Pergunte ao DPO: Dados corporativos estão sujeitos aos controles da LGPD?

Algumas categorias de dados corporativos requerem a implementação de todos os controles da LGPD. Isto é válido tanto para funcionários como ações de Marketing direto.

A Lei Geral de Proteção de Dados (LGPD) representa um marco significativo na proteção da privacidade dos cidadãos brasileiros, estabelecendo diretrizes claras para o tratamento de dados pessoais por organizações públicas e privadas. Embora muito se fale sobre a proteção dos dados dos consumidores, é fundamental destacar que os dados dos funcionários das empresas também merecem atenção especial. Leia este artigo para compreender melhor quais dados corporativos precisam ser tratados conforme as diretrizes e princípios da LGPD.

Quando falamos de dados corporativos, podemos pensar em duas categorias totalmente distintas de informações:

Dados empresariais: São os dados como CNPJ, CNAE, Inscrição Estadual, Inscrição Municipal, Conta Bancária, Endereços Fiscais e Comerciais e toda e qualquer informação exclusivamente relacionada à pessoa Jurídica. Podemos incluir aqui também, as caixas compartilhadas de e-mail como (rh@, fiscal@ e assim por diante). Dados nesta categoria, não estão sujeitos às proteções e direitos da LGPD.

Contatos de negócio: Aqui já há uma grande diferenciação. E-mails corporativos, telefones comerciais e currículos, por exemplo, se enquadram como dados pessoais uma vez que estão relacionados à um único indivíduo, identificável. Mesmo que e-mails usem o domínio da empresa, o indivíduo por trás do e-mail possui os mesmos direitos da LGPD e portanto, esta categoria de dados deve ser protegida com processos, ferramentas e controles adequados.

Dados pessoais corporativos de seus funcionários e de terceiros

Como dito anteriormente, todos os dados de contato corporativos, como e-mails profissionais ou números de telefones corporativos (celulares ou de mesa) devem ser protegidos conforme determina a LGPD. Isto vale tanto para funcionários de sua empresa como os dados de prospects, clientes, parceiros, fornecedores ou qualquer ator dentro de seu ecossistema comercial. Para funcionários ou terceirizados de sua empresa, registros de acesso a sistemas internos, documentos de trabalho, currículos, exames admissionais / demissionais ou periódicos de saúde, documentos de filiação à sindicatos, entre outros, irão conter informações pessoais destes indivíduos, podendo ser classificado tanto como dado pessoal ou dado pessoal sensível. Sempre que dados estejam vinculados a uma pessoa física, eles são considerados dados pessoais pela LGPD e, portanto, sujeitos às suas disposições.

Usando dados para marketing direto

Analisando sob a ótica da lei, vemos duas bases legais que poderiam suportar tal processamento:

    • Consentimento: Ou seja, o titular deu permissão explícita para o envio de materiais de marketing, após ser apresentado o objetivo do tratamento e todas as demais informações requeridas pela lei.
    • Legítimo Interesse: O marketing pode ser considerado legítimo interesse das empresas (afinal de contas, é necessário promover o negócio para crescer e a LGPD não objetiva impedir ou diminuir esta capacidade), mas, este marketing não poderá se sobrepor sobre os direitos do titular. Ou seja, não pode ser algo incômodo, repetitivo ou irrelevante do ponto de vista do titular. Lembre-se sempre: SPAM não se enquadra em legítimo interesse.

Se você for usar dados comerciais de leads / prospects / clientes / ex-clientes / parceiros / fornecedores / etc, garanta que:

    • Estes contatos foram legalmente coletados. A compra de bases de dados é altamente arriscada e não recomendada. Dados coletados em desacordo com a LGPD também não devem ser utilizados e seu processamento é considerado ilegal. Dados compartilhados com/de terceiros também precisam ser evitados uma vez que não é possível saber os termos do aceite original.
    • Não houve desvio de finalidade. Exemplo, se sua empresa coletou os dados para uma determinada atividade, você não poderá utilizar estes mesmos dados para ações de marketing a menos que explicitamente autorizado pelo titular. Não faça web crawling ou tome dados “públicos” (ex. Whois ou plataformas de dados governamentais) para compilar sua base de leads e prospects.
    • Ofereça métodos simplificados para o titular fazer seu opt-out, ou seja, permitir ao titular optar por não mais receber seus contatos de marketing.
    • Mantenha uma lista de contatos que não desejam ser contactados. Tenha uma lista de titulares que solicitaram a exclusão de suas ações de marketing e valide sempre seu próximo envio com esta listagem.
    • Respeitar a LGPD é parte de suas iniciativas de Customer Experience!

Como o DPO pode ajudar sua empresa?

O Data Protection Officer (DPO) ou o Encarregado pelo Tratamento de Dados Pessoais é um profissional especializado em privacidade que possui papel extremamente relevante no desenvolvimento de uma cultura de privacidade e por ser um consultor interno da organização em todos os assuntos relacionados.

É este profissional que pode te ajudar a entender mais sobre a lei e suportar os diversos tratamentos necessários em sua organização.

 

LGPD, DPO, Tratamento de Dados: Boas práticas!

Em resumo, garantir a segurança e privacidade dos dados é uma preocupação crítica para qualquer empresa na atualidade.

A contratação de suporte de uma consultoria especializada pode fornecer às empresas as orientações necessárias para melhorar as posturas em relação à conformidade com as leis e regulamentações, bem como para minimizar riscos e exposições provenientes de seus processos e tratamentos de dados.

A privacidade e proteção de dados é uma atividade constante. E ela começa em você.

Se você precisa de um suporte especializado na área, entre em contato conosco agora!

Suportamos sua empresa na jornada de conformidade!

Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.

CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO

DPO AS A SERVICE