A LGPD no dia a dia dos setores da empresa
A Lei Geral de Proteção de Dados (LGPD) já não é mais novidade para as empresas, mas você sabe como ela impacta nas rotinas diárias de cada setor? A adequação à legislação impõe aos departamentos tarefas específicas e detalhes em seus documentos.
Além do planejamento geral, as especificidades setoriais são muito importantes para que se alcance o que o texto exige para os titulares dos dados: privacidade, armazenamento seguro, transparência e ações de tratamento tomadas mediante consentimento prévio.
Comercial e marketing
Começando pelo site da empresa, temos os cookies de navegação padrão. Mas podem existir ainda outros mecanismos que coletam dados para ações de marketing e vendas, como sistema de monitoramento dos visitantes para criação de mapas de calor dos acessos.
Na política de privacidade do site e na funcionalidade de consentimento a respeito dela e da coleta de dados, tudo o que for utilizado nesse sentido tem de ser exposto. Caso necessário, como consta em diversos sites, o administrador deve adicionar uma funcionalidade de consentimento que permite aos visitantes escolher quais cookies e scripts de rastreamento e coleta eles permitem que sejam ativados durante seus acessos.
O mesmo vale para outros canais, como landing pages, que devem ter as próprias políticas e sempre informarem os motivos pelos quais monitoramentos e coletas são feitos, até porque a lei exige que o tratamento de dados se limite ao necessário para atingir os objetivos comunicados aos usuários.
Por exemplo, se determinado cookie serve apenas para personalizar páginas e conteúdos para os visitantes e leads, os dados coletados por ele não podem ser usados em bancos de dados de clientes potenciais que receberão comunicações de campanhas de marketing e comerciais.
Outra necessidade é a de ser transparente sobre como os dados são coletados e internamente tratados, seja a coleta feita direta ou indiretamente. Essa explicação deve constar no documento de política de privacidade de cada canal digital.
No ramo B2B, por mais que a LGPD não proteja os dados de pessoas jurídicas, é essencial ter com as informações de empresas o mesmo cuidado tido com os dados de pessoas físicas. Isso porque incidentes com informações corporativas também podem fazer com que a organização seja processada, por exemplo, pelo administrador da pessoa jurídica vítima de um vazamento.
Além disso, extrajudicialmente, incidentes com informações empresariais de terceiros podem causar transtornos e prejuízos, como interrupção de vendas em andamento e perda de clientes já adquiridos.
Administrativo e financeiro
Esses departamentos lidam diretamente com dados importantes de pessoas físicas e jurídicas, clientes e fornecedores, incluindo um que é considerado sensível pela LGPD: informação bancária. Os armazenamentos dos setores precisam ter forte estrutura de segurança para proteger as suas bases, que são os principais alvos de sequestradores de dados que atacam empresas em busca de informações que podem utilizar em fraudes ou pelas quais podem pedir resgate.
A segurança também deve ser preocupação em relação a riscos internos. Por isso, diferentes profissionais devem ter níveis distintos de autorização em seus acessos, podendo ter contato com dados, e funcionalidades liberadas, apenas na medida do necessário para suas tarefas.
Como citado para os setores de marketing e vendas, os portadores dos dados precisam saber para quais rotinas estão entregando as suas informações e dar consentimento. Nesse ponto, não se pode esquecer a possibilidade de utilizá-los em situações não rotineiras/específicas.
Por exemplo, a empresa que conta com assessoria de cobrança para receber valores de clientes inadimplentes há mais de determinado tempo. Considerando a hipótese, a informação tem de constar em contrato com clientes ou outros documentos. Depois, se necessário acionar a assessoria para a cobrança de um inadimplente, a transferência de dados para ela — da pessoa jurídica e da pessoa física responsável — ocorrerá em conformidade com a LGPD.
Recursos Humanos (RH) e Departamento Pessoal (DP)
RH e DP precisam estar muito atentos à LGPD por lidarem diária e exclusivamente com informações pessoais e algumas delas serem sensíveis, como dados bancários, de gênero e até biométricos.
Para os departamentos, os cuidados são parecidos com os necessários nas rotinas financeiras e administrativas: segurança e controle de acesso para as equipes. Quanto às execuções contratuais, cláusulas específicas devem constar nos contratos de trabalho.
Se a empresa conta com assessoria contábil para gerar a folha de pagamento e cumprir com outras obrigações trabalhistas, os funcionários devem consentir nos contratos de admissão com a transferência de dados comuns e sensíveis a terceiros, de acordo com os motivos expostos.
Os empregados também precisam ser informados na documentação que suas informações serão mantidas mesmo após possíveis demissões por conta de imposições legais.
Para manter a exatidão da base de dados de trabalhadores, a empresa deve contar com revisões e comunicações periódicas. Isso é importante também para manter a conformidade trabalhista, pois uma informação que se altere pode impactar em questões trabalhistas legais.
Tecnologia da Informação (TI)
A atribuição do setor de TI é dar suporte aos departamentos nas questões técnicas e de segurança, trabalhando de forma integrada aos gestores setoriais, à diretoria e ao encarregado de proteção de dados ou DPO (Data Protection Officer).
Se a TI da empresa fizer o trabalho todo internamente, cabe a ela montar a infraestrutura de tecnologia, implementar os recursos de segurança, monitorar e manter o funcionamento de hardwares e softwares e desenvolver e implantar funções e elementos pontuais. É importante também que ela tenha um plano de contingência preparado para eventuais incidentes, como tentativa de invasão a bancos de dados e efetivo vazamento.
No caso de haver terceiros envolvidos, como fornecedores, que irão ter qualquer contato com os dados, outras atribuições surgem. Pode ser necessário ao departamento fazer um mapeamento para identificar com exatidão quais informações terão contato com terceiros e isso deve ser passado aos demais setores para que os usuários dos quais coletam informações sejam comunicados e deem consentimento para tratamento e armazenamento feitos por agentes externos.
Jurídico
A responsabilidade do setor jurídico também é dar suporte, mas legalmente. Da mesma forma que a TI, o jurídico tem de estar em contato com outros setores, seus gestores, a diretoria e, se o profissional não for do próprio departamento, o DPO.
Normalmente, a equipe jurídica não trabalha diretamente com os dados em geral no dia a dia, mas precisa adicionar tópicos e cláusulas de comunicação e consentimento em documentos e contratos, pois pode ter que lidar com qualquer tipo de informação armazenada pela empresa. Afinal, não é possível saber com qual pessoa física ou jurídica pode-se ter um contencioso no futuro.
Quer se manter informado sobre mais assuntos corporativos tão importantes quanto a LGPD? Siga as nossas redes sociais e acompanhe as publicações. Estamos no Instagram e no LinkedIn.