A LGPD é uma lei que promete mudar drasticamente como as empresas se relacionam com os dados pessoais de seus clientes, fornecedores, parceiros e colaboradores. Embora esteja em vigor desde setembro, ainda existem dúvidas e desinformação sobre a nova lei, ainda mais no caso de empresas que utilizam celulares/tablets corporativos em suas atividades.
Como os dados armazenados e coletados por esse tipo de aparelho devem ser guardados? Que tipo de informação é considerada pessoal? Como integrar a LGPD e celulares corporativos para que eles passem a atender os requisitos da lei?
Esses foram os tipos de perguntas que surgiram durante o nosso webinar sobre o assunto, que teve a presença do especialista em computação forense e segurança digital, Anderson Camargo.
Veja abaixo as respostas para sete das perguntas mais frequentes sobre LGPD e celulares/tablets corporativos!
O que é um dado pessoal?
Essa pode parecer uma pergunta básica, mas a verdade é que ainda existem dúvidas sobre que tipo de informação está dentro da legislação da LGPD. Como o nome da lei indica, ela se aplica somente a dados pessoais – por isso é importante saber como identificá-los.
A Lei Geral de Proteção de Dados rege somente dados de pessoa física e não de pessoa jurídica (ou mesmo dados públicos de sócios de uma empresa, como e-mail, entre outros). Informações pessoais podem ser nome, telefone, e-mail, endereço, CPF, data de nascimento, entre outros.
Já com relação à natureza desses dados sob a nova lei, toda informação pessoal pode ser dividida entre um dado pessoal simples, um dado sensível ou anonimizado. Dados pessoais são aqueles regulamentados pelas normas gerais da LGPD e se enquadram nas medidas de consentimento, transparência e autonomia.
Um dado sensível é uma informação importante para a sua empresa e que por isso precisa seguir a base legal da LGPD que indica como sua companhia pode utilizar as informações. Já os dados anonimizados são informações pessoais que não podem ser rastreadas para uma pessoa em específico, tornando-se uma informação anônima.
É aconselhável armazenar a geolocalização depois do horário de expediente?
Se possível, evite captar a geolocalização e o deslocamento depois do horário de expediente através dos celulares/tablets corporativos da sua empresa. Essas informações são pessoais, portanto, o ideal é que sua empresa não armazene-as caso não possa torná-las anônimas.
Como armazenar os dados pessoais e por quanto tempo?
Os dados podem ser armazenados nos próprios aparelhos, embora não seja o mais recomendado por questões de segurança. Nesses casos, os dispositivos precisam ter configurações ou ferramentas que criptografem as informações ou que evitem que elas sejam compartilhadas.
Além disso, os dados pessoais de clientes costumam ser salvos em softwares como CRMs, base de clientes, softwares financeiros, entre outros. As informações de colaboradores também precisam ser resguardadas, geralmente em aplicações ligadas ao RH ou à gestão da empresa.
Certifique-se de que esses espaços de armazenamento estão seguros contra ciberataques e protegidos de vazamento de dados. Além disso, configure bancos de dados e aparelhos para que somente concedem acesso aos colaboradores que realmente precisam visualizar/analisar/utilizar as informações guardadas neles.
Com relação ao tempo em que esses dados precisam ser armazenados, isso pode variar muito de acordo com a natureza das informações, a forma como elas foram capturadas, como a empresa utiliza esses dados e até caso o proprietário deles (cliente ou colaborador) peça a sua exclusão.
O importante é compreender qual a base legal para cada caso e, então, agir de acordo com ela.
Como solicitar a permissão para coletar dados pessoais?
O importante aqui é escolher uma forma que seja eficiente, transparente e que, além disso, se adeque à base legal. No caso de sites, por exemplo, é comum disponibilizar uma política de privacidade (ou cookies) e, então, solicitar que quem navega pelo site aceite ou não a política.
Já com smartphones e tablets corporativos, principalmente no caso de dados de clientes, a solicitação costuma ser mais difícil. Embora seja comum fazer isso apenas verbalmente, isso não é o indicado. Procure ter alguma forma palpável de solicitar a coleta de dados, seja um formulário, algum app em que o cliente marque a permissão, um contato por e-mail, entre outros.
Já no caso de colaboradores, isso é mais fácil: inclua a permissão de coleta de dados no termo de uso dos aparelhos e certifique-se de que todos leiam e aceitem os termos de uso.
Como a LGPD enquadra os contatos do WhatsApp comercial?
Quem utiliza o WhatsApp comercial para atender seus clientes sabe como esse aplicativo é importante. No entanto, com a LGPD, é preciso ter cuidado sobre como as informações pessoais captadas pelo aplicativo são utilizadas e também armazenadas.
A boa notícia é que o WhatsApp conta com criptografia de ponta a ponta. Ou seja, do ponto de vista do smartphone/tablet, as mensagens são seguras. Mas ainda assim sua empresa precisa tomar cuidado para não solicitar dados que não sejam necessários para as atividades comerciais.
Além disso, sua empresa precisa aumentar as ferramentas de segurança nas outras aplicações ou banco de dados que vão armazenar essas informações (como um CRM, uma ferramenta financeira, inventário de contratos/vendas etc).
Outro ponto importante é deixar claro para os clientes a forma com que suas informações podem ser usadas de outras maneiras, como para campanhas de marketing, envio de e-mail, contatos futuros do time comercial, entre outros. Por isso, envie a política de dados pessoais para os clientes que entrarem em contato pelo WhatsApp Comercial.
Quando e por que eliminar dados pessoais que tiveram sua exclusão solicitada?
A transparência e a autonomia são dois dos principais preceitos da LGPD. No entanto, isso não significa que todos os dados pessoais precisam ser apagados pelas empresas, nem que todas as solicitações de exclusão de informações precisam ser acatadas.
Aqui, novamente, vale ressaltar que não há uma resposta definitiva. Quando e por quanto tempo uma informação pode ser armazenada (e quando deve ser excluída) pode variar muito dependendo do caso. O importante é pesquisar uma base legal que ampare esse armazenamento ou exclusão.
Por exemplo, quando há base legal, alguns dados pessoais precisam ser mantidos, como data da venda, CPF, registros telefônicos, entre outros. Nesses casos, o recomendado é fazer com que as informações pessoais se tornem dados anonimizados, permitindo assim a exclusão somente daquelas informações que não são essenciais para a empresa.
Posso exigir que os colaboradores desliguem os celulares/tablets?
Por fim, uma dúvida muito comum. Para evitar que dados pessoais sejam captados fora do expediente, muitas empresas orientam seus colaboradores a desligarem seus aparelhos móveis corporativos ao fim do dia de trabalho.
Essa é a melhor forma de evitar complicações com a LGPD e deve ser feito ou de forma organizacional (incluir na política de uso dos aparelhos e constantemente treinar os colaboradores) ou então ter alguma medida técnica que faça isso de forma automática (por exemplo, com um MDM).
Saiba mais: veja o webinar completo sobre os impactos da LGPD em celulares/tablets corporativos!
Essas são apenas algumas das perguntas que surgiram durante o webinar. E não se esqueça: o MDM da Pulsus oferece medidas técnicas para que a sua empresa armazene e utilize dados pessoais de forma segura e eficiente.
Fale com um de nossos especialistas para saber mais ou comece a demonstração gratuita da nossa ferramenta clicando aqui!