LGPD no Mercado de Condomínios

Como empresas devem ser adequar?

Este é o segundo artigo da série LGPD no Mercado de Condomínios. Se você ainda não leu o primeiro, a sugestão é de que clique aqui e inicie sua jornada de conhecimento com os conceitos básicos da LGPD.

Depois de entender qual é o período de adequação para empresas e quais as dez bases legais para coleta e tratamento de dados (informações que estão no primeiro conteúdo da série), você está preparado para decifrar o que sua empresa deve fazer para se adequar. 

Neste conteúdo, listamos as obrigações das empresas frente à LGPD e quais iniciativas devem ser colocadas em prática. Antes de pensar em mudanças, porém, é preciso conhecer os direitos do titular. Vamos começar?

Quais são os direitos do titular?

Todos temos uma identidade e queremos que ela seja protegida, concorda? Nessa perspectiva, a LGPD não deve ser encarada como algo ruim. Afinal, antes da legislação, dados eram transferidos sem qualquer fundamento jurídico, o que poderia acarretar prejuízos para pessoas físicas.

Agora, o titular dos dados ganha poder. Ele tem o direito, a qualquer momento e mediante requisição para a empresa que coletou suas informações, fazer questionamentos como:

•  de que forma e onde estão armazenados meus dados?
•  em qual base legal está fundamentada a coleta de dados?
•  qual será o período de utilização de meus dados?
•  meus dados foram repassados a outra instituição?

O tratamento de dados não depende apenas do consentimento, tanto que, se o titular quiser revogá-lo ou solicitar para que sejam excluídos, ele também pode.

A empresa que coletou informações somente poderá negar esse pedido, caso a exclusão venha a ferir algum princípio jurídico ou obrigação legal. Por exemplo, se um condômino que está inadimplente solicita que seus dados sejam excluídos, há outro fundamento legal sendo descumprido.

Além disso, o titular deve encontrar transparência sobre os próprios dados, para verificar possíveis erros ou informações que não correspondem à realidade e solicitar correção.

Quais são as obrigações das empresas?

Agora você conhece grande parte das mudanças trazidas pela LGPD e sabe também que o titular pode fazer várias exigências, mesmo após ter fornecido os próprios dados.

Diante desse cenário, o que é obrigatório para empresas? Listamos alguns pontos principais a serem observados:

•  designar um encarregado: a contratação de um DPO (Data Protection Officer, na sigla em inglês) ou Encarregado de Dados é obrigatória, mas pode ser terceirizada (pessoa física ou jurídica). Este profissional será responsável por facilitar a comunicação entre o controlador, os titulares e a ANPD. Também compete a ele o fornecimento de informações que comprovem a regularidade da empresa no tratamento de dados.

•  coletar dados com fundamentação legal: sempre que houver a coleta de dados, ela precisa estar fundamentada em alguma das dez bases legais previstas na LGPD.

•  obter autorização do usuário: sempre que a coleta estiver baseada somente no consentimento, há necessidade de autorização que deve ser escrita, clara e sem vícios jurídicos.

•  atender pedidos de autoridades competentes: empresas não podem se recusar a detalhar ou esclarecer fatos a autoridades, como a ANPD, por exemplo. Pode haver solicitação sobre documentos, informações ou análise de determinado setor. Quando a empresa cria obstáculos, a tendência é de que possíveis sanções sejam mais altas.

O que empresas precisam fazer, na prática?

Se as sanções da LGPD entram em vigor somente em agosto de 2021, pode parecer que é cedo para preocupação. Não é. Isso porque nenhuma empresa estará livre das novas exigências e cumpri-las trará uma série de adequações significativas.

Então, o melhor é aproveitar esse período e implementar as mudanças necessárias o quanto antes, para evitar problemas futuros. Podemos resumir em 10 passos principais as iniciativas que empresas já podem começar a colocar em prática.

1. Mapear fontes de dados pessoais
Questionar de onde vêm as informações (seja por meio de colaboradores, parceiros, fornecedores, condôminos), se estas são necessárias e por quais fluxos os dados passam, principalmente em processos internos.

2. Listar e relacionar
Analisar e organizar a relação entre os dados coletados e a finalidade de utilização, ou seja, estipular a base legal para cada coleta de dados. Investir em sistema de segurança para evitar a publicação indevida e garantir que, atingida a finalidade, a empresa não guarde dados desnecessários.

3. Organizar o arquivo
Evitar manter dados espalhados, sem controle da informação. Quando há várias entradas, a organização se torna inviável, então o ideal é centralizar um canal para recebimento de dados.

4. Atenção ao cadastro de colaboradores e terceiros
Desenvolver procedimentos para o cadastro, com utilização de uma única plataforma para registro das informações.

5. Procedimentos internos
Definir como ocorre, internamente, o atendimento aos titulares do dados quando necessário.

6. Procedimentos de segurança
Para evitar incidentes de segurança, desenvolver procedimentos entre pessoas, processos e tecnologia. A relação entre estes três aspectos precisa estar estabelecida, para ações e exigências em obediência à LGPD.

7. Plano de contingência
Incidentes de segurança podem ocorrer e a empresa deve estar preparada, com um plano de contingência desenvolvido e papéis definidos. Dar respostas rápidas a eventuais problemas é imprescindível para evitar ou diminuir punições e será mais fácil se houver uma preparação antecipada.

8. Revisão de contratos
Analisar todos os contratos e arquivos, para possíveis alterações e adequações. A nova legislação exige um mapeamento completo, seja para contratos com colaboradores, terceiros ou clientes.

9. Conscientização
Investir em treinamento interno, para que todos estejam engajados a favor da proteção de dados. Conscientizar é essencial porque as penalidades podem se transformar em multas altas. Por outro lado, elas podem ser reduzidas, se a empresa comprova que atuou de forma preventiva, na tentativa de mitigar de danos.

10. Registrar iniciativas
Manter registro sobre todas as ações realizadas em busca de adequação à LGPD, como rastreabilidade de dados e controle efetivo da informação que circula na empresa. 

Feito com ❤️ na Ilha do Silício