As punições por infringir a Lei Geral de Proteção de Dados (LGPD) já estão sendo aplicadas. O processo de adequação já começou na sua administradora?
Os principais conceitos da legislação já foram assunto em outro artigo do nosso blog, que esclarece o que é a lei, o que é tratamento de dados e a importância de se adequar o quanto antes.
Leia mais: LGPD e gestão de condomínios: desvende a legislação
Neste conteúdo, porém, queremos abordar especificamente a adequação à LGPD. É um processo inevitável para a sua administradora, já que sua empresa trata dados de clientes.
Mas o que é preciso observar para garantir que sua administradora esteja alinhada às exigências da LGPD? A seguir, elencamos 10 passos essenciais para a adequação na prática.
O que você vai ver neste conteúdo?
1. Mapeamento de dados
É fato que sua administradora recebe dados pessoais com uma frequência bem alta, não é? Diante da LGPD, uma das obrigações é saber exatamente de onde vêm essas informações, bem como qual o fluxo que percorrem na sua empresa.
Então, algumas perguntas essenciais para este primeiro passo de adequação à LGPD são:
→ Quais são as fontes dos dados recebidos, ou seja, quem repassa as informações (colaboradores, parceiros, fornecedores, condôminos, síndicos)?
→ Estas informações são realmente necessárias? Por quê?
→ Qual caminho os dados percorrem dentro da empresa?
O mapeamento é relevante para a adequação à LGPD, pois trará uma visão geral sobre como os dados são tratados, desde a coleta até o descarte. Ou seja, ele é específico para cada organização, já que deve retratar a realidade do tratamento de dados.
2. Finalidade do tratamento de dados
No artigo em que abordamos os principais conceitos da LGPD, listamos também as 10 bases legais para a coleta de dados.
Entre as 10 hipóteses, sua administradora deve encontrar uma ou mais justificativas pelas quais realiza a coleta e tratamento de dados.
A proposta deste segundo passo é a análise e organização da relação entre os dados coletados e a finalidade de utilização.
Outra dica importante: investir em um sistema de gestão seguro, que evite a publicação indevida de dados e que também traga a garantia de que a empresa não guarde dados desnecessários.
Afinal, uma das premissas da LGPD também é de que, quando os dados atingem sua finalidade, devem ser descartados.
Leia mais: Como descobrir se um sistema de gestão está adequado à LGPD?
3. Criação das políticas voltadas à LGPD
Qualquer organização que faz tratamento de dados deve, no mínimo, elaborar uma Política de Privacidade, que detalha processos e providências em busca de adequação.
Porém, de acordo com as atividades que a sua administradora executa, serão necessários ainda outros documentos, como Política de Cookies, de Segurança da Informação ou de Descarte de Dados, por exemplo.
Faça o download: Modelo de Política de Privacidade para Administradoras
4. Organização do arquivo e de cadastro
Esta etapa está, em partes, relacionada ao mapeamento. Mesmo assim, merece atenção própria: como os dados disponibilizados à sua administradora são armazenados?
É essencial controlar estas informações, no lugar de mantê-las espalhadas e desorganizadas. Porém, será inviável controlar, se há várias entradas de dados, por exemplo.
Então, centralize o recebimento em um único canal e esteja ciente de que também são considerados dados aquelas informações repassadas via formulários em papel, telefone, WhatsApp ou e-mail.
O tratamento de dados pessoais não se restringe a informações de clientes. Os dados que sua administradora armazena sobre colaboradores ou terceiros, por exemplo, devem contar com o mesmo cuidado.
Para isso, é recomendável desenvolver procedimentos para o cadastro seguro de quem integra a equipe ou presta serviços à sua empresa.
Neste caso, a utilização de uma única plataforma para o registro de informações traz maior controle. Já dados físicos, registrados em papel, por exemplo, também devem ser armazenados em locais seguros.
5. Procedimentos internos
De acordo com a LGPD, o titular dos dados, ou seja, a pessoa que cedeu informações próprias à sua administradora, tem o direito de questionar ou revogar a utilização destes dados.
Sua empresa está preparada para atender às solicitações do titular?
Neste sentido, é necessário definir como vai ocorrer, internamente, o atendimento. Quem ou qual setor será responsável? Como se darão as respostas aos questionamentos?
Aqui, a orientação é estruturar o atendimento, com profissionais devidamente treinados e procedimentos definidos.
6. Segurança
Já ouviu falar em vazamento de dados? É apenas um dos exemplos de incidentes de segurança que podem acontecer e, claro, a LGPD também dispõe sobre o assunto.
Para evitar incidentes com os dados armazenados pela sua administradora, crie procedimentos capazes de interligar rotinas, pessoas e tecnologia.
É importante ser criterioso na escolha de sistemas seguros, sem esquecer de repassar orientações para todos da equipe, sobre todos os processos internos.
7. Plano de Contingência
Embora uma empresa tome todas as precauções possíveis sobre a LGPD, incidentes de segurança ainda podem acontecer.
Então, a empresa deve estar preparada e isso é possível por meio de um Plano de Contingência, também conhecido como Plano de Resposta a Incidentes (PRI), e até mesmo citado no texto da LGPD.
Trata-se de um plano com orientações para colaboradores, indicando os procedimentos mais adequados diante de incidentes com dados pessoais.
O documento permite que as respostas a eventuais problemas sejam rápidas e também contribui para evitar ou atenuar punições, já que será mais simples responder se houver uma preparação antecipada.
8. Revisão de contratos
Todos os contratos da sua administradora, seja com colaboradores, clientes ou prestadores de serviços, devem passar por revisão.
A LGPD atribui obrigações às empresas, já contratos, atribuem responsabilidades e elas devem estar bem claras.
Diante da legislação, não é mais aceitável que contratos sejam genéricos ou subjetivos. Por isso, a necessidade de revisão completa para possíveis adequações, em especial nos contratos de trabalho.
9. Conscientização
Já pensou em cumprir os oito passos anteriores, sem que a sua equipe esteja 100% alinhada a todo este esforço? Seria em vão.
Todos os seus colaboradores devem estar engajados a favor da proteção de dados e, para isso, deve haver investimento em treinamento interno. Somente assim, será possível conscientizá-los, inclusive sobre penalidades que podem se transformar em multas altas (2% do faturamento da empresa, com limite de R$ 50 milhões por infração).
Por outro lado, as punições podem ser reduzidas, quando a empresa comprova que existem ações preventivas para mitigar danos.
Outra iniciativa, também voltada à conscientização, é apresentar aos seus colaboradores o Termo de Sigilo e Confidencialidade. Trata-se de um acordo de caráter empresarial, em que as partes envolvidas se comprometem a manter informações estratégicas em sigilo.
Quando seus colaboradores assinam este termo, assumem o compromisso de que os dados aos quais têm acesso não serão repassados a mais ninguém.
10. Registro de iniciativas
Por fim, todo o trabalho realizado em busca de adequação à LGPD deve ser registrado. A comprovação de que a empresa emprega esforços nesse sentido pode ser levada em conta para atenuar sanções.
Entre as punições relativas à LGPD, estão advertências, suspensões de atividades de tratamento, ordens para eliminação de dados ou ainda aplicação de multas. Neste último caso, no valor mínimo de 2% do faturamento da empresa, com limite de R$ 50 milhões por infração.
Em que nível sua empresa está?
Após conferir a checklist de 10 itens, você provavelmente já consegue avaliar o que falta para que sua empresa esteja adequada à LGPD.
Antes de concluir, é importante lembrar: uma das recomendações a empresas que fazem tratamento de dados é designar um Encarregado de Dados, também chamado de DPO (Data Protection Officer, na sigla em inglês).
Embora não obrigatória para micro e pequenas empresas, a contratação do DPO pode ser terceirizada. Ele será responsável por facilitar a comunicação entre controlador, titulares e a Autoridade Nacional de Proteção de Dados (ANPD), bem como fornecer informações que comprovem a regularidade da empresa.
Saiba mais: Diagnóstico LGPD para administradoras de condomínios
