preloader
Português
Your address will show here +12 34 56 78
Legislação, LGPD
O direito digital é uma área que tem ganhado cada vez mais espaço e importância para empresas e dentro do mundo jurídico em geral.

Por isso, independente de trabalhar diretamente com a área ou não, é importante conhecer alguns conceitos principais.

Listamos abaixo 6 conceitos básicos para quem se interessa pela área. No entanto, lembramos que quem quer realmente se especializar na área deve se aprofundar muito mais em cada um dos itens.

Isso porque o mundo digital é muito novo, complexo e diferente de tudo que o direito está acostumado a lidar.

Para o profissional, será preciso entender a fundo questões técnicas da tecnologia e outras áreas com as quais talvez não tenha tanta afinidade hoje.

Marco Civil da Internet

O Marco Civil da Internet é relevante porque foi a primeira legislação pensada para regular o mundo digital. Todo profissional do direito digital deve conhecer essa legislação fundamental.

Quanto ao compliance, é também imprescindível conhecer a fundo, visto que sua obrigação é primariamente manter a empresa em conformidade com as leis.

O que diz o Marco Civil da Internet?

O Marco Civil aborda tópicos gerais, como direitos básicos dos usuários da internet e liberdade de expressão. Por exemplo:

Art. 7º
O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:


I – inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;

IV – não suspensão da conexão à internet, salvo por débito diretamente decorrente de sua utilização;

Etc.

A lei também aborda a proteção de dados pessoais de forma superficial:

Art. 7º
O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:


VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;

VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;

LGPD

A LGPD é outra legislação muito relevante para o direito digital, e principalmente para o compliance.

A Lei Geral de Proteção de Dados Pessoais aprofunda questões abordadas no Marco Civil. É específica em relação ao uso de dados pessoais em meios digitais, e é um guia de como empresas devem atuar nesse meio e dos direitos dos usuários.

Apresentou diversos novos termos e profissionais, como o DPO, que devem ser de interesse de qualquer profissional que deseja trabalhar na área.

O uso dos dados pessoais vai nortear a atuação de empresas nos mais diversos setores, e são um altíssimo risco não só de non-compliance para a empresa, mas também de processos e outros problemas jurídicos.

Direitos autorais

Outro conceito que ficou muito mais complexo com o mundo digital é o de direitos autorais. Com a demora em regular a internet, o espaço digital se tornou um “buraco negro” de produção e reprodução de conteúdo sem muitos limites.

Não existe uma legislação específica que ajude a entender qual o limite do direito atual especificamente no mundo digital. Existe apenas a Lei de Direitos Autorais, aplicável a qualquer circunstância.

No entanto, sabemos que as coisas não costumam ser simples assim na internet. Muitas vezes é difícil encontrar o autor de algum conteúdo, o caminho que percorreu, e mais difícil ainda iniciar algum processo contra o autor.

O que diz a Lei de Direito Autoral?

A única indicação de que a lei deve ser seguida da mesma forma para os meios digitais e não digitais é:

Art. 7º
São obras intelectuais protegidas as criações do espírito, expressas por qualquer meio ou fixadas em qualquer suporte, tangível ou intangível, conhecido ou que se invente no futuro

É possível notar que o trecho não é especialmente específico, e que a realidade do mundo material é diferente do digital.

Por isso, o profissional de direito digital precisa usar criatividade e cautela na hora de orientar sobre o tema, criar salvaguardas e navegar casos envolvendo esse conceito em geral dentro de empresas. 

Negócios digitais

Outro motivo de preocupação e estudo para os profissionais do direito digital são os negócios digitais. Esses negócios podem ser e-commerces, startups, aplicativos e outras empresas que possuem atuação total ou muito presente no digital.

Esse tipo de negócio introduz uma série de questões novas e difíceis de navegar devido à incerteza, falta de legislação ou regulamentação e falta de jurisprudência. Alguns exemplos são:

  • Direitos do consumidor
  • Limites da inovação
  • Transações financeiras online
  • Proteção de dados


Internet das coisas

A Internet das Coisas, ou IOT (Internet of Things) é uma área da tecnologia que liga a internet a outros objetos, principalmente dentro de casas. Essas seriam as “Smart Houses”, ou casas inteligentes.

Com esse tipo de tecnologia, é possível fazer compras de supermercado usando uma tela na geladeira, ligar o aquecedor antes de chegar em casa usando um smartphone, acionar sistema de segurança à distância, etc.

Como é uma tecnologia recente, também não há muito regulação nem experiência com o tema. O grande perigo digno de atenção dos profissionais do direito digital é o cuidado e a atenção com o avanço da internet das coisas, potenciais usos e problemas e como o uso vai se desenrolar.

Compliance e direito digital

E onde o compliance entra nisso tudo? A missão principal do compliance é eliminar os riscos regulatórios das empresas.

Por isso, uma função do compliance digital que utiliza esses conceitos do direito digital é conhecer bem todas as legislações relacionadas.

Isso inclui entender todas essas regulações, mas também perceber onde há a falta dela, como na IOT, por exemplo.

Nesses casos, o compliance deve se antecipar às leis que com certeza virão com o tempo, como a LGPD, e criar processos e políticas que norteiem a empresa de acordo com a ética e boas práticas.

Assim, estarão mais preparados para a contínua e cada vez maior regulamentação do meio digital.
0

Fique por Dentro, LGPD
O privacy by design é um conceito que começou a aparecer bastante recentemente, inclusive no compliance. Apesar de ser originalmente pensado para setores da tecnologia, se tornou muito importante para quem trabalha com regulamentação.

Isso porque a General Data Protection Regulation (GDPR), que originou a LGPD, menciona a estratégia nominalmente e explica a importância dela para a proteção de dados pessoais.

O que é privacy by design?

O privacy by design é uma abordagem à engenharia de sistemas que, basicamente, diz que um produto ou sistema precisa ser pensado para proteger os dados dos usuários desde sua concepção.

Ou seja, o sistema teria que ser criado já pensando em salvaguardas e funcionalidades para proteger os dados.

Para que isso seja feito de forma padronizada e para guiar os engenheiros de sistemas, existem os pilares do privacy by design:

  • Proativo não reativo; preventiva não corretiva: No privacy by design, não existe a reação a problemas de privacidade e sim a antecipação dos problemas. Também conta com monitoração para identificar riscos e constantemente criar soluções antecipadamente;
  • Privacidade incorporada ao design: O usuário terá o controle para alterar as configurações padrão e optar por fornecer ou não seus dados sem perder o acesso ao produto ou serviço;
  • Funcionalidade completa: O produto ou serviço deve ser plenamente utilizável se o usuário não alterar as configurações de privacidade. Não pode haver vantagem ao usuário caso altere a configuração de privacidade.
  • Segurança de ponta a ponta: Quando o usuário autorizar a coleta de algum dado, o tratamento deve ser de forma segura durante todo o ciclo de vida do dado;
  • Visibilidade e transparência: O produto ou sistema precisa, obrigatoriamente, ser facilmente auditável por terceiros, como organizações de fiscalização. É preciso que a empresa tenha forma de apresentar evidências de seus esforços em proteger os dados pessoais;
  • Respeito pela privacidade do usuário: Devem ser estabelecidas diretrizes de segurança da informação que assegurem: confidencialidade, integridade e disponibilidade dos dados e informações durante todo o ciclo de vida;
  • Privacidade como configuração padrão (Privacy by Default): Essa é uma garantia dentro do desenho da privacidade.

O que tem a ver com a LGPD?

O privacy by design tem a ver com a LGPD porque tem a ver com a GDPR. Na lei brasileira, não é citado o conceito nominalmente, mas as referências diretas aos princípios são perceptíveis.

Já na lei europeia, no Artigo 25 intitulado “Data protection by design and by default” é dito que:

“O controlador deve, tanto no momento da determinação dos meios de processamento quanto no próprio processamento, implementar medidas técnicas e organizacionais apropriadas […] para implementar princípios de proteção de dados […] de maneira eficaz e integrar as salvaguardas necessárias ao processamento”.

Ou seja, mesmo que não dito explicitamente na nossa lei, fica bem detalhado os processos e princípios como obrigação das empresas.

Além disso, como a GDPR é mais abrangente, é uma boa prática se basear principalmente nela para implantação de programas de compliance de privacidade de dados.

No entanto, é importante lembrar que a LGPD tem suas particularidades, e empresas precisam conhecer bem ela também.

Qual o dever do profissional de compliance?

Por enquanto, o que vimos é principalmente relacionada à concepção de produtos e sistemas. Por exemplo, que o sistema da empresa apague completamente dados automaticamente, encerrando seu ciclo de vida.

O que ainda acontece em muitos casos é que os dados são armazenados pela empresa após o tratamento inicial. Podem até chegar a serem utilizados novamente para outro fim no futuro.

Com as novas leis isso é ilegal, visto que o titular precisa autorizar os diferentes fins que terão esses dados.

Mas o profissional de compliance ainda terá muito trabalho, não só os profissionais de TI. São 4 principais funções para o compliance com a LGPD e o privacy by design:

  • Guiar a empresa com seu conhecimento sobre as leis
  • Comunicar sobre o tema
  • Monitoramento
  • Produzir evidências

Guiar a empresa com seu conhecimento sobre as leis

Primeiramente, nenhum funcionário deverá conhecer melhor as leis sobre privacidade de dados que o profissional de compliance.

Esse conhecimento profundo sobre o que a empresa precisa e pode fazer é o que servirá para guiar os outros setores a implementarem seus processos.

Por isso, uma função do compliance será acompanhar de perto a implementação de todas as normas previstas nas leis sobre proteção de dados com a ajuda do DPO.

Comunicar sobre o tema

Outra atribuição do profissional de compliance sobre privacy by design é assegurar que o conceito esteja bem comunicado dentro da empresa. Isso inclui campanhas internas, como também treinamentos periódicos e políticas e processos bem compreendidos pelos funcionários.

Monitoramento

Outra responsabilidade do compliance é fazer o monitoramento desses processos e das campanhas implementadas. Isso também pode ser feito com o acompanhamento do DPO, dependendo da empresa.

Produzir evidências

A última responsabilidade do compliance é produzir evidências do seu programa de compliance de dados. Ou seja, estar preparado para mostrar a autoridades fiscalizadores os dados que mostram que a empresa tem se esforçado para estar em compliance.

Em ambas as leis (LGPD e GDPR) e nos princípios do privacy by design é deixado explícito que é dever da empresa fornecer dados que comprovem seus esforços em mitigar os riscos relacionados à privacidade de dados.
0

LGPD
Todo mundo fala muito sobre proteção de dados pessoais e como é importante com a LGPD. No entanto, às vezes ainda ficamos com dúvidas sobre coisas que o compliance pode fazer na prática.

O conceito de proteção de dados, a Lei e a de repente necessidade de implementação deixou pouco tempo para pesquisa e elaboração de uma estratégia. Por isso, listamos abaixo algumas práticas reais e de fácil implementação que o compliance pode realizar.

1. Mapear entrada e saída de dados pessoais

Um exercício importante para o profissional de compliance entender melhor a parte técnica da proteção de dados, e ainda criar uma estratégia para o compliance, é mapear a entrada e saída de dados pessoais da empresa.

Isso significa documentar todos os pontos em que dados entram, como por exemplo:

  • Inscrições em campanhas de marketing
  • Coleta de cookies no site da empresa
  • Coleta de informações sobre clientes
  • Pesquisas de mercado

Além disso, é preciso mapear os pontos de saída, como por exemplo:

  • Compartilhamento com distribuidores (endereços, telefone, etc.)
  • Transferência internacional
  • Inserção em ferramentas terceirizadas*

*O clickCompliance, por exemplo, está desenvolvendo uma ferramenta de anonimização de dados. No entanto, deixamos claro que ninguém da nossa equipe tem qualquer contato com os dados, nem os armazenamos. É importante checar se as suas ferramentas também fazem isso.

É claro que as entradas e saídas podem ser infinitas, depende da atuação da empresa. Por isso, não se atenha a esses exemplos.

2. Mapear o tratamento dos dados e os riscos

O próximo passo é pegar esses dados e mapear como eles são tratados entre a entrada e a saída. Você terá que conversar com as diversas áreas envolvidas nesse tratamento, mesmo que seja com um terceiro.

Esse relatório também é conhecido como o ROPA (Record of Processing Activities ou Registro de operações).

Aqui, você deve documentar, por exemplo:

  • Quem trata os dados (a área, e até a pessoa ou função específica)
  • Quais ferramentas são usadas no tratamento
  • Com que frequência os dados são tratados
  • Para quais finalidades os dados pessoais são tratados

Lembre-se de que esses são alguns exemplos, mas o tratamento varia muito de empresa para empresa. Procure saber em detalhes como funciona na sua.

3. Categorizar os dados tratados pela empresa

Agora, chegou a hora de categorizar os dados que são tratados. Isso é importante porque você vai entender quais precisam de mais cuidado e vai ajudar na hora de criar políticas, criar o relatório de impacto, etc.

Alguns exemplos de categorizações são:

  • Pessoais
  • Sensíveis
  • Anonimizados
  • Diretos
  • Indiretos
  • De criança ou adolescente


4. Elaborar o relatório de impacto

O relatório de impacto à proteção de dados pessoais (RIPD) ou Data Protection Impact Assessment (DPIA) é um documento feito sobre dados considerados de risco. Por isso é importante fazer a categorização na etapa anterior.

Esse relatório deve conter:

  • O motivo da coleta desses dados sensíveis
  • Como os dados serão tratados (no mesmo modelo do ROPA)
  • Explicar porque esse tratamento é compatível com o motivo da coleta
  • As medidas e os processos da empresa para redução e mitigação dos riscos
  • As medidas colocadas em prática de proteção de dados

5. Criar políticas corporativas sobre proteção de dados

Depois de tudo isso, é o momento da criação de políticas corporativas sobre proteção de dados pessoais. Ou seja, esses documentos vão especificar a visão da empresa e as exigências dela em relação a dados pessoais.

Elas serão referentes às áreas que foram estabelecidas no início do mapeamento. Ou seja, aquelas que fazem coleta, distribuição ou tratamento de dados considerados de risco.

Essas políticas devem ser feitas de forma clara e direta, apresentando exatamente qual o procedimento para se lidar com os dados para cada área.

Detalhe o que pode ser feito, o que não pode ser feito, outros documentos que precisam ser preenchidos na hora do registro ou tratamento de dados, etc.

Depois, é preciso distribuir essas políticas para aprovação de toda a hierarquia competente, e depois as áreas e pessoas que precisam ler e aceitar.

6. Fazer treinamentos sobre proteção de dados

Um bom complemento para essas políticas é fazer treinamentos de compliance que explicam de forma mais didática o que está nas políticas.

Ou seja, explique de forma mais completa e explicada, dando exemplos práticos, de como seguir os processos da empresa na hora de lidar com dados.

Esses treinamentos podem ser gerais, como para evitar vazamento de dados, ou específicos, como para o departamento de marketing e o que não pode mais com a LGPD.

Procure aplicar algumas boas práticas nesses treinamentos:

  • Usar exemplos e situações reais
  • Fazer treinamentos periodicamente para estarem atualizados
  • Use conteúdos multimídia para manter funcionários engajados
  • Tenha relatórios de presença, desempenho, e outros do treinamento

7. Exigir compliance de dados de terceiros

A sua empresa pode ter a melhor estratégia proteção de dados pessoais. No entanto, de nada adianta se os seus terceiros não estiverem em conformidade também, já que sua empresa pode ser responsabilizada por ações deles também.

Por isso, é preciso solicitar aos terceiros esses mesmos documentos e relatórios detalhados anteriormente. Além disso, inclua terceiros nos treinamentos sobre a proteção de dados na sua empresa.

Além disso, faça políticas direcionadas especificamente para terceiros. Deixe claro o que a sua empresa espera desses terceiros em todos os aspectos da proteção de dados.
0

Eventos, LGPD
Em meio à crise do COVID-19 (coronavírus), o clickCompliance, de acordo com sugestões de profissionais de saúde e dos governos federal e estaduais, não recomenda a ida a nenhum evento presencial para assim evitar a contaminação própria e dos outros. Muitos deles, inclusive estão sendo prorrogados ou cancelados devido à pandemia. Atualizaremos este post com eventos com datas mais distantes.

O objetivo do clickCompliance sempre foi mais do que ser apenas um software de Compliance. Buscamos ajudar a difundir o conhecimento sobre compliance, as novidades e inovações que existem no setor.

Por isso, criamos esse post com os próximos e principais eventos sobre LGPD e compliance. Todos estão convidados a comentar algum evento que você acha que esteja faltando ou que você quer divulgar (não garantimos a inclusão das sugestões no post. Só incluiremos eventos presenciais e com link externo com mais informações como site ou página do evento).


LGPD: O que precisa ser feito na Prática para se adequar à Legislação – 26/03/2020 – adiado para 29/04



Esse workshop tem o objetivo de instruir gestores do compliance e de outras áreas da importância de se preocupar com as novas regulamentações. Também busca mostrar a importância de todas as áreas dialogarem e terem o mesmo objetivo de estarem em compliance com a LGPD.

Horário: 9h – 18h00

Evento Pago

Inscrições: Sympla

Realização: BI Gestão e TI e Duplo Foco

Compliance Summit – 06/04/2020 – adiado para 07/05



Esse evento vau reunir em São Paulo diversos profissionais de compliance de grandes empresas para discutirem a implementação prática do compliance.

Entre os temas que serão discutidos estão monitoramento e tecnologia, a LGPD, terceiros, investigações e o valor do compliance para o negócio.

Horário: 8h30 – 18h

Evento Pago

Inscrições: http://compliance.corpbusiness.com.br/

Realização: Corpbusiness


Secure Talks – 14/04/2020 – adiado para 29/05

 



O Workshop “Secure Talks” vai abordar o tema “Papel dos Sistemas de Governança de Dados na Adequação à LGPD”. Acontece em 14 de abril no CUBO em São Paulo.

Horário: 9h – 12h

Evento Pago

Inscrições: Sympla, Telefone/Whatsapp ((11) 3138-4619), E-mail (info@tiinside.com.br)

Realização: TI Inside

Lei Geral de Proteção de Dados (LGPD) – 29/04/2020



Este encontro em São Paulo tem o objetivo de ajudar profissionais da área de compliance a se adequares à nova LGPD e a conseguir formular regras de boas práticas e de governança de acordo com a lei.

Será ministrado por uma professora de pós-graduação e MBA da Fundação Getúlio Vargas, e de mestrado da Universidade Alemã de Steinbeis. O curso oferecerá material, almoço, coffee break e certificados.

Horário: 8h30 – 18h

Evento Pago

Inscrições: Eventbrite

Realização: Propagar Training

1º Brazilian Data Protection and Privacy Summit – 04,05/06/2020 – adiado para 05,06/08



Este evento, que será em São Paulo, será a primeira edição e vai buscar sanar as dúvidas que vêm surgindo com as novas legislações sobre privacidade de dados. É organizado pela ESENI e o Instituto ARC, organizadores do Compliance Across Americas.

O evento visa educar e engajar executivos dos departamentos jurídicos, de Compliance e da área de TI sobre os preceitos da LGPD e de sua aplicação e impacto nas atividades das empresas. Vai reunir especialistas de diversas áreas, nacionais e internacionais, para debater o tema.

Horário: 05/08: 8h00 – 19h
06/08: 08h00 – 18h30

Evento Pago

Inscrições: Sympla

Realização: ESENI

CPDP Latam 2020 – 23,24,25/06/2020 – adiado para 2021



Este evento contará com as edições latino-americanas das conferências Computers, Privacy and Data Protection (CPDP), MyData, e Privacy Law Scholars Conference (PLSC). Será no Rio de Janeiro, e o foco é a Proteção de Dados na América Latina, incluindo questões sobre democracia, inovação e regulação.

Informações: https://cpdp.lat/ 

Realização: CPDP 

2º Congresso Internacional de Proteção de Dados – 06,07/11/2020



Esse evento vai cobrir, com ainda mais urgência do que na primeira edição, o tema da proteção de dados e a LGPD. Contará com um Workshop Day e um dia de sessões plenárias, com palestras e painéis, também divididos por trilhas de conhecimento.

Horário: 06/11: 8h00 – 18h00

07/11: 8h00 – 18h15

Evento Pago

Inscrições: https://congressodeprotecaodedados.com.br/inscricoes/  

Realização: LEC e Opice Blum Academy

11º Seminário de Proteção à Privacidade e aos Dados Pessoais – Sem data confirmada



Este evento, que acontecerá em São Paulo, já está na 11ª edição. Desde a última edição, a LGPD é um tema que é foco da conversa, e em 2020 não será diferente. 

Conta com participações de especialistas de diversos setores e reconhecidos nacional e internacionalmente, entre eles representantes do governo, da comunidade científica e tecnológica, de empresas e do terceiro setor.

Informações: https://seminarioprivacidade.cgi.br/ 

Realização: Comitê Gestor da Internet no Brasil (CGI.br) e o Núcleo de Informação e Coordenação do Ponto BR (NIC.br)


 
0

Legislação, LGPD
No geral, a Lei Geral de Proteção de Dados Pessoais (LGPD) e a General Data Protection Regulation (GDPR) são muito próximas. Afinal, a lei brasileira foi baseada na europeia. No entanto, existem algumas diferenças e considerações importantes para profissionais do compliance entenderem.

Abrangência


O principal fator, e o mais óbvio, é que, por ser uma legislação europeia, a princípio é referente a mais países. No entanto, a LGPD também foi razoavelmente abrangente no que diz respeito a quem pode ser afetado por ela.

Essa lei afeta todos aqueles que possuam alguma etapa do processo de tratamento de dados no Brasil. Ou seja, mesmo que a empresa seja do exterior, se o titular dos dados for brasileiro, a Lei se aplica a ela.

Já a GDPR é semelhante. Todas as empresas que tenham alguma parte do processo de tratamento dos dados na União Europeia terão que se adequar às normas dela. Ou seja, empresas brasileiras agora precisam se preocupar com a LGPD, e a GDPR se eles forem o detentor dos dados, o controlador ou o titular.

O texto

O texto das leis também é muito parecido. A grande diferença é que a LGPD é muito mais curta e muito menos específica. Por exemplo, a GDPR usa exemplos para explicar situações enquanto a LGPD deixa cenários mais abertos.

Outra coisa deixada em aberto pela lei brasileira é o prazo para entregar solicitações à autoridade competente (no nosso caso, a ANPD, provavelmente). Ela simplesmente diz “em um prazo razoável”. Já a Lei Europeia especifica que a entrega deve ser feita em, no máximo, 72 horas.

Quando o tratamento de dados é considerado legal?

Outra diferença importante que costuma ser citada é as hipóteses de legalidade. São os momentos em que é considerado legal fazer o tratamento de dados, independente das considerações da lei. 

Hipóteses de legalidade LGPD:

  • Mediante o fornecimento de consentimento pelo titular (deve atender a uma finalidade específica e pode ser retirado a qualquer momento).
  • Para o cumprimento de obrigação legal ou regulatória pelo controlador.
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas (por meio da previsão legal ou contratual).
  • Para a realização de estudos por órgão de pesquisa (garantida, sempre que possível, a anonimização dos dados pessoais).
  • Quando necessário para a execução de contrato ou de procedimentos relacionados a contrato do qual o titular seja parte (caso solicitado).
  • No exercício regular de direitos em processo judicial, administrativo ou arbitral.
  • Para a proteção da vida ou da integridade física (do titular ou de terceiro).
  • Para a tutela da saúde (em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias).
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiro (devendo observar se os interesses são razoáveis e como eles afetam os direitos e liberdades fundamentais do titular).
  • Para a proteção do crédito.

Na GDPR, as hipóteses de legalidade são as mesmas, tirando a última, em situações de proteção de crédito.

Faço meu programa de compliance digital baseado na GDPR ou na LGPD?

Como vimos, a GDPR é mais rígida e bem detalhada do que a LGPD. Além disso, empresas brasileiras em muitos casos terão que estar em compliance com a GDPR também. Por isso, recomendamos basear a atuação e os processos da sua empresa na legislação europeia.
No entanto, não deixe de conhecer bem a brasileira, porque ela pode conter algumas pequenas particularidades.
0

Como fazer, LGPD
A entrada em vigor da LGPD está cada vez mais perto, e profissionais de Compliance estão (ou devem estar) atentos a diversas especificidades da lei. Entre vários termos novos que surgiram no texto da lei e novas funções para a equipe, o Compliance Digital deve ser o centro das atenções em 2020. Abaixo, listamos 10 coisas que você deveria estar fazendo para implementar o Compliance Digital.

1. Contratando um DPO

O Data Protection Officer é Pessoa física ou jurídica nomeada pelo controlador, que vai atuar como um canal de comunicação entre o controlador (a empresa), os titulares dos dados e a autoridade de proteção de dados (que no caso do Brasil é a ANPD).

Esse profissional não é obrigatório para todas as empresas. No entanto, empresas que detêm um grande volume de dados pessoais ou sensíveis precisam sim ter uma pessoa dedicada à proteção desses dados. Se for o seu caso, não demore na contratação, porque ele vai ajudar em diversas etapas da criação do programa de Compliance Digital.

2. Análises de vulnerabilidades

Essa etapa é importante não só para o Compliance Digital, como para o Compliance em geral. A diferença é que quando o assunto é proteção de dados, existe um mundo novo de perigos e vulnerabilidades que eram preocupação específica da TI.

Por isso, é preciso fazer um mapa de riscos novo para esse tipo de risco. Faça perguntas como: existe alguma brecha na segurança do meu banco de dados? Quem são os funcionários que têm acesso a dados sensíveis? Existem profissionais de T.I suficientes para fazer uma boa proteção dos dados?

3. Treinamentos para funcionários

Esse é um outro pilar dos programas de Compliance em geral que precisa ser revisto para o Compliance Digital. Tenha certeza de que você consegue aplicar treinamentos sobre como se proteger de vazamentos ou ataques a todos os funcionários.

Alguns funcionários estão em posição favorável a venda ou vazamentos de dados, por exemplo. É importante também verificar se a sua plataforma de treinamentos consegue aplicar treinamentos específicos para setores mais vulneráveis sobre ética e a importância de manter esses dados seguros.

4. Pensando além da LGPD

Um erro muito comum quando surge uma nova lei é direcionar o mínimo de esforços para cumprir com o mínimo dos requisitos para estar em conformidade. O mesmo se dá em relação à LGPD. Empresas implementam o básico para estar em conformidade, o que resulta em um programa fraco.

O que a Lei Anticorrupção nos mostrou é que a tendência é surgirem novas legislações cada vez mais severas, tanto nacionais quanto internacionais. Isso deve ser ainda mais forte com a proteção de dados. Por isso, aproveite agora para criar uma base sólida para que seu programa de Compliance Digital cresça conforme for preciso e possível.

5. Investindo em tecnologia

É impossível pensar em Compliance Digital e LGPD sem pensar em tecnologia. Para conseguir implementar Compliance e proteção em um ambiente sinônimo de tecnologia, é preciso usar ferramentas à altura.

Hoje em dia existe uma infinidade de ferramentas e soluções disponíveis para suprir as necessidades específicas de cada empresa. Faça uma boa pesquisa e, a partir da sua análise de vulnerabilidades e de conversas com seu DPO e a T.I., escolha a que melhor encaixa na sua empresa.

6. Divulgando a sua segurança

Uma parte importante do programa de Compliance é a divulgação dele e das medidas que estão sendo implementadas. Não só isso aumenta a visibilidade e interesse em seu programa de proteção de dados, ajuda a aumentar a confiança na sua empresa.

Seus funcionários, futuros funcionários, acionistas e organizações de fiscalização vão confiar muito mais em você tendo acesso rápido e fácil ao que você faz no Compliance Digital. Alguns exemplos são colocar seções sobre proteção de dados no seu site, compartilhar os treinamentos dos funcionários, publicar indicadores sobre seu programa, etc.

7. Criando políticas específicas sobre proteção de dados

Políticas corporativas são outro pilar do programa de Compliance, e no Compliance Digital não é diferente. É preciso ter políticas claras e objetivas que detalham normas, procedimentos e processos que devem ser seguidos.

Assim, seus funcionários sabem o que eles precisam fazer para manter dados em segurança e o que pode ou não pode ser feito. Além de diminuir a probabilidade de alguma atitude ilícita ou antiética por parte de funcionários, você tem a segurança e a evidência de que seus funcionários sabem que atos não devem cometer.

8. Formando diálogo entre Compliance e T.I

Esse ponto é um dos mais importantes e vai permear todo o seu programa de Compliance Digital. A partir de hoje, os setores de Compliance e da T.I precisam estar sempre se comunicando e trocando conhecimentos.

É a partir desse diálogo que você vai aprender em que o Compliance precisa direcionar os esforços. Você também vai definir estratégias e processos que funcionários devem tomar no dia a dia, que vai fazer parte das suas políticas e procedimentos internos, dos seus treinamentos, e ainda das suas campanhas de conscientização.

9. Fazendo um Data Protection Impact Assessment (DPIA)

Esse documento é um registro das atividades de tratamento de dados que podem ser de risco aos titulares dos dados. Além disso, detalha a implementação de medidas de mitigação de danos.

Basicamente é um relatório de gestão de riscos que resume a situação da empresa. É um documento muito importante, porque pode ser requerido pela ANPD para comprovar os esforços da sua empresa em proteger dados que ela possui.

Fica claro que a proteção de dados, a adequação à LGPD e o Compliance Digital não são tarefas fáceis. Isso é ainda mais preocupante devido à rápida aproximação da entrada em vigor da LGPD. Por isso, não deixe para depois a execução do seu programa e das suas estratégias.
0

POSTS ANTERIORESPage 1 of 2SEM NOVOS POSTS