gdpr - clickCompliance
×

Preencha o formulário para iniciar o atendimento!

Your address will show here +12 34 56 78
Português

Como fazer, Fique por Dentro, LGPD, Programa de Integridade

GDPR e Compliance: Resumo Para o Profissional de Compliance

By on

06/08/2020

- Como fazer, Fique por Dentro, LGPD, Programa de Integridade

Com a nossa própria lei de proteção de dados entrando em vigor no início de 2021, se preocupar com a GDPR pode parecer um passo desnecessário. Afinal, é uma lei que diz respeito a empresas da União Europeia, e é mais complexa e de difícil aplicação.

Muitas empresas brasileiras podem cair nessa armadilha de que ela só vale ou só precisa ser olhada com atenção se a empresa for da UE. No entanto, o caso é muito mais perigoso. Basta que a sua empresa (grande ou pequena) processe os dados pessoais de cidadãos ou residentes da UE ou oferecer produtos ou serviços a essas pessoas para que a GDPR se aplique a você.

Por exemplo, se você tem algum cliente de e-commerce que por acaso mora na UE, se você envia e-mail marketing para alguém que mora na UE, ou mesmo que você tenha acesso a dados de um cidadão da UE que por acaso está no Brasil no momento.

Além disso, por ser um texto em que a LGPD foi baseada, porém mais rígido, ao estar em compliance com ela você estará preparando sua empresa para futuras mudanças na lei brasileira. O cenário que envolve a LGPD ainda é nebuloso, e por isso precisamos estar preparados para os cenários mais complexos.

A seguir, segue um resumo dos princípios, termos e pontos-chave da GDPR para que você profissional de compliance saiba com o que está lidando. Você também pode ler a lei completa.

Termos de destaque

Alguns termos novos foram colocados em destaque para que a GDPR seja mais bem compreendida. No entanto, este tópico é muito parecido com a LGPD, e nós fizemos uma lista completa com novos termos que o profissional de compliance precisa entender.

  • Data processing (Tratamento de dados): Qualquer ação executada nos dados, seja automática ou manual. Alguns exemplos são coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão e distribuição.
  • Personal data (Dados pessoais): qualquer informação relacionada a um indivíduo que permita a identificação direta ou indireta. Exemplos são nomes, endereços de e-mail, informações de localização, etnia, gênero, dados biométricos, crenças religiosas, cookies da web e opiniões políticas. Os dados pseudônimos também podem se enquadrar na definição se for relativamente fácil identificar alguém a partir dele.
  • Data subject (Titular dos dados): A pessoa cujos dados são processados, como clientes ou visitantes do site.
  • Data controller (Controlador dos dados): A pessoa que decide por que e como os dados pessoais serão processados. Por exemplo, proprietário ou funcionário da organização que lida com dados.
  • Data processor (Operador dos dados): Um terceiro que processa dados pessoais em nome de um controlador de dados. A GDPR possui regras especiais para esses indivíduos e organizações, que podem ser servidores em nuvem ou provedores de serviços de e-mail, por exemplo.

Efeitos da GDPR

Um motivo para se preocupar com o compliance à GDPR é o fato de a multa dela ser mais pesada que a da LGPD. De acordo com a lei brasileira, a multa pode chegar a 2% do faturamento, limitada a R$ 50 milhões. Empresas também podem ter suas atividades suspensas, parcial ou totalmente.

Já de acordo com a GDPR, a multa pode chegar até 4% da receita global ou €20 milhões (cerca de R$126 milhões). Outro fator de risco é que o(s) titular(es) afetado(s) podem buscar reparações pelos danos causados. Se forem muitos, pode acumular um valor alto com reparações e gastos jurídicos.

No entanto, antes de enfrentar essas multas e penalizações, você tem 72 horas para avisar aos titulares a respeito da falha na segurança. Esse requisito de notificação poderá ser dispensado se você usar salvaguardas tecnológicas, como criptografia, para tornar os dados inúteis para um invasor.

Princípios da GDPR

  • Legalidade, justiça e transparência: O processamento deve ser legal, justo e transparente para o titular dos dados.
  • Limitação de finalidade: Você deve processar os dados para os fins legítimos especificados explicitamente para o titular dos dados ao coletá-los.
  • Minimização de dados: Você deve coletar e processar apenas os dados absolutamente necessários para os fins especificados.
  • Precisão: Você deve manter os dados pessoais precisos e atualizados.
  • Limitação de armazenamento: Você só pode armazenar dados de identificação pessoal pelo tempo necessário para a finalidade especificada.
  • Integridade e confidencialidade (segurança): O processamento deve ser feito de forma a garantir segurança, integridade e confidencialidade adequadas (por exemplo, usando criptografia).
  • Prestação de contas: O controlador de dados é responsável por demonstrar a conformidade do GDPR com todos esses princípios.


O Data Protection Officer

O DPO é um profissional que também é recomendado na LGPD. Sua adoção não é totalmente obrigatória em nenhuma das duas. De acordo com a GDPR, os 3 casos em que a empresa precisa contratar este profissional são:

  • Se você é uma autoridade pública que não seja um tribunal que atue em capacidade judicial.
  • Quando suas atividades principais exigem que você monitore as pessoas sistematicamente e regularmente em larga escala (Ex: Google).
  • Quando suas atividades principais são o processamento em larga escala de categorias especiais de dados listadas no Artigo 9 do RGPD ou dados relacionados a condenações e ofensas criminais mencionados no Artigo 10 (Ex: consultório médico).

Em um blogpost nosso sobre o Data Protection Officer explicamos em quais casos a LGPD obriga empresas a contratarem este profissional.

Se você acha que está em compliance com a GDPR, mas não consegue mostrar como, você não está em compliance com a GDPR

Esta frase é extremamente importante, e foi retirada do próprio site da União Europeia sobre a nova lei. Ela mostra que não importa o quanto você se esforce para implementar processos e campanhas para melhorar sua proteção de dados se você não tem como mostrar isso ao público e às autoridades.

Ou seja, se você não consegue apresentar evidências da existência do seu programa de compliance digital, ele não será verdadeiramente eficaz. Existem algumas formas que você pode fazer isso.

Uma das principais formas é ter uma plataforma ou alguma ferramenta que você usa no seu programa de compliance que registra dados. Assim você terá acesso a planilhas, relatórios e gráficos sobre algumas ou todas as vertentes do seu programa para apresentar facilmente.

Outra forma é ter uma boa estrutura de políticas e relatórios (como o DPIA ou ROPA). Estes documentos também são provas tangíveis do trabalho do compliance.
0

Privacy by Design e a LGPD

By on

30/03/2020

-

O privacy by design é um conceito que começou a aparecer bastante recentemente, inclusive no compliance. Apesar de ser originalmente pensado para setores da tecnologia, se tornou muito importante para quem trabalha com regulamentação.

Isso porque a General Data Protection Regulation (GDPR), que originou a LGPD, menciona a estratégia nominalmente e explica a importância dela para a proteção de dados pessoais.

O que é privacy by design?

O privacy by design é uma abordagem à engenharia de sistemas que, basicamente, diz que um produto ou sistema precisa ser pensado para proteger os dados dos usuários desde sua concepção.

Ou seja, o sistema teria que ser criado já pensando em salvaguardas e funcionalidades para proteger os dados.

Para que isso seja feito de forma padronizada e para guiar os engenheiros de sistemas, existem os pilares do privacy by design:

  • Proativo não reativo; preventiva não corretiva: No privacy by design, não existe a reação a problemas de privacidade e sim a antecipação dos problemas. Também conta com monitoração para identificar riscos e constantemente criar soluções antecipadamente;
  • Privacidade incorporada ao design: O usuário terá o controle para alterar as configurações padrão e optar por fornecer ou não seus dados sem perder o acesso ao produto ou serviço;
  • Funcionalidade completa: O produto ou serviço deve ser plenamente utilizável se o usuário não alterar as configurações de privacidade. Não pode haver vantagem ao usuário caso altere a configuração de privacidade.
  • Segurança de ponta a ponta: Quando o usuário autorizar a coleta de algum dado, o tratamento deve ser de forma segura durante todo o ciclo de vida do dado;
  • Visibilidade e transparência: O produto ou sistema precisa, obrigatoriamente, ser facilmente auditável por terceiros, como organizações de fiscalização. É preciso que a empresa tenha forma de apresentar evidências de seus esforços em proteger os dados pessoais;
  • Respeito pela privacidade do usuário: Devem ser estabelecidas diretrizes de segurança da informação que assegurem: confidencialidade, integridade e disponibilidade dos dados e informações durante todo o ciclo de vida;
  • Privacidade como configuração padrão (Privacy by Default): Essa é uma garantia dentro do desenho da privacidade.

O que tem a ver com a LGPD?

O privacy by design tem a ver com a LGPD porque tem a ver com a GDPR. Na lei brasileira, não é citado o conceito nominalmente, mas as referências diretas aos princípios são perceptíveis.

Já na lei europeia, no Artigo 25 intitulado “Data protection by design and by default” é dito que:

“O controlador deve, tanto no momento da determinação dos meios de processamento quanto no próprio processamento, implementar medidas técnicas e organizacionais apropriadas […] para implementar princípios de proteção de dados […] de maneira eficaz e integrar as salvaguardas necessárias ao processamento”.

Ou seja, mesmo que não dito explicitamente na nossa lei, fica bem detalhado os processos e princípios como obrigação das empresas.

Além disso, como a GDPR é mais abrangente, é uma boa prática se basear principalmente nela para implantação de programas de compliance de privacidade de dados.

No entanto, é importante lembrar que a LGPD tem suas particularidades, e empresas precisam conhecer bem ela também.

Qual o dever do profissional de compliance?

Por enquanto, o que vimos é principalmente relacionada à concepção de produtos e sistemas. Por exemplo, que o sistema da empresa apague completamente dados automaticamente, encerrando seu ciclo de vida.

O que ainda acontece em muitos casos é que os dados são armazenados pela empresa após o tratamento inicial. Podem até chegar a serem utilizados novamente para outro fim no futuro.

Com as novas leis isso é ilegal, visto que o titular precisa autorizar os diferentes fins que terão esses dados.

Mas o profissional de compliance ainda terá muito trabalho, não só os profissionais de TI. São 4 principais funções para o compliance com a LGPD e o privacy by design:

  • Guiar a empresa com seu conhecimento sobre as leis
  • Comunicar sobre o tema
  • Monitoramento
  • Produzir evidências

Guiar a empresa com seu conhecimento sobre as leis

Primeiramente, nenhum funcionário deverá conhecer melhor as leis sobre privacidade de dados que o profissional de compliance.

Esse conhecimento profundo sobre o que a empresa precisa e pode fazer é o que servirá para guiar os outros setores a implementarem seus processos.

Por isso, uma função do compliance será acompanhar de perto a implementação de todas as normas previstas nas leis sobre proteção de dados com a ajuda do DPO.

Comunicar sobre o tema

Outra atribuição do profissional de compliance sobre privacy by design é assegurar que o conceito esteja bem comunicado dentro da empresa. Isso inclui campanhas internas, como também treinamentos periódicos e políticas e processos bem compreendidos pelos funcionários.

Monitoramento

Outra responsabilidade do compliance é fazer o monitoramento desses processos e das campanhas implementadas. Isso também pode ser feito com o acompanhamento do DPO, dependendo da empresa.

Produzir evidências

A última responsabilidade do compliance é produzir evidências do seu programa de compliance de dados. Ou seja, estar preparado para mostrar a autoridades fiscalizadores os dados que mostram que a empresa tem se esforçado para estar em compliance.

Em ambas as leis (LGPD e GDPR) e nos princípios do privacy by design é deixado explícito que é dever da empresa fornecer dados que comprovem seus esforços em mitigar os riscos relacionados à privacidade de dados.
1