ao DPO (Data Protection Officer), chamado na lei de Encarregado.

O DPO é o responsável, dentre outras coisas, por fazer a ponte entre a empresa, os titulares e a ANPD. A indicação de alguém para o cargo é obrigatória, exceto para startups e pequenas empresas.

Portanto, é preciso que a companhia esteja preparada para responder se já indicou alguém para atuar como DPO e como ele pode ser contatado.

É importante destacar ainda que o cargo pode ser ocupado tanto por um funcionário da empresa quanto por um profissional terceirizado, como no serviço de DPO as a Service.  

Obtenha ajuda de especialistas em LGPD

A Get Privacy ajuda empresas de todos os portes a se adequarem à LGPD de forma prática e assertiva. Ligue para (41) 2391-0966 (Whatsapp) ou visite getprivacy.com.br saber mais.

FONTE GET PRIVACY

Foto - https://mma.prnewswire.com/media/1776096/Solu__o_para_LGPD.jpg

FONTE Get Privacy