Português
Your address will show here +12 34 56 78
Canal de Denúncias, Governança de Documentos, LGPD, Programa de Integridade, Treinamento de Compliance
O compliance jurídico pode parecer um setor burocrático e enrijecido por muitos, mas quem trabalha na área sabe que é na verdade um centro de estratégias para a empresa.

É ligada à governança corporativa, responsável pela tomada de algumas das decisões mais importantes da empresa.

Além disso, é um centro de estratégia financeira, ajudando a encontrar formas de diminuir gastos através do compliance tributário, por exemplo.

Por isso, como qualquer outro setor estratégico das empresas, o compliance também pode aproveitar os dados para direcionar seus processos e decisões, como vamos mostrar ao longo do artigo.

Que tipo de dados posso recolher?

Existe uma infinidade de dados que você pode recolher dependendo dos seus processos, sua equipe e as necessidades específicas da sua empresa. Uma parte importante desse processo é lembrar que é preciso confirmar se as fontes são sempre atualizadas.

Alguns exemplos importantes e que podem ser úteis são:

  • Dados demográficos
  • Funcionários ativos
  • Políticas aceitas
  • Documentos na validade
  • Denúncias por classificação
  • Progresso de treinamentos
  • Treinamentos realizados
  • Taxa de respostas em formulários
  • Taxa de acertos em treinamentos

Além de recolher esses, e muito mais dados, você deve buscar ter segmentações, como gerência, área, departamento, filial, etc. Assim, é possível fazer análises mais detalhadas e identificar problemas com mais precisão.

Como coletar dados

Depois de decidir quais dados são mais importantes para a sua estratégia, você deve procurar as formas de coletar os dados. Seguem algumas das formas principais.

  • Pesquisas

O departamento de compliance jurídico pode enviar pesquisas para os funcionários, ou trabalhar junto com o RH, por exemplo, para fazer essas pesquisas.

  • Denúncias

As denúncias no canal de denúncias são uma fonte poderosa de informações sobre a qualidade do seu programa de compliance. No próximo tópico vamos desenvolver as possibilidades desse tipo de dado.

  • Sistemas de compliance

Se a sua empresa adotar algum tipo de ferramenta para o compliance, ela vai fornecer muitos dados sobre o uso do sistema e suas aplicações. Além disso, é a garantia de gráficos e relatórios mais mastigados e de fácil visualização.

  • Planilhas

É possível fazer planilhas manualmente, se as operações do compliance jurídico forem menores. Por exemplo, dados sobre quantidade de políticas aceitas e funcionários treinados podem ser inseridos em planilhas do excel para análise.

  • Outros setores

O compliance deve buscar sempre a interação com outros setores, inclusive na busca por dados. A TI possui dados importantes sobre o comportamento digital dos funcionários, por exemplo, e dados demográficos podem ser encontrados com o RH.

Exemplos de uso de dados

Seguem alguns exemplos de como o compliance pode aproveitar os dados coletados para potencializar seus processos.

  • Descobrir falhas na gerência de áreas

A cultura ética não pode, nem deve vir somente do setor de compliance jurídico. Ao analisar dados como políticas aceitas ou treinamentos realizados por área ou gerência, você pode acabar descobrindo algum setor que está para trás.

Isso pode significar que o gerente ou superior não está transmitindo a devida importância do compliance para seus funcionários, nem cobrando que eles cumpram rapidamente as exigências do compliance.

  • Descobrir falhas na comunicação interna

O mesmo pode acabar acontecendo com a comunicação da empresa como um todo. Se os níveis de cumprimento e participação com as demandas do compliance estão baixos em geral, o compliance pode tomar algumas ações.

Por exemplo, isso pode ser um sinal de baixo envolvimento da alta direção. Realizar uma série de vídeos com diretores sobre a ética pode estimular demais funcionários a valorizarem essa cultura e a realizarem as atividades do compliance.

  • Controlar a validade de documentos

Documentos de compliance, como formulários e políticas, precisam ser revisados com determinada frequência para que estejam sempre atualizados. Com o acesso a dados sobre esses documentos, datas, mudanças legislativas, etc. é possível acompanhar essa validade com mais precisão.

  • Direcionar estratégias a áreas problemáticas

Como explicamos, alguns dos dados mais valiosos da empresa vêm do canal de denúncias. Se forem bem coletados, você pode ver a quantidade de denúncia por tipo, por exemplo (assédio, corrupção, fraude, furto, etc.).

Se a empresa tiver muito mais denúncia de assédio moral, por exemplo, claramente a empresa está falhando na educação sobre o tema. Treinamentos, políticas, campanhas e atividades podem ser feitos sobre o tema.

  • Identificar problemas reincidentes

Essa mesma estratégia pode ser usada para identificar problemas ou personagens reincidentes. Por exemplo, se uma mesma pessoa for denunciada mais de uma vez, já é mais um identificador de que a denúncia provavelmente é verdadeira, facilitando o processo de investigação.

Como proteger os dados

Por último, é extremamente importante lembrar que, com a chegada da LGPD, continua sendo importante usar dados para aprimorar estratégias da empresa, mas cuidados devem ser tomados.

Ao lidar com informações pessoais ou sensíveis, é importante ter formas de anonimizar esses dados, por exemplo, desde que não prejudique a análise. Se for necessário deixar os dados pessoais, é imprescindível ter o tratamento bem documentado no ROPA e RIPD.

Também é possível implementar um anonimizador no seu canal de denúncias, que substitui as informações pessoais da denúncia por um código. Outra dica é criar níveis de acesso. Assim, somente pessoas que realmente precisam ver essas informações conseguem.
0

Como fazer, LGPD
A LGPD já é uma das mais importantes legislações brasileiras, mesmo com sua entrada em vigor prorrogada. Ela não só vai afetar quase todas as empresas, como também vai demandar uma mudança enorme nos processos das empresas. Por isso, é importante já começar a planejar como o compliance vai implementar a LGPD na prática.

Quando a entrada em vigor da lei ainda estava planejada para daqui a poucos meses, o mercado já apontava uma séria deficiência nos preparativos das empresas para estar em conformidade com a LGPD.

De acordo com uma pesquisa da Associação Brasileira das Empresas de Software (ABES) em parceria com a EY, apenas 38% das empresas estão de acordo com as exigências da lei.

Inclusive, a falta de preparação é tão assustadora que foi um dos argumentos para o adiamento da entrada em vigor antes da pandemia do Coronavírus.

O grande medo agora é que as empresas cometam o mesmo erro e pensem na prorrogação da LGPD como um motivo para prorrogar colocar medidas para estar em compliance com a LGPD na prática.

Mas começar a se adequar à nova lei pode acontecer gradualmente, começando por alguns passos cruciais que vão construir uma base para que seja mais fácil adotar outras medidas de proteção de dados no futuro. Continue lendo para entender esses passos mais importantes.

Escolher um DPO

O Data Protection Officer (DPO) é uma ótima forma de começar porque é um profissional especializado no assunto. Esse profissional trabalha junto com o compliance para construir um diálogo entre os titulares dos dados, o compliance e autoridades nacionais.

Devido ao profundo conhecimento do tema e das necessidades da empresa de acordo com a lei, a seleção desse profissional é um bom primeiro passo na adequação à LGPD na prática.

No entanto, é importante lembrar que esse profissional só é obrigatório em empresas grandes ou com grande quantidade de dados pessoais. São essas que têm processos de tratamento e proteção de dados mais complexos.

Empresas menores normalmente não precisam investir nesse profissional, porque é possível fazer os seus processos dentro do próprio compliance e com os profissionais de T.I.

Fazer relatórios de impacto e mapeamento

Fazer relatórios de impacto e de mapeamento são umas das tarefas básicas mais trabalhosas. No entanto, são extremamente básicos e importantes para a adequação à LGPD. O lado bom é que esses relatórios são basicamente mapeamentos de riscos, uma ferramenta bem conhecida dos profissionais de compliance.

Existem dois relatórios mais importantes que são citados na LGPD e na GDPR. São o ROPA e o RIPD.

Record of Processing Activities ou Registro de operações (ROPA): Esse relatório é um registro de todos os detalhes mais importantes do tratamento de dados na empresa. Exige pesquisa extensiva do tratamento de diferentes dados em diferentes setores.

Alguns exemplos de dados (que podem variar de acordo com a empresa) são:

  • Quem trata os dados
  • Quais ferramentas são usadas no tratamento
  • Com que frequência os dados são tratados
  • Para quais finalidades os dados pessoais são tratados

Relatório de impacto à proteção de dados pessoais ou Data Protection Impact Assessment (RIPD/DPIA): Esse relatório é parecido com o ROPA, mas é um pouco mais elaborado. Nele o compliance deve focar em riscos presentes no tratamento.

Ao mapear esses riscos, esse relatório também deve apresentar os meios empregados pela empresa para minimizar esses riscos e dar justificativas para a coleta e o tratamento dos dados pessoais.

Alguns exemplos de tópicos nesse relatório são:

  • O motivo da coleta desses dados sensíveis
  • Como os dados serão tratados (no mesmo modelo do ROPA)
  • Explicar por que esse tratamento é compatível com o motivo da coleta
  • As medidas e os processos da empresa para redução e mitigação dos riscos
  • As medidas colocadas em prática de proteção de dados

Fazer esses relatórios pode não parecer muito “básico” devido ao trabalho necessário para fazer a pesquisa e montar o documento. No entanto, não é muito diferente do mapeamento de riscos que o compliance já deveria estar fazendo em outros setores.

Além disso, se feito de início e corretamente, vai direcionar com muito mais facilidade e organização as próximas atividades do compliance quanto à proteção de dados, tornando o trabalho do compliance mais tranquilo a longo prazo.

Fazer a anonimização de dados

Os dados que empresas coletam são certamente um ativo muito valioso, e realmente ajudam a tornar experiências de usuários melhores e a tomar importantes decisões estratégicas na empresa.

Porém, muitas vezes supervalorizamos a importância de termos dados pessoais, ou seja, que identificam o titular do dado. São esses os que a LGPD regulamenta e que ferem a privacidade de cidadãos.

Se for realmente importante tratar dados pessoais, as justificativas podem ser explicadas no ROPA, por exemplo. Mas e se não houver uma boa justificativa? E se o dado pessoal não for necessário para o tratamento que você quer fazer?

Um bom exemplo disso são denúncias em um canal de denúncias. Dados que possam identificar pessoas não só não são necessários para a investigação da denúncia, como um risco para a objetividade do processo de investigação.

Como fazer a anonimização?

A solução para isso são as ferramentas de anonimização. Esse processo oculta de algum texto os dados pessoais, como nomes, endereços e outros. A recomendação é integrar uma ferramenta dessas, como o SafeText, com os pontos de entrada dos dados.

Assim, a empresa não terá nem que começar a manusear dados pessoais, e por isso também não terá que aplicar diversos procedimentos de proteção de dados como os recomendados pela LGPD.

Essa é uma forma simples de implementar a LGPD na prática, e que vai diminuir muito o tempo desperdiçado em procedimentos e justificativas para o tratamento de dados que nem precisavam ser pessoais.
0

Canal de Denúncias, LGPD
Uma das preocupações principais do compliance officer e do compliance trabalhista hoje em dia são os dados pessoais e a LGPD. Isso porque todo o ambiente digital, e o maior ativos que empresas buscavam e exploravam até hoje eram esses dados pessoais sensíveis de usuários.

Agora que legislações novas como a LGPD e GDPR têm surgido, as empresas precisam descobrir como proteger os dados pessoais com os quais ela lida e pode ter acesso o tempo todo.

Com isso, surgem dois conceitos importantes: dados pessoais e dados anônimos. Entender a diferença, saber como identificar e saber tratar cada um desses é a chave para conseguir fazer a devida proteção deles e proteger sua empresa das consequências do mal uso de dados pessoais.

O que são dados pessoais e dados anônimos

Para entendermos como tratar, primeiro temos que saber como identificar esses dados. De acordo com a LGPD as definições para cada tipo são:

  • Dado pessoal: Informação relacionada à uma pessoa natural identificada ou identificável;
  • Dado pessoal sensível: Raça e etnia, convicção religiosa, opinião política, filiação sindical, dados de saúde, opção sexual, genético-biométrico ou dados de crianças;
  • Dado anonimizado: Aquele cujo titular não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Por que anonimizar dados sensíveis?

Para o compliance, existem dois grandes motivos para anonimizar dados. O primeiro é o canal de denúncias, e o segundo é a LGPD.

Canal de denúncias

O canal de denúncias é um dos primeiros pilares do programa de compliance. É ele que permite que funcionários participem da luta contra a corrupção na empresa, e ainda aumentam muito a probabilidade de encontrar e resolver prática ilegais ou antiéticas.

No entanto, as denúncias costumam conter uma grande quantidade de dados pessoais, o que pode levar a algumas situações desfavoráveis, como:

  • Possibilidade de identificação do denunciante;
  • Possibilidade de identificação de denunciados;
  • Denúncia de alguém que terá contato com a denúncia e/ou interferência ou exclusão da denúncia;
  • Impossibilidade de compartilhamento da denúncia com outras equipes para investigação; etc.

Esses e muitos outros problemas podem ser resolvidos facilmente com a adoção de um canal de denúncias terceirizado. No entanto, essas soluções não são possíveis para qualquer empresa, devido à grande estrutura e consequente alto custo.

LGPD

O segundo motivo importante para o compliance buscar proteger dados pessoais é a LGPD. A lei se aplica à proteção de dados pessoais e dados sensíveis. Ou seja, apenas os dados que permitem a identificação do titular do dado.

Se você tiver alguma forma de anonimizar os dados utilizados na empresa, não é necessário extinguir todos os processos que envolvem esses dados.

Afinal, os dados continuam sendo muito valiosos para conseguir fazer uma boa gestão nas empresas. Ajudam a ter insights, entender melhor as operações e criar novos processos e estratégias fundadas em dados concretos.

Como fazer a proteção de dados pessoais?

Em um outro blogpost, explicamos 7 importantes passos para conseguir fazer a proteção de dados pessoais na prática. São eles:

  • Mapear entrada e saída de dados pessoais
  • Mapear o tratamento dos dados e os riscos
  • Categorizar os dados tratados pela empresa
  • Elaborar o relatório de impacto
  • Criar políticas corporativas sobre proteção de dados
  • Fazer treinamentos sobre proteção de dados
  • Exigir compliance de dados de terceiros

Além disso, é preciso investir em alguma ferramenta para anonimização de dados pessoais. Pode ser que existam outras ferramentas. No entanto, aqui no clickCompliance vamos sugerir o SafeText.

É uma ferramenta gratuita que usa a inteligência artificial para identificar dados pessoais e substituí-los por um código. Você inclusive pode baixar uma tabela de correspondência para poder desfazer a anonimização, se quiser (é importante lembrar que, de acordo com a LGPD, quando houver a possibilidade de reverter o processo, se trata de pseudoanonimização e não anonimização).

O login é feito através de uma conta corporativa do Office 365 (e-mail e senha corporativa do Outlook), e já estamos trabalhando para conseguir o acesso para outras plataformas.

Além disso, o anonimizador já pode ser integrado com o nosso módulo de canal de denúncias. Por enquanto, outras integrações úteis para a sua empresa podem ser feitas sob demanda.



0

Legislação, LGPD
O direito digital é uma área que tem ganhado cada vez mais espaço e importância para empresas e dentro do mundo jurídico em geral.

Por isso, independente de trabalhar diretamente com a área ou não, é importante conhecer alguns conceitos principais.

Listamos abaixo 6 conceitos básicos para quem se interessa pela área. No entanto, lembramos que quem quer realmente se especializar na área deve se aprofundar muito mais em cada um dos itens.

Isso porque o mundo digital é muito novo, complexo e diferente de tudo que o direito está acostumado a lidar.

Para o profissional, será preciso entender a fundo questões técnicas da tecnologia e outras áreas com as quais talvez não tenha tanta afinidade hoje.

Marco Civil da Internet

O Marco Civil da Internet é relevante porque foi a primeira legislação pensada para regular o mundo digital. Todo profissional do direito digital deve conhecer essa legislação fundamental.

Quanto ao compliance, é também imprescindível conhecer a fundo, visto que sua obrigação é primariamente manter a empresa em conformidade com as leis.

O que diz o Marco Civil da Internet?

O Marco Civil aborda tópicos gerais, como direitos básicos dos usuários da internet e liberdade de expressão. Por exemplo:

Art. 7º
O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:


I – inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;

IV – não suspensão da conexão à internet, salvo por débito diretamente decorrente de sua utilização;

Etc.

A lei também aborda a proteção de dados pessoais de forma superficial:

Art. 7º
O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:


VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;

VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;

LGPD

A LGPD é outra legislação muito relevante para o direito digital, e principalmente para o compliance.

A Lei Geral de Proteção de Dados Pessoais aprofunda questões abordadas no Marco Civil. É específica em relação ao uso de dados pessoais em meios digitais, e é um guia de como empresas devem atuar nesse meio e dos direitos dos usuários.

Apresentou diversos novos termos e profissionais, como o DPO, que devem ser de interesse de qualquer profissional que deseja trabalhar na área.

O uso dos dados pessoais vai nortear a atuação de empresas nos mais diversos setores, e são um altíssimo risco não só de non-compliance para a empresa, mas também de processos e outros problemas jurídicos.

Direitos autorais

Outro conceito que ficou muito mais complexo com o mundo digital é o de direitos autorais. Com a demora em regular a internet, o espaço digital se tornou um “buraco negro” de produção e reprodução de conteúdo sem muitos limites.

Não existe uma legislação específica que ajude a entender qual o limite do direito atual especificamente no mundo digital. Existe apenas a Lei de Direitos Autorais, aplicável a qualquer circunstância.

No entanto, sabemos que as coisas não costumam ser simples assim na internet. Muitas vezes é difícil encontrar o autor de algum conteúdo, o caminho que percorreu, e mais difícil ainda iniciar algum processo contra o autor.

O que diz a Lei de Direito Autoral?

A única indicação de que a lei deve ser seguida da mesma forma para os meios digitais e não digitais é:

Art. 7º
São obras intelectuais protegidas as criações do espírito, expressas por qualquer meio ou fixadas em qualquer suporte, tangível ou intangível, conhecido ou que se invente no futuro

É possível notar que o trecho não é especialmente específico, e que a realidade do mundo material é diferente do digital.

Por isso, o profissional de direito digital precisa usar criatividade e cautela na hora de orientar sobre o tema, criar salvaguardas e navegar casos envolvendo esse conceito em geral dentro de empresas. 

Negócios digitais

Outro motivo de preocupação e estudo para os profissionais do direito digital são os negócios digitais. Esses negócios podem ser e-commerces, startups, aplicativos e outras empresas que possuem atuação total ou muito presente no digital.

Esse tipo de negócio introduz uma série de questões novas e difíceis de navegar devido à incerteza, falta de legislação ou regulamentação e falta de jurisprudência. Alguns exemplos são:

  • Direitos do consumidor
  • Limites da inovação
  • Transações financeiras online
  • Proteção de dados


Internet das coisas

A Internet das Coisas, ou IOT (Internet of Things) é uma área da tecnologia que liga a internet a outros objetos, principalmente dentro de casas. Essas seriam as “Smart Houses”, ou casas inteligentes.

Com esse tipo de tecnologia, é possível fazer compras de supermercado usando uma tela na geladeira, ligar o aquecedor antes de chegar em casa usando um smartphone, acionar sistema de segurança à distância, etc.

Como é uma tecnologia recente, também não há muito regulação nem experiência com o tema. O grande perigo digno de atenção dos profissionais do direito digital é o cuidado e a atenção com o avanço da internet das coisas, potenciais usos e problemas e como o uso vai se desenrolar.

Compliance e direito digital

E onde o compliance entra nisso tudo? A missão principal do compliance é eliminar os riscos regulatórios das empresas.

Por isso, uma função do compliance digital que utiliza esses conceitos do direito digital é conhecer bem todas as legislações relacionadas.

Isso inclui entender todas essas regulações, mas também perceber onde há a falta dela, como na IOT, por exemplo.

Nesses casos, o compliance deve se antecipar às leis que com certeza virão com o tempo, como a LGPD, e criar processos e políticas que norteiem a empresa de acordo com a ética e boas práticas.

Assim, estarão mais preparados para a contínua e cada vez maior regulamentação do meio digital.
0

Fique por Dentro, LGPD
O privacy by design é um conceito que começou a aparecer bastante recentemente, inclusive no compliance. Apesar de ser originalmente pensado para setores da tecnologia, se tornou muito importante para quem trabalha com regulamentação.

Isso porque a General Data Protection Regulation (GDPR), que originou a LGPD, menciona a estratégia nominalmente e explica a importância dela para a proteção de dados pessoais.

O que é privacy by design?

O privacy by design é uma abordagem à engenharia de sistemas que, basicamente, diz que um produto ou sistema precisa ser pensado para proteger os dados dos usuários desde sua concepção.

Ou seja, o sistema teria que ser criado já pensando em salvaguardas e funcionalidades para proteger os dados.

Para que isso seja feito de forma padronizada e para guiar os engenheiros de sistemas, existem os pilares do privacy by design:

  • Proativo não reativo; preventiva não corretiva: No privacy by design, não existe a reação a problemas de privacidade e sim a antecipação dos problemas. Também conta com monitoração para identificar riscos e constantemente criar soluções antecipadamente;
  • Privacidade incorporada ao design: O usuário terá o controle para alterar as configurações padrão e optar por fornecer ou não seus dados sem perder o acesso ao produto ou serviço;
  • Funcionalidade completa: O produto ou serviço deve ser plenamente utilizável se o usuário não alterar as configurações de privacidade. Não pode haver vantagem ao usuário caso altere a configuração de privacidade.
  • Segurança de ponta a ponta: Quando o usuário autorizar a coleta de algum dado, o tratamento deve ser de forma segura durante todo o ciclo de vida do dado;
  • Visibilidade e transparência: O produto ou sistema precisa, obrigatoriamente, ser facilmente auditável por terceiros, como organizações de fiscalização. É preciso que a empresa tenha forma de apresentar evidências de seus esforços em proteger os dados pessoais;
  • Respeito pela privacidade do usuário: Devem ser estabelecidas diretrizes de segurança da informação que assegurem: confidencialidade, integridade e disponibilidade dos dados e informações durante todo o ciclo de vida;
  • Privacidade como configuração padrão (Privacy by Default): Essa é uma garantia dentro do desenho da privacidade.

O que tem a ver com a LGPD?

O privacy by design tem a ver com a LGPD porque tem a ver com a GDPR. Na lei brasileira, não é citado o conceito nominalmente, mas as referências diretas aos princípios são perceptíveis.

Já na lei europeia, no Artigo 25 intitulado “Data protection by design and by default” é dito que:

“O controlador deve, tanto no momento da determinação dos meios de processamento quanto no próprio processamento, implementar medidas técnicas e organizacionais apropriadas […] para implementar princípios de proteção de dados […] de maneira eficaz e integrar as salvaguardas necessárias ao processamento”.

Ou seja, mesmo que não dito explicitamente na nossa lei, fica bem detalhado os processos e princípios como obrigação das empresas.

Além disso, como a GDPR é mais abrangente, é uma boa prática se basear principalmente nela para implantação de programas de compliance de privacidade de dados.

No entanto, é importante lembrar que a LGPD tem suas particularidades, e empresas precisam conhecer bem ela também.

Qual o dever do profissional de compliance?

Por enquanto, o que vimos é principalmente relacionada à concepção de produtos e sistemas. Por exemplo, que o sistema da empresa apague completamente dados automaticamente, encerrando seu ciclo de vida.

O que ainda acontece em muitos casos é que os dados são armazenados pela empresa após o tratamento inicial. Podem até chegar a serem utilizados novamente para outro fim no futuro.

Com as novas leis isso é ilegal, visto que o titular precisa autorizar os diferentes fins que terão esses dados.

Mas o profissional de compliance ainda terá muito trabalho, não só os profissionais de TI. São 4 principais funções para o compliance com a LGPD e o privacy by design:

  • Guiar a empresa com seu conhecimento sobre as leis
  • Comunicar sobre o tema
  • Monitoramento
  • Produzir evidências

Guiar a empresa com seu conhecimento sobre as leis

Primeiramente, nenhum funcionário deverá conhecer melhor as leis sobre privacidade de dados que o profissional de compliance.

Esse conhecimento profundo sobre o que a empresa precisa e pode fazer é o que servirá para guiar os outros setores a implementarem seus processos.

Por isso, uma função do compliance será acompanhar de perto a implementação de todas as normas previstas nas leis sobre proteção de dados com a ajuda do DPO.

Comunicar sobre o tema

Outra atribuição do profissional de compliance sobre privacy by design é assegurar que o conceito esteja bem comunicado dentro da empresa. Isso inclui campanhas internas, como também treinamentos periódicos e políticas e processos bem compreendidos pelos funcionários.

Monitoramento

Outra responsabilidade do compliance é fazer o monitoramento desses processos e das campanhas implementadas. Isso também pode ser feito com o acompanhamento do DPO, dependendo da empresa.

Produzir evidências

A última responsabilidade do compliance é produzir evidências do seu programa de compliance de dados. Ou seja, estar preparado para mostrar a autoridades fiscalizadores os dados que mostram que a empresa tem se esforçado para estar em compliance.

Em ambas as leis (LGPD e GDPR) e nos princípios do privacy by design é deixado explícito que é dever da empresa fornecer dados que comprovem seus esforços em mitigar os riscos relacionados à privacidade de dados.
0

LGPD
Todo mundo fala muito sobre proteção de dados pessoais e como é importante com a LGPD. No entanto, às vezes ainda ficamos com dúvidas sobre coisas que o compliance pode fazer na prática.

O conceito de proteção de dados, a Lei e a de repente necessidade de implementação deixou pouco tempo para pesquisa e elaboração de uma estratégia. Por isso, listamos abaixo algumas práticas reais e de fácil implementação que o compliance pode realizar.

1. Mapear entrada e saída de dados pessoais

Um exercício importante para o profissional de compliance entender melhor a parte técnica da proteção de dados, e ainda criar uma estratégia para o compliance, é mapear a entrada e saída de dados pessoais da empresa.

Isso significa documentar todos os pontos em que dados entram, como por exemplo:

  • Inscrições em campanhas de marketing
  • Coleta de cookies no site da empresa
  • Coleta de informações sobre clientes
  • Pesquisas de mercado

Além disso, é preciso mapear os pontos de saída, como por exemplo:

  • Compartilhamento com distribuidores (endereços, telefone, etc.)
  • Transferência internacional
  • Inserção em ferramentas terceirizadas*

*O clickCompliance, por exemplo, está desenvolvendo uma ferramenta de anonimização de dados. No entanto, deixamos claro que ninguém da nossa equipe tem qualquer contato com os dados, nem os armazenamos. É importante checar se as suas ferramentas também fazem isso.

É claro que as entradas e saídas podem ser infinitas, depende da atuação da empresa. Por isso, não se atenha a esses exemplos.

2. Mapear o tratamento dos dados e os riscos

O próximo passo é pegar esses dados e mapear como eles são tratados entre a entrada e a saída. Você terá que conversar com as diversas áreas envolvidas nesse tratamento, mesmo que seja com um terceiro.

Esse relatório também é conhecido como o ROPA (Record of Processing Activities ou Registro de operações).

Aqui, você deve documentar, por exemplo:

  • Quem trata os dados (a área, e até a pessoa ou função específica)
  • Quais ferramentas são usadas no tratamento
  • Com que frequência os dados são tratados
  • Para quais finalidades os dados pessoais são tratados

Lembre-se de que esses são alguns exemplos, mas o tratamento varia muito de empresa para empresa. Procure saber em detalhes como funciona na sua.

3. Categorizar os dados tratados pela empresa

Agora, chegou a hora de categorizar os dados que são tratados. Isso é importante porque você vai entender quais precisam de mais cuidado e vai ajudar na hora de criar políticas, criar o relatório de impacto, etc.

Alguns exemplos de categorizações são:

  • Pessoais
  • Sensíveis
  • Anonimizados
  • Diretos
  • Indiretos
  • De criança ou adolescente


4. Elaborar o relatório de impacto

O relatório de impacto à proteção de dados pessoais (RIPD) ou Data Protection Impact Assessment (DPIA) é um documento feito sobre dados considerados de risco. Por isso é importante fazer a categorização na etapa anterior.

Esse relatório deve conter:

  • O motivo da coleta desses dados sensíveis
  • Como os dados serão tratados (no mesmo modelo do ROPA)
  • Explicar porque esse tratamento é compatível com o motivo da coleta
  • As medidas e os processos da empresa para redução e mitigação dos riscos
  • As medidas colocadas em prática de proteção de dados

5. Criar políticas corporativas sobre proteção de dados

Depois de tudo isso, é o momento da criação de políticas corporativas sobre proteção de dados pessoais. Ou seja, esses documentos vão especificar a visão da empresa e as exigências dela em relação a dados pessoais.

Elas serão referentes às áreas que foram estabelecidas no início do mapeamento. Ou seja, aquelas que fazem coleta, distribuição ou tratamento de dados considerados de risco.

Essas políticas devem ser feitas de forma clara e direta, apresentando exatamente qual o procedimento para se lidar com os dados para cada área.

Detalhe o que pode ser feito, o que não pode ser feito, outros documentos que precisam ser preenchidos na hora do registro ou tratamento de dados, etc.

Depois, é preciso distribuir essas políticas para aprovação de toda a hierarquia competente, e depois as áreas e pessoas que precisam ler e aceitar.

6. Fazer treinamentos sobre proteção de dados

Um bom complemento para essas políticas é fazer treinamentos de compliance que explicam de forma mais didática o que está nas políticas.

Ou seja, explique de forma mais completa e explicada, dando exemplos práticos, de como seguir os processos da empresa na hora de lidar com dados.

Esses treinamentos podem ser gerais, como para evitar vazamento de dados, ou específicos, como para o departamento de marketing e o que não pode mais com a LGPD.

Procure aplicar algumas boas práticas nesses treinamentos:

  • Usar exemplos e situações reais
  • Fazer treinamentos periodicamente para estarem atualizados
  • Use conteúdos multimídia para manter funcionários engajados
  • Tenha relatórios de presença, desempenho, e outros do treinamento

7. Exigir compliance de dados de terceiros

A sua empresa pode ter a melhor estratégia proteção de dados pessoais. No entanto, de nada adianta se os seus terceiros não estiverem em conformidade também, já que sua empresa pode ser responsabilizada por ações deles também.

Por isso, é preciso solicitar aos terceiros esses mesmos documentos e relatórios detalhados anteriormente. Além disso, inclua terceiros nos treinamentos sobre a proteção de dados na sua empresa.

Além disso, faça políticas direcionadas especificamente para terceiros. Deixe claro o que a sua empresa espera desses terceiros em todos os aspectos da proteção de dados.
0