/lgpdchecklist

LGPD Checklist

TRATAMENTO DE DADOS

  • Assegurar que todos os dados recolhidos são realmente necessários para a operação do negócio.
  • Minimizar a exposição dos usuários e garantir sua integridade durante a captação e processamento.
  • Utilizar as mais seguras ferramentas para recolher e tratar as informações.
  • Mapear em quais momentos da navegação ou da relação jurídica são coletados dados dos usuários.
  • Verificar se há a necessidade do compartilhamento ou integração dos dados recolhidos com terceiros.

SEGURANÇA

  • Delimitar níveis de acesso para que apenas os usuários que realmente precisam utilizar informações dos compradores tenham acesso a elas.
  • Fortalecer a segurança por meio de novas camadas de proteção em hardware e software.
  • Considerar as funções e atividades que serão exercidas pelo DPO (Encarregado de Proteção de Dados) para que possa garantir o cumprimento das regras do LGPD e estabelecer boas práticas de processamento na ponte entre empresa, titular dos dados e Autoridade.
  • Junto com uma assessoria técnica, também contar com uma assessoria jurídica para assegurar o compliance, identificar os riscos e propor formas de lidar com eles.
  • Firmar acordos de confidencialidade e sigilo com fornecedores e empregados.
  • Verificar se parte do processamento será compartilhada ou feita por terceiros.
  • Realizar avaliações de impactos à privacidade incluindo o “Data Discovery” e “Health Check” e “assessments” para mapear que dados a organização coleta e como estes são utilizados.

ACESSIBILIDADE E DIREITOS DOS TITULARES

  • Criar ou atualizar termos que notifiquem o consumidor sobre o recolhimento de dados. É preciso informar quais informações estão sendo colhidas, como e com qual finalidade.
  • Garantir que os clientes possam fazer a portabilidade dos dados, caso desejem.
  • Criar procedimentos que permitam a exclusão rápida e permanente, se os usuários assim exigirem.

INCIDENTES, CASOS DE QUEBRA DE SIGILO E VAZAMENTOS

  • Criar políticas de segurança que prevejam a possibilidade de notificação das autoridades e orientem os clientes afetados no prazo definido (72 horas na GDPR).
  • Treinar funcionários da área de suporte para atender e tirar dúvidas dos consumidores sobre os vazamentos, correção de informações e exclusão de dados pessoais.
  • Acionar o plano de gestão de crise e proteção jurídica criado em conjunto com a assessoria.

JURÍDICO

  • DPO - DATA PROTECTION OFFICER
  • DPIA - DATA PROTECTION IMPACT ASSESSMENT

RESPONSABILIDADES DE UM DPO?

  • Receber reclamações e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e orientar sobre as providências;
  • Receber comunicações de órgãos reguladores e adotar as providências que couberem
  • Orientar os funcionários envolvidos no tratamento de dados pessoais dos usuários
  • Orientar os funcionários e os contratados da empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais dos usuários;
  • Manter registros de todas as práticas de tratamento de dados pessoais conduzidas pela empresa, incluindo o propósito de todas as atividades desenvolvidas.

Para que a empresa não sofra sanções é necessário verificar:

  • Se os Termos de uso estão atualizados e em conformidade com termos da LGPD.
  • Se a empresa possui todas as autorizações e anuências expressas dos usuários para todos os serviços que irá prestar (“o consentimento”).
  • A existência de contratos entre prestadores e empresas terceiras contendo obrigações claras e bem definidas em relação ao acesso, manutenção e exclusão dos dados dos usuários.
  • Contar com uma assessoria jurídica para assegurar o compliance, identificar os riscos e propor formas de lidar com outros projetos de lei que podem impactar a proteção de dados dos usuários

12 AÇÕES PARA ESTAR EM COMPLIANCE COM A LGPD ATÉ 2020

  1. Reunir equipes e mapear operações internas de tratamento de dados.
  2. Levantar quais dados são de guarda obrigatória de acordo com o segmento de atuação.
  3. Garantir os direitos assegurados ao titular dos dados com adequação das ferramentas sistêmicas.
  4. Rever Políticas de Privacidade, Contratos e Termos de Uso para colocar em destaque cláusulas de direitos do titular dos dados.
  5. Rever Contratos com Internos e com terceiros que tenham acesso ou façam tratamento de dados.
  6. Descrever os mecanismos de Segurança às bases de dados documentando técnicas utilizadas
  7. Estruturar equipes internas com indicação dos agentes de tratamento de dados pessoais.
  8. Verificar quais serão as providências tomadas para que o tratamento dos dados atenda a lei.
  9. Desenvolver relatório de impacto à proteção de dados e regras de boas práticas e governança.
  10. Realizar treinamentos periódicos para assegurar as boas práticas no tratamento dos dados pessoais.
  11. Eliminar todos os dados que não sejam necessários: cópias duplicadas e backups que não serão utilizados.
  12. Nomear um DPO como gestor de Proteção de Dados