Vivemos em uma era onde produtos e serviços não nascem de mera inspiração. As empresas querem ser certeiras em oferecer o produto ou serviço ideal que atende as necessidades dos clientes. E para isso, dados que revelam nossos gostos e comportamentos de compra são joias valiosas para obter grandes resultados. Com a LGPD – Lei Geral de Proteção de Dados (L13.709/2018) – um questionamento está em alta: como as empresas devem gerenciar essas informações e organizá-las?
Um dos pontos principais da LGPD destaca que “dono” dos dados é o próprio titular e é ele quem vai decidir o que pode ser feito com as suas informações. Com este fundamento, cabe às empresas atender estas bases legais e proporcionar uma relação de forma transparente com os titulares das informações.
O que isso tem a ver com a gestão da sua empresa? A implantação do LGPD vai transformar a cultura da organização e inovar o sistema de gestão. O assunto já vem sendo amplamente debatido e foi tratado pela empresa Qualyteam, em 2020, em um webinar realizado com um parceiro, a Fundação Vanzolini.
A LGPD traça um novo caminho quanto à maneira de coletar e tratar os dados da empresa. E para realizar as devidas adequações é necessário contar com ferramentas simples e práticas que auxiliem no sistema de gestão.
Um sistema de gestão pode ser um grande aliado. Automatizando esse processo, você pode por exemplo, gerenciar riscos de não conformidades que estejam relacionados à LGPD, analisar causas-raiz e planos de ação para realizar melhorias, gerenciar auditorias de conformação com requisitos da LGPD ou até mesmo gerenciar documentos internos e externos referentes à nova Lei.
Vantagem competitiva em relação aos concorrentes no mercado
A adequação com a LGPD impacta na redução de riscos, uma vez que a sanção ocasionada por uso inadequado de dados pode afetar a credibilidade da empresa no mercado. Blinda, também, a organização de ataques externos e internos, já que a organização olhará com mais ênfase para ações de governança digital.
Dados de clientes em ferramentas como CRM
Para fazer uma boa gestão do relacionamento com os clientes, a maioria das empresas conta com um CRM para listar os dados pessoais, assim como histórico de contatos e possíveis negociações com cada cliente. Como se adequar nesse caso se o cliente exigir a eliminação de seus dados? Segundo os especialistas, caso o CRM não tenha uma funcionalidade de apagar os dados de um cliente específico, seria necessário fazer uma busca em nome do cliente no CRM e eliminar as informações manualmente para cada registro encontrado. É importante lembrar que as fitas magnéticas e unidades de backup podem conter dados pessoais historicamente armazenados, que também precisam ser eliminados.
Garantias aos usuários quanto à eliminação dos dados
Mesmo o cliente ou o titular solicitando a eliminação dos mesmos, estes podem ter dúvidas se o processo realmente ocorreu, ou se as informações continuam sendo manipuladas mesmo contra a sua vontade. Nesse caso, o titular pode pedir ao Encarregado de Dados que comprove a execução da solicitação.
Caso o usuário não esteja satisfeito com o que foi apresentado, poderá pedir a intervenção da Autoridade Nacional de Proteção de Dados (ANPD), para verificar se a eliminação das informações foi realizada efetivamente.
Vale ressaltar a importância de justificar tal pedido à ANPD com base em possíveis evidências. Tais casos passarão por análises e a ANPD poderá solicitar ao Encarregado de Dados da empresa que comprove a execução da solicitação do titular.
Ainda é passível da empresa passar por auditorias nos sistemas de TI e de terceiros para comprovar que os requisitos da Lei estão sendo atendidos.
Compartilhamento de informações com outras áreas da empresa
Devido às ações específicas para clientes, parceiros de negócios e afins, vários departamentos da organização podem acessar e compartilhar estas informações internamente. De acordo com os especialistas, o compartilhamento de informações entre vários departamentos é algo que dificulta muito o controle de acessos e a execução de solicitações recebidas tanto do titular quanto da ANPD.
Nesse caso, a coleta e o acesso aos dados pessoais precisam ser justificados, independente do departamento ou área de negócios da empresa. Ou seja, é preciso relatar porque foram coletados, qual será o tratamento, quem tem permissão de acesso, quem acessou os dados, onde foram armazenados e para onde foram transmitidos.
Lembre-se que dados pessoais não podem ser acessados sem a geração dos respectivos registros, sob pena da empresa sofrer pesadas sanções, como as que ocorreram em países europeus sujeitos à Lei de Proteção de Dados da União Europeia (GDPR).
Edson Aguilera é consultor da Fundação Vanzolini para o Programa BEST de Acreditação em Cibersegurança com Foco na Lei Geral de Proteção de Dados Pessoais (LGPD). É mestre em Sistemas Digitais pela Escola Politécnica da Universidade de São Paulo (EPUSP) e possui certificações em LGPD, Data Protection Officer (DPO), Gestão de Segurança da Informação e Gestão de Riscos de Tecnologia da Informação (TI), entre outras. bruno@literallink.com.br