LGPD: Como aplicar às áreas da sua empresa?

João Gobira

Por João Gobira

26 de março de 2020 às 17:38 - Atualizado há 2 semanas

Logo ReStartSe

GRATUITO, 100% ONLINE E AO VIVO

Inscreva-se para o Maior Programa de Capacitação GRATUITO para empresários, gestores, empreendedores e profissionais que desejam reduzir os impactos da Crise em 2020

Desde pequenas empresas e startups até as grandes corporações ninguém escapa das mudanças causadas pelas novas regras da Lei Geral de Proteção de Dados (LGPD)

A lei entra em vigor em dezembro de 2020 e está mudando radicalmente a forma como as empresas lidam com dados pessoais e informações sensíveis de clientes.

Agora, toda vez que o marketing captura dados para suas campanhas ou que os analistas de RH armazenam dados de seus colaboradores, sua startup precisará agir de acordo com a LGPD.

De acordo com a LGPD, nenhuma empresa poderá possuir informações consideradas sensíveis como nome ou e-mail sem o prévio consentimento do usuário ou cliente.

Por isso, todos os departamentos de uma empresa que coletem, armazenem ou usem dados de clientes para qualquer finalidade precisam obter autorização prévia e comunicar de forma clara para que vão usar estes dados.

A lei ainda estabelece que as empresas (públicas e privadas) tenham uma equipe responsável por monitorar a segurança dos dados, promover a conscientização e as boas práticas de Segurança da Informação a todos da empresa ou startup. 

Esta equipe também será responsável por intermediar os assuntos de segurança de dados entre a empresa e a Agência Nacional de Proteção de Dados (ANPD) ligada ao Poder Executivo Federal.

Por isso, precisa estar alinhada e atualizada às normas da empresa, mantendo contato direto com as áreas de tecnologia da informação, administração e finanças e jurídico.

O que é e como o LGPD (Lei geral de proteção aos dados) vai impactar empresas

Algumas empresas preferem contratar uma consultoria em segurança de dados, outras já se adaptaram para internalizar esta função.

Independente de como será feita a adequação é importante ter um plano de ação para identificar as lacunas legais e os riscos relacionados à privacidade de dados na sua empresa.

Além disso, realizar treinamentos sobre as melhores práticas de segurança de dados e elaborar um programa de governança em privacidade de dados para acompanhar indicadores no dia a dia é essencial para implementar a LGPD de forma bem-sucedida.

 Lei Geral de Proteção de Dados

De acordo com a lei, é permitido tratar dados mediante as seguintes situações: 

  • Quando o titular (dono dos dados) deu consentimento expresso (ex.: a pessoa clica no “li e aceito” na política de privacidade do site)
  • Quando o dado é usado para cumprir uma obrigação legal ou regulatória pelo controlador (ex.: eSocial)
  • Quando o dado é usado e manipulado para executar políticas públicas respaldadas por contratos, convênios ou instrumentos semelhantes
  • Para fazer pesquisas (com garantia de anonimato)
  • Executar contratos ou procedimentos preliminares relacionados a contrato do qual seja parte o titular (ex.: processo seletivo realizado pelo RH de uma empresa)
  • Para exercer direitos em processo judicial
  • Tutela de saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias
  • Proteger crédito

Fonte: Blog Solides

LGPD para RH

lei de dados para gestores de rh

O departamento de Recursos Humanos é um dos departamentos mais afetados pela LGPD. Desde o recrutamento de novos talentos até o desligamento de um colaborador, os analistas e gestores de RH coletam, armazenam e manipulam centenas de dados pessoais. 

Nome, idade, endereço e outras informações dos colaboradores estão sob supervisão e responsabilidade do RH, mesmo que compartilhadas com plataformas e sistemas terceirizados baseados na nuvem e servidores de hospedagem.

A primeira coisa a fazer é levantar todos os dados que o RH possui, como, onde e por quanto tempo eles ficam armazenados. 

Vale consultar políticas internas, contratos de trabalho, banco de talentos, termos de consentimento de uso de dados, acordos de confidencialidade, cadastros e documentos de obrigação legal, inclusive de ex-funcionários.

Verifique se houve consentimento dos colaboradores concedendo esses dados à empresa, caso não, providencie estes documentos o mais breve possível. 

Certifique-se também que, cada dado esteja sendo utilizado para o fim correto. Se o RH pede informações sobre a formação acadêmica para um processo seletivo, por exemplo, não pode-se usar esse mesmo dado para distinguir os candidatos em outros critérios. 

Vale lembrar que dados fornecidos pelo Ministério do Trabalho, INSS, Caixa Econômica, CAGED, RAIS e eSocial para fins empregatícios não precisam de consentimento.

Lista de dados comuns usados por equipes de RH

  • Nome
  • Endereço
  • CPF
  • Formação acadêmica
  • Número de telefone
  • E-mail
  • Perfil no Linkedin e outras redes sociais
  • Informações sobre saúde e registros médicos
  • Folhas de pagamento
  • Dados bancários
  • Biometria 

LGPD para o Marketing

Como a cultura e a sociedade interferem no engajamento?

O marketing também é um dos departamentos que mais sofrerão os impactos da LGPD, já que respira dados no seu dia a dia.

Considerado o ‘novo ouro’ das empresas, os dados são amplamente usados pelo marketing para criação de personas e como base para inúmeras estratégias como criar anúncios segmentados nas redes sociais, Google, e-mail e remarketing.

Mas, se antes as empresas estavam acostumadas a coletar grandes quantidades de dados para suas campanhas, agora precisarão reduzir essa coleta a apenas o que for estritamente necessário para suas ações.

De maneira geral, profissionais de marketing deverão se preocupar com duas coisas: garantir que haja permissão (opt-in) para usar um dado específico (e usá-lo para este fim) e atender às solicitações do usuário que, a partir de agora tem o direito assegurado de acessar, modificar ou excluir dados concedidos às empresas a qualquer momento.

Como a LGPD impacta as campanhas e estratégias de marketing

Gestão científica (1880)

Para se adequar à nova lei, especialistas aconselham as equipes de marketing a revisar a base de contatos de e-mails, criar páginas de políticas de privacidade e a limitar a captura de novos dados a somente aquilo que for realmente necessário.

Estratégias de remarketing que utilizem cookies no Facebook e Google para veiculação de anúncios precisam ter autorização e consentimento do usuário.

Preste também atenção às suas estratégias com Facebook Leads Ads, Pixel do facebook e Ferramentas de estatística, analytics e heatmaps, avisando sempre os usuários por meio de uma mensagem para que você está capturando dados.

Estratégias do marketing afetadas pela LGPD

– Inbound Marketing e Marketing de Conteúdo
– Segmentação de dados
– E-mail marketing
– Redes sociais
– Páginas de coleta de leads (Landing Pages)
– Vendas por WhatsApp ou outras plataformas de mensageria
– Ligações para prospects

Coleta de dados para ações segmentadas

Gestão Flywheel

Para conseguir entregar experiências de compra mais interessantes e personalizadas em diversos canais de comunicação, o marketing precisa coletar dados de leads e clientes.

Dados sobre gênero, localização, entre outros facilitam a compreensão de comportamentos e preferências do consumidor. E são estas informações que as empresas usam para disparar campanhas de e-mail, anúncios no Facebook, YouTube, entre outros.

A LGPD parte do pressuposto de que o dado deve ser controlado por seu dono. Por isso, ao coletar um dado de alguém, independente se for por meio de cookies ou qualquer outro mecanismo, a empresa precisa dizer de forma clara para que vai usar este dado, pedindo consentimento.

Os cookies são pequenos arquivos que se armazenam no dispositivo do usuário para ajudar a identificá-lo nos sites e serviços que ele utiliza na internet e são comumente usados pelo marketing digital para identificar as preferências do consumidor e enviar ofertas de produtos e serviços de acordo com seu histórico de navegação.

Segundo o artigo 5º do Capítulo I da LGPD, XII, o consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Veja um exemplo de como o Twitter registra o opt-in de seus usuários para enviar sua newsletter:

 

  • Tratamento de dados

 

De acordo com a LGPD, tratamento de dados pode ser considerado qualquer ação que manuseia dados pessoais. Portanto, se você coleta, classifica, acessa, reproduz, transmite, distribui, arquiva, elimina ou armazena qualquer tipo de informação.

Caso os dados sejam considerados “anonimizados” pela lei, ou seja, que não permitem identificar um indivíduo, você poderá usá-los normalmente. Para ‘anonimizar’ um dado especialistas sugerem:

– Eliminar documentos capazes de identificar um indivíduo como CPF
– Trocar nomes completos por prenomes
– Generalizar localizações geográficas (disponibilizando apenas os primeiros dígitos do CEP)
– Generalizar a faixa etária

Fonte: Gen Jurídico

 

  • Plataformas e sistemas parceiros

Se a sua empresa ou startup utiliza plataformas parceiras que utilizam sistemas ou mecanismos de captura de dados, tome cuidado, pois a lei também responsabiliza você pelo tratamento destas informações.

Verifique com estes parceiros se eles já se adequaram à LGPD, e certifique-se de que a forma como capturam e manipulam estes dados. Quanto mais transparente e fácil for o processo para solicitar o consentimento, acesso e remoção de informações por parte do usuário, melhor.

Plataformas parceiras que podem capturar dados

– Gateways de pagamento online
– Ferramentas de Gestão de risco e antifraude
– Softwares de atendimento, CRM, ERP e outros sistemas de e-commerce
– Ferramentas de geração de leads, automação de email marketing, entre outras

LGPD para TI

técnica de blitzscaling

O departamento de TI (Tecnologia da Informação) também deve se adequar às novas regras da LGPD. Os profissionais deste setor devem trabalhar em conjunto com os especialistas em Segurança da Informação para assegurar que a captura, o armazenamento e o tratamento dos dados está sendo feito de forma segura e respeitando o direcionamento de privacidade de dados.

Dados bancários, endereços de e-mail ou IPs precisam ser mantidos como confidenciais. Por isso, atuar de forma preventiva contra ataques e vazamentos, seguir protocolos e medidas avançadas de criptografia, proteção de dados e Privacidade como configuração padrão são regras básicas que o TI deve cumprir.

Algumas ferramentas podem ajudar a gerenciar a privacidade de dados por meio de varreduras contínuas na internet, identificando e categorizando cookies para obter consentimento de forma automatizada e transparente do usuário.

Seja no RH, no marketing ou no TI, todas as empresas e startups devem se adequar à nova Lei de Proteção de Dados (LGPD). Ao coletar, armazenar e manusear dados de clientes internos ou externos, faça-o sempre com consciência e transparência.

A partir de agora, qualquer dado que circule dentro da sua empresa é de sua responsabilidade. Para não correr riscos e pagar multas, atente-se à:

Finalidade: de onde veio o dado? Ele está sendo usado para a finalidade para a qual foi coletado.

Necessidade: Você realmente precisa desse dado? Limite essa coleta apenas ao necessário

Transparência: o proprietário do dado tem direito de acessar e alterar informações sempre que quiser, por isso é importante saber como estão sendo usados e por quanto tempo serão usados.

Segurança e privacidade: Mantenha os dados seguros e privados. Adote medidas severas de segurança, limite acessos, siga regras de senhas seguras e faça o que for preciso para evitar vazamentos

Responsabilização: conte com uma equipe especializada (operador e controlador) para garantir que o cumprimento da LGPD seja eficaz.

Aprenda como aplicar a LGPD na sua empresa com este curso online