LGPD - Página 4 de 4 - clickCompliance
×

Preencha o formulário para iniciar o atendimento!

Your address will show here +12 34 56 78
Português

Privacy by Design e a LGPD

By on

30/03/2020

-

O privacy by design é um conceito que começou a aparecer bastante recentemente, inclusive no compliance. Apesar de ser originalmente pensado para setores da tecnologia, se tornou muito importante para quem trabalha com regulamentação.

Isso porque a General Data Protection Regulation (GDPR), que originou a LGPD, menciona a estratégia nominalmente e explica a importância dela para a proteção de dados pessoais.

O que é privacy by design?

O privacy by design é uma abordagem à engenharia de sistemas que, basicamente, diz que um produto ou sistema precisa ser pensado para proteger os dados dos usuários desde sua concepção.

Ou seja, o sistema teria que ser criado já pensando em salvaguardas e funcionalidades para proteger os dados.

Para que isso seja feito de forma padronizada e para guiar os engenheiros de sistemas, existem os pilares do privacy by design:

  • Proativo não reativo; preventiva não corretiva: No privacy by design, não existe a reação a problemas de privacidade e sim a antecipação dos problemas. Também conta com monitoração para identificar riscos e constantemente criar soluções antecipadamente;
  • Privacidade incorporada ao design: O usuário terá o controle para alterar as configurações padrão e optar por fornecer ou não seus dados sem perder o acesso ao produto ou serviço;
  • Funcionalidade completa: O produto ou serviço deve ser plenamente utilizável se o usuário não alterar as configurações de privacidade. Não pode haver vantagem ao usuário caso altere a configuração de privacidade.
  • Segurança de ponta a ponta: Quando o usuário autorizar a coleta de algum dado, o tratamento deve ser de forma segura durante todo o ciclo de vida do dado;
  • Visibilidade e transparência: O produto ou sistema precisa, obrigatoriamente, ser facilmente auditável por terceiros, como organizações de fiscalização. É preciso que a empresa tenha forma de apresentar evidências de seus esforços em proteger os dados pessoais;
  • Respeito pela privacidade do usuário: Devem ser estabelecidas diretrizes de segurança da informação que assegurem: confidencialidade, integridade e disponibilidade dos dados e informações durante todo o ciclo de vida;
  • Privacidade como configuração padrão (Privacy by Default): Essa é uma garantia dentro do desenho da privacidade.

O que tem a ver com a LGPD?

O privacy by design tem a ver com a LGPD porque tem a ver com a GDPR. Na lei brasileira, não é citado o conceito nominalmente, mas as referências diretas aos princípios são perceptíveis.

Já na lei europeia, no Artigo 25 intitulado “Data protection by design and by default” é dito que:

“O controlador deve, tanto no momento da determinação dos meios de processamento quanto no próprio processamento, implementar medidas técnicas e organizacionais apropriadas […] para implementar princípios de proteção de dados […] de maneira eficaz e integrar as salvaguardas necessárias ao processamento”.

Ou seja, mesmo que não dito explicitamente na nossa lei, fica bem detalhado os processos e princípios como obrigação das empresas.

Além disso, como a GDPR é mais abrangente, é uma boa prática se basear principalmente nela para implantação de programas de compliance de privacidade de dados.

No entanto, é importante lembrar que a LGPD tem suas particularidades, e empresas precisam conhecer bem ela também.

Qual o dever do profissional de compliance?

Por enquanto, o que vimos é principalmente relacionada à concepção de produtos e sistemas. Por exemplo, que o sistema da empresa apague completamente dados automaticamente, encerrando seu ciclo de vida.

O que ainda acontece em muitos casos é que os dados são armazenados pela empresa após o tratamento inicial. Podem até chegar a serem utilizados novamente para outro fim no futuro.

Com as novas leis isso é ilegal, visto que o titular precisa autorizar os diferentes fins que terão esses dados.

Mas o profissional de compliance ainda terá muito trabalho, não só os profissionais de TI. São 4 principais funções para o compliance com a LGPD e o privacy by design:

  • Guiar a empresa com seu conhecimento sobre as leis
  • Comunicar sobre o tema
  • Monitoramento
  • Produzir evidências

Guiar a empresa com seu conhecimento sobre as leis

Primeiramente, nenhum funcionário deverá conhecer melhor as leis sobre privacidade de dados que o profissional de compliance.

Esse conhecimento profundo sobre o que a empresa precisa e pode fazer é o que servirá para guiar os outros setores a implementarem seus processos.

Por isso, uma função do compliance será acompanhar de perto a implementação de todas as normas previstas nas leis sobre proteção de dados com a ajuda do DPO.

Comunicar sobre o tema

Outra atribuição do profissional de compliance sobre privacy by design é assegurar que o conceito esteja bem comunicado dentro da empresa. Isso inclui campanhas internas, como também treinamentos periódicos e políticas e processos bem compreendidos pelos funcionários.

Monitoramento

Outra responsabilidade do compliance é fazer o monitoramento desses processos e das campanhas implementadas. Isso também pode ser feito com o acompanhamento do DPO, dependendo da empresa.

Produzir evidências

A última responsabilidade do compliance é produzir evidências do seu programa de compliance de dados. Ou seja, estar preparado para mostrar a autoridades fiscalizadores os dados que mostram que a empresa tem se esforçado para estar em compliance.

Em ambas as leis (LGPD e GDPR) e nos princípios do privacy by design é deixado explícito que é dever da empresa fornecer dados que comprovem seus esforços em mitigar os riscos relacionados à privacidade de dados.
1

Proteção de Dados Pessoais na Prática

By on

09/03/2020

-

Todo mundo fala muito sobre proteção de dados pessoais e como é importante com a LGPD. No entanto, às vezes ainda ficamos com dúvidas sobre coisas que o compliance pode fazer na prática.

O conceito de proteção de dados, a Lei e a de repente necessidade de implementação deixou pouco tempo para pesquisa e elaboração de uma estratégia. Por isso, listamos abaixo algumas práticas reais e de fácil implementação que o compliance pode realizar.

1. Mapear entrada e saída de dados pessoais

Um exercício importante para o profissional de compliance entender melhor a parte técnica da proteção de dados, e ainda criar uma estratégia para o compliance, é mapear a entrada e saída de dados pessoais da empresa.

Isso significa documentar todos os pontos em que dados entram, como por exemplo:

  • Inscrições em campanhas de marketing
  • Coleta de cookies no site da empresa
  • Coleta de informações sobre clientes
  • Pesquisas de mercado

Além disso, é preciso mapear os pontos de saída, como por exemplo:

  • Compartilhamento com distribuidores (endereços, telefone, etc.)
  • Transferência internacional
  • Inserção em ferramentas terceirizadas*

*O clickCompliance, por exemplo, está desenvolvendo uma ferramenta de anonimização de dados. No entanto, deixamos claro que ninguém da nossa equipe tem qualquer contato com os dados, nem os armazenamos. É importante checar se as suas ferramentas também fazem isso.

É claro que as entradas e saídas podem ser infinitas, depende da atuação da empresa. Por isso, não se atenha a esses exemplos.

2. Mapear o tratamento dos dados e os riscos

O próximo passo é pegar esses dados e mapear como eles são tratados entre a entrada e a saída. Você terá que conversar com as diversas áreas envolvidas nesse tratamento, mesmo que seja com um terceiro.

Esse relatório também é conhecido como o ROPA (Record of Processing Activities ou Registro de operações).

Aqui, você deve documentar, por exemplo:

  • Quem trata os dados (a área, e até a pessoa ou função específica)
  • Quais ferramentas são usadas no tratamento
  • Com que frequência os dados são tratados
  • Para quais finalidades os dados pessoais são tratados

Lembre-se de que esses são alguns exemplos, mas o tratamento varia muito de empresa para empresa. Procure saber em detalhes como funciona na sua.

3. Categorizar os dados tratados pela empresa


Agora, chegou a hora de categorizar os dados que são tratados. Isso é importante porque você vai entender quais precisam de mais cuidado e vai ajudar na hora de criar políticas, criar o relatório de impacto, etc.

Alguns exemplos de categorizações são:

  • Pessoais
  • Sensíveis
  • Anonimizados
  • Diretos
  • Indiretos
  • De criança ou adolescente


4. Elaborar o relatório de impacto

O relatório de impacto à proteção de dados pessoais (RIPD) ou Data Protection Impact Assessment (DPIA) é um documento feito sobre dados considerados de risco. Por isso é importante fazer a categorização na etapa anterior.

Esse relatório deve conter:

  • O motivo da coleta desses dados sensíveis
  • Como os dados serão tratados (no mesmo modelo do ROPA)
  • Explicar porque esse tratamento é compatível com o motivo da coleta
  • As medidas e os processos da empresa para redução e mitigação dos riscos
  • As medidas colocadas em prática de proteção de dados

5. Criar políticas corporativas sobre proteção de dados

Depois de tudo isso, é o momento da criação de políticas corporativas sobre proteção de dados pessoais. Ou seja, esses documentos vão especificar a visão da empresa e as exigências dela em relação a dados pessoais.

Elas serão referentes às áreas que foram estabelecidas no início do mapeamento. Ou seja, aquelas que fazem coleta, distribuição ou tratamento de dados considerados de risco.

Essas políticas devem ser feitas de forma clara e direta, apresentando exatamente qual o procedimento para se lidar com os dados para cada área.

Detalhe o que pode ser feito, o que não pode ser feito, outros documentos que precisam ser preenchidos na hora do registro ou tratamento de dados, etc.

Depois, é preciso distribuir essas políticas para aprovação de toda a hierarquia competente, e depois as áreas e pessoas que precisam ler e aceitar.

6. Fazer treinamentos sobre proteção de dados

Um bom complemento para essas políticas é fazer treinamentos de compliance que explicam de forma mais didática o que está nas políticas.

Ou seja, explique de forma mais completa e explicada, dando exemplos práticos, de como seguir os processos da empresa na hora de lidar com dados.

Esses treinamentos podem ser gerais, como para evitar vazamento de dados, ou específicos, como para o departamento de marketing e o que não pode mais com a LGPD.

Procure aplicar algumas boas práticas nesses treinamentos:

  • Usar exemplos e situações reais
  • Fazer treinamentos periodicamente para estarem atualizados
  • Use conteúdos multimídia para manter funcionários engajados
  • Tenha relatórios de presença, desempenho, e outros do treinamento

7. Exigir compliance de dados de terceiros

A sua empresa pode ter a melhor estratégia proteção de dados pessoais. No entanto, de nada adianta se os seus terceiros não estiverem em conformidade também, já que sua empresa pode ser responsabilizada por ações deles também.

Por isso, é preciso solicitar aos terceiros esses mesmos documentos e relatórios detalhados anteriormente. Além disso, inclua terceiros nos treinamentos sobre a proteção de dados na sua empresa.

Além disso, faça políticas direcionadas especificamente para terceiros. Deixe claro o que a sua empresa espera desses terceiros em todos os aspectos da proteção de dados.
0

A Autoridade Nacional de Proteção de Dados (ANPD)

By on

21/11/2019

-

 

A Autoridade Nacional de Proteção de Dados (ANPD) é uma entidade em formação que será orientadora e fiscalizadora das empresas de acordo com o previsto na LGPD. Inclusive, a lei garante a autonomia técnica necessária para a autoridade realizar suas atividades de forma imparcial, apesar de ser ligada à Presidência da República.

Primeiramente, sua responsabilidade será de orientação das empresas quanto às exigências da nova Lei, principalmente no primeiro momento em que ainda podem surgir dúvidas e dificuldades na aplicação de medidas.

Além disso, provavelmente terá uma atuação menos pró-ativa, sendo acionada a partir de denúncias ou pedidos de orientação pelas próprias empresas. Isso devido à dificuldade natural em ativamente fiscalizar a grande quantidade de empresas que serão afetadas pela LGPD.

Não só a ANPD terá a característica orientadora, como também será um espaço para a sociedade enviar dúvidas e sugestões. Também é onde devem ser enviadas denúncias relacionadas à LGPD para serem apuradas e investigadas.

Depois de orientar e fiscalizar, a Autoridade Nacional de Proteção de Dados também poderá advertir empresas que não estejam em concordância com a LGPD. Por fim, se ainda houver descumprimento, ela poderá penalizar empresas conforme as especificações no último tópico.

Autoridade nacional de proteção de dados

Como foi criada

A criação da autoridade já estava prevista na Lei Geral de Proteção de Dados Pessoais. Porém, o dispositivo da lei que criava a ANPD foi vetado por Michel Temer. Logo depois, em dezembro de 2018, através de uma medida provisória, foi recriada. Depois, foi aprovada em maio de 2019 pela Câmara e pelo Senado, e sancionada em julho de 2019 pelo presidente da República.

Para que serve

De acordo com o Artigo 55-J da LGPD, compete à ANPD, entre outras obrigações:
  • zelar pela proteção dos dados pessoais, nos termos da legislação;
  • elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
  • fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
  • promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
  • promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
  • solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei;
  • realizar auditorias, ou determinar sua realização, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
  • celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos;
  • comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
  • implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.

Será composta por quem?

A ANPD será composta por um Conselho Diretor, um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, um órgão de apoio jurídico e unidades especializadas para à aplicação da LGPD.

O colegiado do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto por 23 titulares, não remunerados, com mandato de dois anos. Serão esses:
  • 6 do Executivo Federal;
  • 1 do Senado Federal;
  • 1 da Câmara dos Deputados;
  • 1 do Conselho Nacional de Justiça;
  • 1 do Conselho Nacional do Ministério Público;
  • 1 do Comitê Gestor da Internet no Brasil;
  • 4 da sociedade civil com atuação comprovada em proteção de dados pessoais;
  • 4 de instituição científica, tecnológica e de inovação e
  • 4 de entidade do setor empresarial ligado à área de tratamento de dados pessoais.

O objetivo do governo é preencher em torno de 15 funções previstas ainda em 2019. Dentre essas 15 estariam cinco assentos do conselho diretor, seus assessores e profissionais para a área de coordenação geral de normatização.

Isso porque, como a existência da ANPD está prevista na LGPD, ela poderia já ter possibilidade de operar em agosto de 2020, quando a lei entrará em vigor. Inclusive, a falta de estruturação da ANPD é um dos argumentos na proposta que busca prorrogar essa data para 2022.

O que ela vai poder fazer?

A Autoridade Nacional de Proteção de Dados terá também o caráter punitivo, em casos de descumprimento contínuo da LGPD após advertências. No entanto, é importante lembrar que, de acordo com a Serpro, a atividade principal será orientação.

De acordo com o Capítulo VIII, Seção I, Artigo 52 da LGPD, “Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
  • advertência, com indicação de prazo para adoção de medidas corretivas;
  • multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária, observado o limite total a que se refere o inciso II;
  • publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração.”
3

LGPD, LGPD, LGPD, LGPD, LGPD, LGPD

LGPD: O Que é o DPO e Por Que é Importante

By on

04/11/2019

- LGPD, LGPD, LGPD, LGPD, LGPD, LGPD

 

A LGPD tem sido discutida a muito tempo, e é um marco para a proteção de dados. O tema se tornou muito importante após os diversos escândalos de vazamento de dados dos últimos anos. Mas, se o problema é proteção de dados, o que o Compliance tem a ver com isso?

Duas coisas muito importantes tornam o Compliance o setor fundamental para a adequação da empresa à LGPD. O primeiro, é porque é dever do Compliance garantir que a empresa esteja de acordo com legislações referentes a ela. Por exemplo, precisa estabelecer processos e políticas para assegurar o cumprimento das leis no dia a dia.

Além disso, a LGPD é uma lei que, se não seguida à risco, pode acarretar danos imensos à reputação e imagem da empresa, além de multas pesadas. Isso é especialmente possível devido à grande publicidade e cobrança que têm vindo dos incidentes envolvendo dados de usuários.

Ou seja, o Compliance, afinal, tem o dever de garantir a segurança de dados de acordo com a LGPD da mesma forma que previne contra riscos derivados de outras legislações. Criando processos, políticas, documentos, programas de prevenção e gestão de riscos. E uma das recomendações mais importantes nesse processo é a nomeação de um Data Protection Officer (DPO).

O que é o Data Protection Officer (DPO)

O DPO é uma pessoa (ou empresa) nomeada pela pessoa jurídica que detêm os dados que precisam ser tratados (a controladora). Ele será o elo entre essa pessoa jurídica, os titulares dos dados (pessoas nominais aos quais os dados se referem) e a Autoridade Nacional de Proteção de Dados (ANPD), que ainda está em processo de elaboração.

É recomendado que seja uma pessoa ou área independente da empresa, ou até terceirizada. Assim, ela pode exercer suas atividades sem restrições e intermediações da empresa, já que nem sempre as medidas ou investigações serão em prol dos interesses imediatos da empresa.

Outra recomendação é que a identidade e informações de contato dessa pessoa, ou de um responsável pelo setor, estejam disponíveis. É preciso que funcionários, clientes e demais pessoas externas possam acessar o DPO para fazer questionamentos, tirar dúvidas e exigir seus direitos previstos na LGPD.

dpo e lgpd

O que faz o DPO

O Data Protection Officer deve ter conhecimentos não só sobre dados, mas de processos de Governança Corporativa. Ele deve ser o responsável por fazer fiscalização e governança de acordo com a LGPD, e orientar funcionários e terceiros da empresa em como proteger e manusear devidamente os dados que a empresa possui.

Além disso, deve estar pronto para receber reclamações e denúncias e responder questionamentos de pessoas sobre o uso de dados na empresa. Por fim, é também a pessoa responsável por dialogar com a Autoridade Nacional de Proteção de Dados e prestar qualquer esclarecimento a ela e outras agências reguladoras.

Minha empresa precisa de um DPO?

A adoção de um DPO não é obrigatória para todas as empresas. A LGPD especifica que empresas que detêm um volume alto de dados pessoais ou sensíveis (raça e etnia, convicção religiosa, opinião política, filiação sindical, dados de saúde, opção sexual, genético-biométrico, ou dados de crianças) precisam sim ter um profissional destinado à proteção dos dados.

No entanto, é recomendado que qualquer empresa que tenha recursos para investir em um DPO faça isso. É um sinal de compromisso com a ética e segurança, importante não só para a reputação da empresa, mas para a ANPD. Além disso, as empresas ao redor do mundo têm sofrido sanções pesadas em incidentes envolvendo dados. Por isso, tudo indica que a ANPD também fará uma fiscalização rigorosa.
1