Português
Your address will show here +12 34 56 78
Como fazer, Governança de Documentos, LGPD
Com a chegada da LGPD, já está mais do que na hora de dar o primeiro passo na adequação da empresa a essa lei, a atualização da política de compliance da empresa. É importante fazer uma revisão para garantir que o código de ética e outros documentos estejam adaptados à lei de proteção de dados pessoais.

A seguir vamos explicar o que é preciso para fazer uma política de compliance de privacidade de dados boa e sustentável.

Conheça o público

Essa etapa é extremamente importante por alguns motivos. Primeiro você deve se fazer essa pergunta: Essa política será para o público interno ou externo? Ou seja, serão funcionários da empresa que vão ler e aceitar, ou serão titulares de dados, cujos dados são tratados pela sua empresa?

Nós vamos explicar como fazer a melhor política interna de privacidade de dados. Para ela, é também importante mapear outras características do público, como:

  • Faixa etária
  • Acesso à internet e plataformas digitais
  • Níveis de escolaridade

Esses indicadores vão te ajudar a entender que tipo de linguagem usar na política, onde deixá-la disponível para consulta, e mais. É importante lembrar que a LGPD detalha a importância da política de compliance ser compreensível e a fácil acesso. Para isso, a ANPD vai considerar a coerência dos meios com o público-alvo.

Por exemplo, se grande parte do corpo de funcionários da empresa não tiver acesso à internet ou não tiver fluência digital, não faz sentido disponibilizar a política em um meio digital. Pode ser impressa e entregue pessoalmente, colado em painéis, etc.

Mapeie os dados tratados

Outro tópico muito importante que a lei geral de dados pessoais brasileira especifica é a importância de deixar claro os dados que podem ser tratados, de que forma, e com que finalidade.

Para poder avisar aos seus funcionários o que eles podem ou não podem fazer, primeiro será preciso mapear quais as necessidades da empresa em relação à coleta e ao tratamento dos dados. Existem relatórios, como o ROPA e RIPD que são feitos pelo compliance e detalham essas informações.

Tendo tudo isso claro antes de criar a política ajuda a deixar os cenários da política de privacidade de dados coerentes com a realidade da sua empresa. Com isso, os funcionários conseguem aplicar suas diretrizes no dia a dia.

Hospedagem acessível

A hospedagem ideal depende muito do tipo de trabalho que os funcionários na sua empresa realizam e a quais os meios eles têm acesso no dia a dia. No entanto, quando o assunto é o acesso a dados e a proteção desses, é provável que estejamos falando da área administrativa.

Essa área costuma trabalhar no computador e a utilizar e-mail corporativo, ter acesso a softwares, etc. Por isso, é possível utilizar de meios digitais para hospedar a política. Isso tem alguns pontos positivos:

  • Facilidade de acesso à política
  • Possibilidade de controle de aceites
  • Facilidade de divulgação
  • Possibilidade de coleta de outros indicadores sobre a política
  • Registro digital da existência, leitura e aceite da política
  • Versionamento e controle de revisões/versões

Isso é sem dúvidas um ponto positivo para a sua empresa caso ela seja investigada. É fácil mostrar que funcionários têm fácil acesso às regras da empresa sobre como tratar dados, além de mostrar indicadores.

Incluir tópico sobre home office

Com a adoção cada vez maior do home office, o controle do acesso a dados é um pouco diferente do que quando toda a empresa acessa um servidor físico. Por isso, as novas regras e boas práticas da empresa para o home office devem ser detalhados em um tópico (ou política, dependendo da necessidade) específico.

Versionamento

Quando o assunto é dados, os procedimentos são complexos, devem ser constantemente atualizados e ainda por cima devem acompanhar as mudanças na legislação. Como a legislação brasileira ainda não é madura, é provável que aconteçam mudanças de acordo com o cenário nacional e internacional.

Para evitar constantes revisões, recomendamos fazer suas políticas de compliance de acordo com as legislações mais completas. No caso da proteção de dados, é a GDPR. No entanto, com ferramentas e softwares, você pode registrar e automatizar a coleta de aceites de versões e revisões da mesma política.

Com o clickCompliance, por exemplo, é só configurar o público-alvo da política, de acordo com os grupos já existentes no seu Office 365 ou Gsuite. A política é enviada para aceite, e quando é revisada mantém o registro da versão antiga após automaticamente solicitar o aceite da versão nova a todo o público-alvo.


 
0

Canal de Denúncias, Governança de Documentos, LGPD, Programa de Integridade, Treinamento de Compliance
O compliance jurídico pode parecer um setor burocrático e enrijecido por muitos, mas quem trabalha na área sabe que é na verdade um centro de estratégias para a empresa.

É ligada à governança corporativa, responsável pela tomada de algumas das decisões mais importantes da empresa.

Além disso, é um centro de estratégia financeira, ajudando a encontrar formas de diminuir gastos através do compliance tributário, por exemplo.

Por isso, como qualquer outro setor estratégico das empresas, o compliance também pode aproveitar os dados para direcionar seus processos e decisões, como vamos mostrar ao longo do artigo.

Que tipo de dados posso recolher?

Existe uma infinidade de dados que você pode recolher dependendo dos seus processos, sua equipe e as necessidades específicas da sua empresa. Uma parte importante desse processo é lembrar que é preciso confirmar se as fontes são sempre atualizadas.

Alguns exemplos importantes e que podem ser úteis são:

  • Dados demográficos
  • Funcionários ativos
  • Políticas aceitas
  • Documentos na validade
  • Denúncias por classificação
  • Progresso de treinamentos
  • Treinamentos realizados
  • Taxa de respostas em formulários
  • Taxa de acertos em treinamentos

Além de recolher esses, e muito mais dados, você deve buscar ter segmentações, como gerência, área, departamento, filial, etc. Assim, é possível fazer análises mais detalhadas e identificar problemas com mais precisão.

Como coletar dados

Depois de decidir quais dados são mais importantes para a sua estratégia, você deve procurar as formas de coletar os dados. Seguem algumas das formas principais.

  • Pesquisas

O departamento de compliance jurídico pode enviar pesquisas para os funcionários, ou trabalhar junto com o RH, por exemplo, para fazer essas pesquisas.

  • Denúncias

As denúncias no canal de denúncias são uma fonte poderosa de informações sobre a qualidade do seu programa de compliance. No próximo tópico vamos desenvolver as possibilidades desse tipo de dado.

  • Sistemas de compliance

Se a sua empresa adotar algum tipo de ferramenta para o compliance, ela vai fornecer muitos dados sobre o uso do sistema e suas aplicações. Além disso, é a garantia de gráficos e relatórios mais mastigados e de fácil visualização.

  • Planilhas

É possível fazer planilhas manualmente, se as operações do compliance jurídico forem menores. Por exemplo, dados sobre quantidade de políticas aceitas e funcionários treinados podem ser inseridos em planilhas do excel para análise.

  • Outros setores

O compliance deve buscar sempre a interação com outros setores, inclusive na busca por dados. A TI possui dados importantes sobre o comportamento digital dos funcionários, por exemplo, e dados demográficos podem ser encontrados com o RH.

Exemplos de uso de dados

Seguem alguns exemplos de como o compliance pode aproveitar os dados coletados para potencializar seus processos.

  • Descobrir falhas na gerência de áreas

A cultura ética não pode, nem deve vir somente do setor de compliance jurídico. Ao analisar dados como políticas aceitas ou treinamentos realizados por área ou gerência, você pode acabar descobrindo algum setor que está para trás.

Isso pode significar que o gerente ou superior não está transmitindo a devida importância do compliance para seus funcionários, nem cobrando que eles cumpram rapidamente as exigências do compliance.

  • Descobrir falhas na comunicação interna

O mesmo pode acabar acontecendo com a comunicação da empresa como um todo. Se os níveis de cumprimento e participação com as demandas do compliance estão baixos em geral, o compliance pode tomar algumas ações.

Por exemplo, isso pode ser um sinal de baixo envolvimento da alta direção. Realizar uma série de vídeos com diretores sobre a ética pode estimular demais funcionários a valorizarem essa cultura e a realizarem as atividades do compliance.

  • Controlar a validade de documentos

Documentos de compliance, como formulários e políticas, precisam ser revisados com determinada frequência para que estejam sempre atualizados. Com o acesso a dados sobre esses documentos, datas, mudanças legislativas, etc. é possível acompanhar essa validade com mais precisão.

  • Direcionar estratégias a áreas problemáticas

Como explicamos, alguns dos dados mais valiosos da empresa vêm do canal de denúncias. Se forem bem coletados, você pode ver a quantidade de denúncia por tipo, por exemplo (assédio, corrupção, fraude, furto, etc.).

Se a empresa tiver muito mais denúncia de assédio moral, por exemplo, claramente a empresa está falhando na educação sobre o tema. Treinamentos, políticas, campanhas e atividades podem ser feitos sobre o tema.

  • Identificar problemas reincidentes

Essa mesma estratégia pode ser usada para identificar problemas ou personagens reincidentes. Por exemplo, se uma mesma pessoa for denunciada mais de uma vez, já é mais um identificador de que a denúncia provavelmente é verdadeira, facilitando o processo de investigação.

Como proteger os dados

Por último, é extremamente importante lembrar que, com a chegada da LGPD, continua sendo importante usar dados para aprimorar estratégias da empresa, mas cuidados devem ser tomados.

Ao lidar com informações pessoais ou sensíveis, é importante ter formas de anonimizar esses dados, por exemplo, desde que não prejudique a análise. Se for necessário deixar os dados pessoais, é imprescindível ter o tratamento bem documentado no ROPA e RIPD.

Também é possível implementar um anonimizador no seu canal de denúncias, que substitui as informações pessoais da denúncia por um código. Outra dica é criar níveis de acesso. Assim, somente pessoas que realmente precisam ver essas informações conseguem.
0

Como fazer, LGPD
A LGPD já é uma das mais importantes legislações brasileiras, mesmo com sua entrada em vigor prorrogada. Ela não só vai afetar quase todas as empresas, como também vai demandar uma mudança enorme nos processos das empresas. Por isso, é importante já começar a planejar como o compliance vai implementar a LGPD na prática.

Quando a entrada em vigor da lei ainda estava planejada para daqui a poucos meses, o mercado já apontava uma séria deficiência nos preparativos das empresas para estar em conformidade com a LGPD.

De acordo com uma pesquisa da Associação Brasileira das Empresas de Software (ABES) em parceria com a EY, apenas 38% das empresas estão de acordo com as exigências da lei.

Inclusive, a falta de preparação é tão assustadora que foi um dos argumentos para o adiamento da entrada em vigor antes da pandemia do Coronavírus.

O grande medo agora é que as empresas cometam o mesmo erro e pensem na prorrogação da LGPD como um motivo para prorrogar colocar medidas para estar em compliance com a LGPD na prática.

Mas começar a se adequar à nova lei pode acontecer gradualmente, começando por alguns passos cruciais que vão construir uma base para que seja mais fácil adotar outras medidas de proteção de dados no futuro. Continue lendo para entender esses passos mais importantes.

Escolher um DPO

O Data Protection Officer (DPO) é uma ótima forma de começar porque é um profissional especializado no assunto. Esse profissional trabalha junto com o compliance para construir um diálogo entre os titulares dos dados, o compliance e autoridades nacionais.

Devido ao profundo conhecimento do tema e das necessidades da empresa de acordo com a lei, a seleção desse profissional é um bom primeiro passo na adequação à LGPD na prática.

No entanto, é importante lembrar que esse profissional só é obrigatório em empresas grandes ou com grande quantidade de dados pessoais. São essas que têm processos de tratamento e proteção de dados mais complexos.

Empresas menores normalmente não precisam investir nesse profissional, porque é possível fazer os seus processos dentro do próprio compliance e com os profissionais de T.I.

Fazer relatórios de impacto e mapeamento

Fazer relatórios de impacto e de mapeamento são umas das tarefas básicas mais trabalhosas. No entanto, são extremamente básicos e importantes para a adequação à LGPD. O lado bom é que esses relatórios são basicamente mapeamentos de riscos, uma ferramenta bem conhecida dos profissionais de compliance.

Existem dois relatórios mais importantes que são citados na LGPD e na GDPR. São o ROPA e o RIPD.

Record of Processing Activities ou Registro de operações (ROPA): Esse relatório é um registro de todos os detalhes mais importantes do tratamento de dados na empresa. Exige pesquisa extensiva do tratamento de diferentes dados em diferentes setores.

Alguns exemplos de dados (que podem variar de acordo com a empresa) são:

  • Quem trata os dados
  • Quais ferramentas são usadas no tratamento
  • Com que frequência os dados são tratados
  • Para quais finalidades os dados pessoais são tratados

Relatório de impacto à proteção de dados pessoais ou Data Protection Impact Assessment (RIPD/DPIA): Esse relatório é parecido com o ROPA, mas é um pouco mais elaborado. Nele o compliance deve focar em riscos presentes no tratamento.

Ao mapear esses riscos, esse relatório também deve apresentar os meios empregados pela empresa para minimizar esses riscos e dar justificativas para a coleta e o tratamento dos dados pessoais.

Alguns exemplos de tópicos nesse relatório são:

  • O motivo da coleta desses dados sensíveis
  • Como os dados serão tratados (no mesmo modelo do ROPA)
  • Explicar por que esse tratamento é compatível com o motivo da coleta
  • As medidas e os processos da empresa para redução e mitigação dos riscos
  • As medidas colocadas em prática de proteção de dados

Fazer esses relatórios pode não parecer muito “básico” devido ao trabalho necessário para fazer a pesquisa e montar o documento. No entanto, não é muito diferente do mapeamento de riscos que o compliance já deveria estar fazendo em outros setores.

Além disso, se feito de início e corretamente, vai direcionar com muito mais facilidade e organização as próximas atividades do compliance quanto à proteção de dados, tornando o trabalho do compliance mais tranquilo a longo prazo.

Fazer a anonimização de dados

Os dados que empresas coletam são certamente um ativo muito valioso, e realmente ajudam a tornar experiências de usuários melhores e a tomar importantes decisões estratégicas na empresa.

Porém, muitas vezes supervalorizamos a importância de termos dados pessoais, ou seja, que identificam o titular do dado. São esses os que a LGPD regulamenta e que ferem a privacidade de cidadãos.

Se for realmente importante tratar dados pessoais, as justificativas podem ser explicadas no ROPA, por exemplo. Mas e se não houver uma boa justificativa? E se o dado pessoal não for necessário para o tratamento que você quer fazer?

Um bom exemplo disso são denúncias em um canal de denúncias. Dados que possam identificar pessoas não só não são necessários para a investigação da denúncia, como um risco para a objetividade do processo de investigação.

Como fazer a anonimização?

A solução para isso são as ferramentas de anonimização. Esse processo oculta de algum texto os dados pessoais, como nomes, endereços e outros. A recomendação é integrar uma ferramenta dessas, como o SafeText, com os pontos de entrada dos dados.

Assim, a empresa não terá nem que começar a manusear dados pessoais, e por isso também não terá que aplicar diversos procedimentos de proteção de dados como os recomendados pela LGPD.

Essa é uma forma simples de implementar a LGPD na prática, e que vai diminuir muito o tempo desperdiçado em procedimentos e justificativas para o tratamento de dados que nem precisavam ser pessoais.
0

Canal de Denúncias, LGPD
Uma das preocupações principais do compliance officer e do compliance trabalhista hoje em dia são os dados pessoais e a LGPD. Isso porque todo o ambiente digital, e o maior ativos que empresas buscavam e exploravam até hoje eram esses dados pessoais sensíveis de usuários.

Agora que legislações novas como a LGPD e GDPR têm surgido, as empresas precisam descobrir como proteger os dados pessoais com os quais ela lida e pode ter acesso o tempo todo.

Com isso, surgem dois conceitos importantes: dados pessoais e dados anônimos. Entender a diferença, saber como identificar e saber tratar cada um desses é a chave para conseguir fazer a devida proteção deles e proteger sua empresa das consequências do mal uso de dados pessoais.

O que são dados pessoais e dados anônimos

Para entendermos como tratar, primeiro temos que saber como identificar esses dados. De acordo com a LGPD as definições para cada tipo são:

  • Dado pessoal: Informação relacionada à uma pessoa natural identificada ou identificável;
  • Dado pessoal sensível: Raça e etnia, convicção religiosa, opinião política, filiação sindical, dados de saúde, opção sexual, genético-biométrico ou dados de crianças;
  • Dado anonimizado: Aquele cujo titular não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Por que anonimizar dados sensíveis?

Para o compliance, existem dois grandes motivos para anonimizar dados. O primeiro é o canal de denúncias, e o segundo é a LGPD.

Canal de denúncias

O canal de denúncias é um dos primeiros pilares do programa de compliance. É ele que permite que funcionários participem da luta contra a corrupção na empresa, e ainda aumentam muito a probabilidade de encontrar e resolver prática ilegais ou antiéticas.

No entanto, as denúncias costumam conter uma grande quantidade de dados pessoais, o que pode levar a algumas situações desfavoráveis, como:

  • Possibilidade de identificação do denunciante;
  • Possibilidade de identificação de denunciados;
  • Denúncia de alguém que terá contato com a denúncia e/ou interferência ou exclusão da denúncia;
  • Impossibilidade de compartilhamento da denúncia com outras equipes para investigação; etc.

Esses e muitos outros problemas podem ser resolvidos facilmente com a adoção de um canal de denúncias terceirizado. No entanto, essas soluções não são possíveis para qualquer empresa, devido à grande estrutura e consequente alto custo.

LGPD

O segundo motivo importante para o compliance buscar proteger dados pessoais é a LGPD. A lei se aplica à proteção de dados pessoais e dados sensíveis. Ou seja, apenas os dados que permitem a identificação do titular do dado.

Se você tiver alguma forma de anonimizar os dados utilizados na empresa, não é necessário extinguir todos os processos que envolvem esses dados.

Afinal, os dados continuam sendo muito valiosos para conseguir fazer uma boa gestão nas empresas. Ajudam a ter insights, entender melhor as operações e criar novos processos e estratégias fundadas em dados concretos.

Como fazer a proteção de dados pessoais?

Em um outro blogpost, explicamos 7 importantes passos para conseguir fazer a proteção de dados pessoais na prática. São eles:

  • Mapear entrada e saída de dados pessoais
  • Mapear o tratamento dos dados e os riscos
  • Categorizar os dados tratados pela empresa
  • Elaborar o relatório de impacto
  • Criar políticas corporativas sobre proteção de dados
  • Fazer treinamentos sobre proteção de dados
  • Exigir compliance de dados de terceiros

Além disso, é preciso investir em alguma ferramenta para anonimização de dados pessoais. Pode ser que existam outras ferramentas. No entanto, aqui no clickCompliance vamos sugerir o SafeText.

É uma ferramenta gratuita que usa a inteligência artificial para identificar dados pessoais e substituí-los por um código. Você inclusive pode baixar uma tabela de correspondência para poder desfazer a anonimização, se quiser (é importante lembrar que, de acordo com a LGPD, quando houver a possibilidade de reverter o processo, se trata de pseudoanonimização e não anonimização).

O login é feito através de uma conta corporativa do Office 365 (e-mail e senha corporativa do Outlook), e já estamos trabalhando para conseguir o acesso para outras plataformas.

Além disso, o anonimizador já pode ser integrado com o nosso módulo de canal de denúncias. Por enquanto, outras integrações úteis para a sua empresa podem ser feitas sob demanda.



0

Fique por Dentro, LGPD
O privacy by design é um conceito que começou a aparecer bastante recentemente, inclusive no compliance. Apesar de ser originalmente pensado para setores da tecnologia, se tornou muito importante para quem trabalha com regulamentação.

Isso porque a General Data Protection Regulation (GDPR), que originou a LGPD, menciona a estratégia nominalmente e explica a importância dela para a proteção de dados pessoais.

O que é privacy by design?

O privacy by design é uma abordagem à engenharia de sistemas que, basicamente, diz que um produto ou sistema precisa ser pensado para proteger os dados dos usuários desde sua concepção.

Ou seja, o sistema teria que ser criado já pensando em salvaguardas e funcionalidades para proteger os dados.

Para que isso seja feito de forma padronizada e para guiar os engenheiros de sistemas, existem os pilares do privacy by design:

  • Proativo não reativo; preventiva não corretiva: No privacy by design, não existe a reação a problemas de privacidade e sim a antecipação dos problemas. Também conta com monitoração para identificar riscos e constantemente criar soluções antecipadamente;
  • Privacidade incorporada ao design: O usuário terá o controle para alterar as configurações padrão e optar por fornecer ou não seus dados sem perder o acesso ao produto ou serviço;
  • Funcionalidade completa: O produto ou serviço deve ser plenamente utilizável se o usuário não alterar as configurações de privacidade. Não pode haver vantagem ao usuário caso altere a configuração de privacidade.
  • Segurança de ponta a ponta: Quando o usuário autorizar a coleta de algum dado, o tratamento deve ser de forma segura durante todo o ciclo de vida do dado;
  • Visibilidade e transparência: O produto ou sistema precisa, obrigatoriamente, ser facilmente auditável por terceiros, como organizações de fiscalização. É preciso que a empresa tenha forma de apresentar evidências de seus esforços em proteger os dados pessoais;
  • Respeito pela privacidade do usuário: Devem ser estabelecidas diretrizes de segurança da informação que assegurem: confidencialidade, integridade e disponibilidade dos dados e informações durante todo o ciclo de vida;
  • Privacidade como configuração padrão (Privacy by Default): Essa é uma garantia dentro do desenho da privacidade.

O que tem a ver com a LGPD?

O privacy by design tem a ver com a LGPD porque tem a ver com a GDPR. Na lei brasileira, não é citado o conceito nominalmente, mas as referências diretas aos princípios são perceptíveis.

Já na lei europeia, no Artigo 25 intitulado “Data protection by design and by default” é dito que:

“O controlador deve, tanto no momento da determinação dos meios de processamento quanto no próprio processamento, implementar medidas técnicas e organizacionais apropriadas […] para implementar princípios de proteção de dados […] de maneira eficaz e integrar as salvaguardas necessárias ao processamento”.

Ou seja, mesmo que não dito explicitamente na nossa lei, fica bem detalhado os processos e princípios como obrigação das empresas.

Além disso, como a GDPR é mais abrangente, é uma boa prática se basear principalmente nela para implantação de programas de compliance de privacidade de dados.

No entanto, é importante lembrar que a LGPD tem suas particularidades, e empresas precisam conhecer bem ela também.

Qual o dever do profissional de compliance?

Por enquanto, o que vimos é principalmente relacionada à concepção de produtos e sistemas. Por exemplo, que o sistema da empresa apague completamente dados automaticamente, encerrando seu ciclo de vida.

O que ainda acontece em muitos casos é que os dados são armazenados pela empresa após o tratamento inicial. Podem até chegar a serem utilizados novamente para outro fim no futuro.

Com as novas leis isso é ilegal, visto que o titular precisa autorizar os diferentes fins que terão esses dados.

Mas o profissional de compliance ainda terá muito trabalho, não só os profissionais de TI. São 4 principais funções para o compliance com a LGPD e o privacy by design:

  • Guiar a empresa com seu conhecimento sobre as leis
  • Comunicar sobre o tema
  • Monitoramento
  • Produzir evidências

Guiar a empresa com seu conhecimento sobre as leis

Primeiramente, nenhum funcionário deverá conhecer melhor as leis sobre privacidade de dados que o profissional de compliance.

Esse conhecimento profundo sobre o que a empresa precisa e pode fazer é o que servirá para guiar os outros setores a implementarem seus processos.

Por isso, uma função do compliance será acompanhar de perto a implementação de todas as normas previstas nas leis sobre proteção de dados com a ajuda do DPO.

Comunicar sobre o tema

Outra atribuição do profissional de compliance sobre privacy by design é assegurar que o conceito esteja bem comunicado dentro da empresa. Isso inclui campanhas internas, como também treinamentos periódicos e políticas e processos bem compreendidos pelos funcionários.

Monitoramento

Outra responsabilidade do compliance é fazer o monitoramento desses processos e das campanhas implementadas. Isso também pode ser feito com o acompanhamento do DPO, dependendo da empresa.

Produzir evidências

A última responsabilidade do compliance é produzir evidências do seu programa de compliance de dados. Ou seja, estar preparado para mostrar a autoridades fiscalizadores os dados que mostram que a empresa tem se esforçado para estar em compliance.

Em ambas as leis (LGPD e GDPR) e nos princípios do privacy by design é deixado explícito que é dever da empresa fornecer dados que comprovem seus esforços em mitigar os riscos relacionados à privacidade de dados.
0

LGPD
Todo mundo fala muito sobre proteção de dados pessoais e como é importante com a LGPD. No entanto, às vezes ainda ficamos com dúvidas sobre coisas que o compliance pode fazer na prática.

O conceito de proteção de dados, a Lei e a de repente necessidade de implementação deixou pouco tempo para pesquisa e elaboração de uma estratégia. Por isso, listamos abaixo algumas práticas reais e de fácil implementação que o compliance pode realizar.

1. Mapear entrada e saída de dados pessoais

Um exercício importante para o profissional de compliance entender melhor a parte técnica da proteção de dados, e ainda criar uma estratégia para o compliance, é mapear a entrada e saída de dados pessoais da empresa.

Isso significa documentar todos os pontos em que dados entram, como por exemplo:

  • Inscrições em campanhas de marketing
  • Coleta de cookies no site da empresa
  • Coleta de informações sobre clientes
  • Pesquisas de mercado

Além disso, é preciso mapear os pontos de saída, como por exemplo:

  • Compartilhamento com distribuidores (endereços, telefone, etc.)
  • Transferência internacional
  • Inserção em ferramentas terceirizadas*

*O clickCompliance, por exemplo, está desenvolvendo uma ferramenta de anonimização de dados. No entanto, deixamos claro que ninguém da nossa equipe tem qualquer contato com os dados, nem os armazenamos. É importante checar se as suas ferramentas também fazem isso.

É claro que as entradas e saídas podem ser infinitas, depende da atuação da empresa. Por isso, não se atenha a esses exemplos.

2. Mapear o tratamento dos dados e os riscos

O próximo passo é pegar esses dados e mapear como eles são tratados entre a entrada e a saída. Você terá que conversar com as diversas áreas envolvidas nesse tratamento, mesmo que seja com um terceiro.

Esse relatório também é conhecido como o ROPA (Record of Processing Activities ou Registro de operações).

Aqui, você deve documentar, por exemplo:

  • Quem trata os dados (a área, e até a pessoa ou função específica)
  • Quais ferramentas são usadas no tratamento
  • Com que frequência os dados são tratados
  • Para quais finalidades os dados pessoais são tratados

Lembre-se de que esses são alguns exemplos, mas o tratamento varia muito de empresa para empresa. Procure saber em detalhes como funciona na sua.

3. Categorizar os dados tratados pela empresa

Agora, chegou a hora de categorizar os dados que são tratados. Isso é importante porque você vai entender quais precisam de mais cuidado e vai ajudar na hora de criar políticas, criar o relatório de impacto, etc.

Alguns exemplos de categorizações são:

  • Pessoais
  • Sensíveis
  • Anonimizados
  • Diretos
  • Indiretos
  • De criança ou adolescente


4. Elaborar o relatório de impacto

O relatório de impacto à proteção de dados pessoais (RIPD) ou Data Protection Impact Assessment (DPIA) é um documento feito sobre dados considerados de risco. Por isso é importante fazer a categorização na etapa anterior.

Esse relatório deve conter:

  • O motivo da coleta desses dados sensíveis
  • Como os dados serão tratados (no mesmo modelo do ROPA)
  • Explicar porque esse tratamento é compatível com o motivo da coleta
  • As medidas e os processos da empresa para redução e mitigação dos riscos
  • As medidas colocadas em prática de proteção de dados

5. Criar políticas corporativas sobre proteção de dados

Depois de tudo isso, é o momento da criação de políticas corporativas sobre proteção de dados pessoais. Ou seja, esses documentos vão especificar a visão da empresa e as exigências dela em relação a dados pessoais.

Elas serão referentes às áreas que foram estabelecidas no início do mapeamento. Ou seja, aquelas que fazem coleta, distribuição ou tratamento de dados considerados de risco.

Essas políticas devem ser feitas de forma clara e direta, apresentando exatamente qual o procedimento para se lidar com os dados para cada área.

Detalhe o que pode ser feito, o que não pode ser feito, outros documentos que precisam ser preenchidos na hora do registro ou tratamento de dados, etc.

Depois, é preciso distribuir essas políticas para aprovação de toda a hierarquia competente, e depois as áreas e pessoas que precisam ler e aceitar.

6. Fazer treinamentos sobre proteção de dados

Um bom complemento para essas políticas é fazer treinamentos de compliance que explicam de forma mais didática o que está nas políticas.

Ou seja, explique de forma mais completa e explicada, dando exemplos práticos, de como seguir os processos da empresa na hora de lidar com dados.

Esses treinamentos podem ser gerais, como para evitar vazamento de dados, ou específicos, como para o departamento de marketing e o que não pode mais com a LGPD.

Procure aplicar algumas boas práticas nesses treinamentos:

  • Usar exemplos e situações reais
  • Fazer treinamentos periodicamente para estarem atualizados
  • Use conteúdos multimídia para manter funcionários engajados
  • Tenha relatórios de presença, desempenho, e outros do treinamento

7. Exigir compliance de dados de terceiros

A sua empresa pode ter a melhor estratégia proteção de dados pessoais. No entanto, de nada adianta se os seus terceiros não estiverem em conformidade também, já que sua empresa pode ser responsabilizada por ações deles também.

Por isso, é preciso solicitar aos terceiros esses mesmos documentos e relatórios detalhados anteriormente. Além disso, inclua terceiros nos treinamentos sobre a proteção de dados na sua empresa.

Além disso, faça políticas direcionadas especificamente para terceiros. Deixe claro o que a sua empresa espera desses terceiros em todos os aspectos da proteção de dados.
0