proteção de dados - Página 2 de 3 - clickCompliance
×

Preencha o formulário para iniciar o atendimento!

Your address will show here +12 34 56 78
Português

Canal de Denúncias, Governança de Documentos, Governança de Documentos, Legislação

O Que o Compliance Tem a Ver Com a LGPD

By on

23/09/2021

- Canal de Denúncias, Governança de Documentos, Governança de Documentos, Legislação

O aumento das interações no ambiente on-line evidenciou a necessidade de segurança dos dados pessoais. Redes sociais, aplicativos e sites recebem diariamente um grande volume de informações de seus usuários.

O tratamento inadequado pode implicar no vazamento deste tipo de conteúdo, trazendo riscos para as pessoas e perda de credibilidade para as empresas.

Neste contexto, o Brasil instituiu a lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), que “dispõe sobre o tratamento dos dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”, como informa o texto da legislação.

Desta forma, as empresas precisam comprovar o comprometimento com a segurança e a integridade dos dados de clientes, funcionários e parceiros. Essas informações podem constar em cadastros, mailings, pesquisas, relatórios, contratos e outros meios.

Entendendo a relação entre LGPD e compliance

A LGPD é apontada por especialistas como um marco para o desenvolvimento de uma nova cultura nas organizações, pautada na segurança digital.

Considerando que o trabalho do compliance consiste em garantir que as empresas estejam em conformidade com as leis e regulamentações vigentes, ambos estão diretamente relacionados.

Estar em compliance com a LGPD significa adequar a rotina e os processos ao texto da lei e, assim, inserir a empresa nessa nova cultura organizacional. Essa adequação garante maior segurança aos clientes, funcionários e parceiros, além de benefícios para as empresas, como veremos adiante.

O que diz a LGPD

A LGPD é dividida em dez capítulos e 65 artigos. O texto tem entre seus principais fundamentos o respeito à privacidade; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico, tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania.

Dentre as suas determinações, está a obrigatoriedade da criação de um programa de governança em privacidade. Mas não basta apenas instituí-lo, é preciso comprovar o comprometimento com boas práticas para o tratamento e a segurança de dados pessoais. 

Além disso, o texto pontua que a Autoridade Nacional de Proteção de Dados (ANPD) e outras entidades podem solicitar essas comprovações quando acharem necessário. Este é um dos apontamentos da legislação que mostra a necessidade de esse trabalho ser contínuo e eficiente.

Ainda nesse mesmo sentido, outro aspecto descrito na lei é a determinação de que o programa de governança em privacidade seja atualizado frequentemente a partir das informações obtidas pelo trabalho de monitoramento e avaliação periódica das ações estabelecidas dentro da empresa.

Como estar em conformidade com a LGPD

A adequação à LGPD ainda tem desafiado muitas empresas, afinal, trata-se de uma legislação recente. Sancionada em agosto de 2018, ela entrou em vigor dois anos depois, em agosto de 2020. No entanto, as multas e sanções passaram a ser aplicadas desde o dia 1º de agosto de 2021. Veja como se adaptar:

  • Faça um mapeamento dos fluxos de dados: identifique as operações internas que estão relacionadas à captação e ao tratamento de dados pessoais de clientes, funcionários e parceiros.
  • Organize os dados que foram levantados: após mapear as operações que envolvem dados pessoais, é preciso analisar esse material e classificá-lo de acordo com a relevância e a finalidade. Aproveite para eliminar informações duplicadas, inválidas ou que não são usadas pela empresa.
  • Tenha políticas de proteção: para estar de acordo com a LGPD, também é imprescindível que a empresa estabeleça políticas de proteção de dados pessoais para manter as informações seguras. Essas diretrizes devem ser informadas tanto para o público interno (funcionários) quanto para o externo (clientes e parceiros).
  • Revise os termos e políticas: caso a empresa tenha elaborado termos de uso, políticas de privacidade e contratos antes da LGPD, será necessário revisar esse material para adaptá-lo às novas regras.
  • Envolva a equipe: para uma empresa estar em compliance com uma determinada legislação, é preciso que todos os funcionários sigam as diretrizes criadas. Divulgue as informações sobre a LGPD e as ações da empresa para se adequar à lei nos canais de comunicação interno e realize treinamentos que permitam fixar essas regras e engajar os profissionais.
  • Escolha as ferramentas corretas: verifique se as ferramentas que a empresa dispõe para o tratamento de dados pessoais estão em conformidade com a LGPD. Há muitas soluções tecnológicas disponíveis que podem ajudar nessa adaptação. Uma recomendação é a implantação de um canal de denúncias, mecanismo que contribui para identificar, investigar e combater possíveis irregularidades.
  • Faça monitoramentos periódicos: o trabalho do compliance é contínuo, feito no dia a dia da empresa. Por isso, é fundamental acompanhar o andamento das ações que foram implantadas. Isso, inclusive, é uma exigência da LGPD.
  • Lembre-se de comprovar as boas práticas: adote ferramentas que possibilitem o registro das ações internas que foram criadas, do repasse das informações aos funcionários e do trabalho de avaliação periódica.

Vantagens de adaptar-se à LGPD

Adequar a rotina e os processos à LGPD garante muitos benefícios para a empresa. O primeiro deles é a segurança jurídica de estar em conformidade com a lei. Outro aspecto positivo é evitar sanções e o prejuízo financeiro. A multa pelo descumprimento da legislação pode chegar a R$ 50 milhões.

Outra vantagem é o fortalecimento da credibilidade no mercado, uma vez que estar de acordo com a lei oferece maior segurança para clientes, funcionários e parceiros. Os casos de vazamentos de dados pessoais são responsáveis por danos à imagem e à reputação de empresas.

Todas as empresas, independente do porte ou do setor de atuação, devem estar em conformidade com a LGPD. Em caso de dúvidas, busque auxílio de profissionais que possam orientar sobre a adequação prática aos termos da lei. 

O clickCompliance é um software de compliance que realiza a gestão do programa de integridade por meio da gestão e automação de processos. A ferramenta possui várias funções que contribuem para o atendimento à LGPD.

Para mais informações, entre em contato com a gente!
0

Como Atua e se Qualifica um DPO?

By on

17/06/2021

-

Você já ouviu falar em DPO? A sigla significa Data Protection Officer e pode ser traduzida para Profissional de Proteção de Dados. É uma profissão criada recentemente e que vem ganhando destaque no mercado.

O DPO é o responsável por proteger as informações das empresas, função ainda mais necessária após a implementação Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018).

A LGPD obriga as empresas a criarem mecanismos de proteção de dados pessoais que são coletados e mantidos por elas, independentemente de seu ramo de atuação. O objetivo é garantir mais privacidade das informações pessoais que circulam na Internet, indo ao encontro dos direitos fundamentais de liberdade. 

Quando falamos em proteção de dados, imagine as seguintes situações: você começa a receber e-mails, SMS e ligações de empresas com as quais nunca se relacionou. Ou, no pior dos casos, seu nome, seu CPF e até o seu salário podem ser consultados por qualquer pessoa na internet.

Para evitar problemas como esse, a LGPD está sendo implementada. E, neste processo, entra o profissional de DPO. Ele é contratado pelas empresas para garantir que os dados não sejam vazados e a lei não seja infringida.

Um dos mecanismos para evitar problemas relacionados ao uso de dados é informar aos funcionários e aos clientes de uma empresa sobre a finalidade da coleta daquele dado. Essa ação é definida como “manifestação do consentimento”.

Ou seja, a pessoa precisa saber para quê está informando seu nome, e-mail ou telefone, por exemplo. Neste ponto, vale ressaltar que é proibido o armazenamento de informações que não sejam compatíveis com o motivo previamente informado. Os dados também não devem ser usados para outros fins diferentes do que foi divulgado.

A LGPD, no entanto, não se aplica a dados corporativos e de negócios; a dados para fins particulares e não econômicos; e a dados para fins jornalísticos, artísticos, acadêmicos, penais, investigativos e de segurança pública.

Quais profissionais podem exercer o cargo de DPO?

O DPO é uma pessoa nomeada pela empresa que tem acesso aos dados que serão protegidos. Tal função pode ser exercida por alguma prestadora de serviços especializada, mas em geral, o cargo é ocupado por um colaborador da empresa.

Esse funcionário será o elo entre a organização, as pessoas às quais os dados pertencem e ao órgão regulador, que é a Autoridade Nacional de Proteção de Dados (ANPD).

O Data Protection Officer é o profissional que precisa não só ter conhecimentos sobre dados, como também sobre processos de Governança Corporativa, já que ele deve ser o responsável por fazer a fiscalização e a governança conforme a Lei Geral de Proteção de Dados.

Cabe ao DPO, ainda, orientar funcionários e terceirizados da empresa sobre a forma como os dados devem ser manuseados e protegidos, assim como atender demandas de clientes e fornecedores que surjam a respeito do tema.

Além disso, esse profissional precisa estar preparado para ouvir e atender queixas, denúncias e reclamações, de modo a responder questionamentos sobre o uso de dados na empresa.

E quais as qualificações necessárias para o profissional que assume esse cargo? É recomendado que seja alguém com formação jurídica e com conhecimento em segurança de informação e privacidade.

Por isso, advogados e profissionais de TI comumente se qualificam para a função. Em geral, especialistas nas duas áreas largam em vantagem na hora da disputa pela vaga.

O artigo 38 da LGPD estabelece que o DPO precisa estar envolvido com a proteção de dados em todas as áreas e contar com apoio dos seus superiores para que as suas funções possam ser desempenhadas de maneira correta e assertiva.

A legislação ainda determina que o DPO deve conscientizar os colaboradores sobre a importância do que é feito, mas não detalha a obrigatoriedade quanto à formação do profissional.

O ideal é que o colaborador consiga atuar de forma independente, podendo exercer suas atividades sem restrições por parte da empresa. É preciso ter em mente que, sem essa liberdade de atuação, o serviço pode ficar comprometido.

Assim, funcionários e clientes podem fazer questionamentos, tirar dúvidas e conferir se os dados estão sendo protegidos conforme o previsto em lei.

Quem precisa de um DPO?

Nem todas as empresas são obrigadas a ter um DPO, mas ainda há muitas dúvidas sobre isso. A LGPD especifica que empresas que possuam alto volume de dados pessoais precisam investir na proteção dos dados.

Dessa forma, quem armazena, coleta ou processa esses dados tem que ter um DPO. É importante reforçar que o descumprimento às determinações da LGPD implica em multa que varia de 2% do faturamento até R$ 50 milhões.

Treinamento de DPO

Para que as empresas possam estar alinhadas ao que diz a LGPD é necessário que todos os colaboradores e parceiros tenham conhecimento sobre a lei e seus benefícios. Treinamentos desenvolvidos em plataformas virtuais podem ajudar neste processo.

Quem qualifica a equipe, ganha no maior dinamismo ao repassar as informações, no aumento da participação e da responsabilidade dos funcionários, na ajuda em fixar os detalhes fundamentais da lei, contribuindo também para o objetivo de se adequar à legislação.

O clickCompliance disponibiliza um treinamento sobre proteção de dados e LGPD que pode ser aplicado tanto no ambiente digital, quanto no não digital. O software traz vídeos em animação, perguntas customizáveis e espaço para inserir conteúdo próprio.

Agende uma demonstração e tire suas dúvidas.
0

LGPD, Treinamento de Compliance, Treinamento de Compliance

Novo Treinamento Sobre Proteção de Dados e LGPD

By on

01/06/2021

- LGPD, Treinamento de Compliance, Treinamento de Compliance

Criada em 2018, a Lei Geral de Proteção de Dados (Nº 13.709/2018) marca o início de uma nova cultura sobre a privacidade dos cidadãos e a segurança às informações pessoais. O dispositivo legal estabelece parâmetros que regulamentam a forma que as empresas públicas e privadas devem tratar os dados de clientes e funcionários. Estar em conformidade com essa legislação é assegurar a responsabilidade e a ética empresarial. 

Para que as empresas possam estar alinhadas com o que diz a LGPD é necessário que todos os colaboradores e, também terceiros que estejam envolvidos em projetos corporativos, tomem conhecimento das informações. Isso pode ser feito por meio de treinamentos desenvolvidos em plataformas virtuais.

Compreenda a LGPD na prática

O texto da LGPD traz novas determinações para as empresas no que diz respeito à coleta, ao armazenamento e aos cuidados com os dados pessoais. Dentre essas mudanças está o fato de que é necessária a manifestação do consentimento do cliente para o uso de seus dados. Assim, é preciso maior transparência sobre o tratamento que será oferecido a essas informações.

As empresas também precisam informar com qual finalidade irão realizar a coleta de dados, sendo proibido o armazenamento de informações que não sejam compatíveis com a motivação informada. Também não se deve usar os dados coletados para outros fins.

A LGPD estabelece, ainda, a necessidade de implantação de um programa de governança em privacidade que assegure o comprometimento com a segurança de dados. A comprovação da efetividade desse programa pode ser exigida pela Autoridade Nacional de Proteção dos Dados (ANPD). Outra questão pontuada pela lei é a necessidade de aprimoramento contínuo do programa.

É importante destacar que o descumprimento às determinações da LGPD implica em multa que varia de 2% do faturamento até R$ 50 milhões.

Compliance bancário

Investir na segurança de dados é primordial para todas as organizações. Para aquelas que lidam diretamente com grande volume de informações pessoais, como o setor bancário e de finanças, trata-se de uma necessidade ainda mais urgente.

Nesse sentido, é preciso destacar a relevância do compliance bancário para que estas instituições estejam em conformidade com as leis, as diretrizes e os regulamentos que abordam o tratamento de informações, a segurança de dados, o gerenciamento de riscos e os demais controles de ética.

Sua equipe está preparada?

Após compreender alguns dos apontamentos práticos da LGPD e a importância para todas as empresas, sobretudo aquelas que lidam com grande volume de informações pessoais, é preciso se questionar sobre a preparação da sua equipe. 

Seus funcionários estão bem informados sobre o que diz a LGPD? No dia a dia da empresa são adotadas práticas de prevenção e combate a possíveis desvios de conduta? Como eles lidariam em uma situação de violação?

Pesquisa realizada pela consultoria Deloitte, mostrou que 80% das empresas brasileiras identificaram desvios de conduta nos últimos quatro anos. Isto significa que profissionais ou agentes dessas organizações adotaram um comportamento divergente da cultura ética corporativa, o que resulta em prejuízo aos clientes, aos profissionais e à marca. O estudo foi realizado em outubro de 2020, por meio de entrevistas aplicadas em 125 empresas de diferentes setores.

O resultado demonstra a necessidade do envolvimento de todos os funcionários nos programas de compliance e integridade. É assim que as empresas podem garantir não só a adequação às leis e normas vigentes, mas também, o combate efetivo às irregularidades, como fraudes e corrupção.

Canal de denúncias

Ainda de acordo com a pesquisa, 85% das empresas brasileiras usam o canal de denúncias como mecanismo para a identificação de irregularidades. O treinamento da equipe sobre o uso correto dessa ferramenta é uma maneira de tornar mais eficiente o trabalho de prevenção e coibição de possíveis desvios de conduta.

Motivos para realizar um treinamento

É possível treinar a equipe por meio de plataformas virtuais que oferecem capacitações sobre temas que são fundamentais para a empresa e o seu setor de atuação. No caso da LGPD, é um assunto de interesse de qualquer organização, independente do porte ou segmento.

Para escolher a melhor plataforma é preciso observar questões como acessibilidade, ferramentas utilizadas, oferta de métricas e relatórios, além da própria dinâmica de ensino.

Treinar a equipe confere vantagens como:

  • Maior dinamismo no repasse de informações;
  • Fixar as informações;
  • Aumentar a participação e a responsabilidade do funcionário;
  • Produzir indicadores e relatórios sobre desempenho;
  • Contribuir para a empresa alcançar o objetivo de se adequar à legislação. 

Novo treinamento clickCompliance

O clickCompliance está com um novo treinamento sobre proteção de dados que ajuda na compreensão da LGPD a partir da aplicação em situações do dia a dia. A aplicação é tanto para o ambiente digital, quanto o não digital. 

Esse novo treinamento pode ser incorporado como um módulo da plataforma clickCompliance, que pode ser acessada pelo navegador ou pelo aplicativo. Agende uma demonstração para conhecer esse e mais treinamentos no nosso site! 

Nossas capacitações oferecem conteúdos multimídias customizáveis, promovem o engajamento dos participantes por meio de storytelling e garantem indicadores e relatórios de desempenho.
0

Como fazer

Como Sustentar os Direitos do Titular dos Dados?

By on

23/03/2021

- Como fazer

Existem muitas frentes que o compliance precisa abordar quanto à Lei Geral de Proteção de Dados (LGPD). No entanto, uma que é fundamental para o sucesso do seu programa de proteção de dados é a proteção dos direitos dos titulares dos dados.

Muitas vezes o compliance toma uma estratégia mais passiva em relação ao contato com funcionários e o público, investigando denúncias que chegam no canal de denúncias, fazendo uma gestão de riscos interna, etc.

E quando há uma comunicação ativa, geralmente é para cobrar assinaturas em políticas ou a realização de treinamentos dos funcionários da organização. Mas com a LGPD, empresas estão sendo orientadas cada vez mais a educar o público externo sobre a importância de cobrar os seus direitos.

Quais são os direitos do titular dos dados?

O compliance deve ter um meio fácil e acessível para que funcionários cobrem os seus direitos da empresa. São estes direitos:

  • Compartilhamento de informações sobre as entidades públicas e privadas com as quais os seus dados pessoais são compartilhados
  • Confirmação e acesso
  • Correção
  • Eliminação
  • Anonimização, bloqueio ou eliminação
  • Portabilidade
  • Oposição ao tratamento de seus dados pessoais quando em descumprimento à LGPD
  • Solicitar informações claras a respeito dos critérios e dos procedimentos utilizados para a tomada de decisão com base em tratamento automatizado de dados pessoais
  • Explicação sobre a possibilidade e as consequências de não fornecer o seu consentimento
  • Revogação de consentimento

Como garantir esses direitos?

Uma boa estratégia para garantir os direitos do titular dos dados tem duas etapas: comunicação com o público, e implementação de ferramentas.

Comunicando com os titulares

No entanto, como explicamos anteriormente, empresas estão sendo orientadas a não esperarem passivamente que o público solicite as informações, e sim incentivá-lo a ir atrás dessas informações. Afinal, um programa de compliance no papel, que não é usado, pode ser visto por autoridades como um programa ineficaz.

Por isso, é preciso unir o compliance às estratégias de comunicação e marketing para fazer campanhas e montar estratégias que demonstrem a importância da solicitação dos seus direitos, e ainda a boa vontade da empresa em sustentá-los.

Como no canal de denúncias, o compliance depende de as pessoas entrarem em contato com ele. Por isso, é preciso incentivar esse contato.

Dica: Veja nosso artigo sobre estratégias de marketing para compliance

Ferramentas e aplicação prática

A outra parte da estratégia é efetivamente entregar as informações solicitadas ao titular dos dados. Antes de qualquer coisa é preciso se fazer essas perguntas:

  • Como o titular vai entrar em contato para pedir essas informações?
  • Quem vai receber a solicitação?
  • Aonde e como você vai conseguir a informação?

Para isso, você pode utilizar a ouvidoria da empresa (apesar de que é recomendado ter um canal especificamente para esse tipo de solicitação), um endereço de e-mail, página de contato, chatbot, ou uma ferramenta específica para isso.

Dica: Agende uma demonstração e peça para ver o Canal de Privacidade que o clickCompliance oferece

Por exemplo, uma pessoa pode querer solicitar que a sua empresa elimine os dados pessoais sobre ela da base. O compliance precisa determinar:

  • Como ela vai entrar em contato
  • Com quem ela vai entrar em contato
  • Onde esses dados estão (para isso, veja mais sobre relatórios e mapeamento de dados pessoais)
  • Quem pode eliminar os dados
  • Quem e como vão confirmar o titular de que a eliminação foi feita

Para conseguir fazer tudo isso de forma organizada, e de forma que o titular consiga acompanhar o andamento de sua solicitação, é preciso ter alguma ferramenta que centralize as etapas. Ou, tenha um processo muito bem documentado e organizado.
0

Canal de Denúncias, Como fazer, Como fazer, Governança de Documentos, Treinamento de Compliance

Compliance Digital no Combate a Fraudes

By on

14/01/2021

- Canal de Denúncias, Como fazer, Como fazer, Governança de Documentos, Treinamento de Compliance

2020 foi um ano com muitas novidades e complicações. Para as equipes de compliance não foi diferente, e 2021 vai ser mostrar um ano agitado e cheio de novos planos e inovações baseado nas mudanças do último ano. Mas de todas essas novidades, tem uma que vai dominar o compliance em 2021: o compliance digital.

O principal motivo para essa novidade é o disparo na quantidade de fraudes digitais no último ano, causado por dois fatores: o aumento do home office e a passagem de muitos processos do dia a dia para o ambiente digital (como compras online).

O aumento de fraudes em 2020

Diversas pesquisas demonstram que 2020 foi um ano de aumento de fraudes digitais. Por exemplo, de acordo com o a Federação Brasileira de Bancos (FEBRABAN), as fraudes e tentativas de golpes em instituições bancárias tiveram alta de 80% durante a pandemia COVID-19.

Já a revista Exame divulgou em junho que São Paulo fechou mais de 1.500 empresas por suspeitas de fraudes na pandemia. Além disso, um levantamento realizado pela Check Point, indicou que os crimes cibernéticos aumentaram em 60% no primeiro semestre de 2020, um ponto crítico da pandemia.

E os crimes desse tipo não são só prejudiciais a indivíduos. Também são muito prejudiciais às corporações. Tanto que, segundo a McAfee, só no Brasil as empresas perdem cerca de US$ 10 bilhões anualmente por conta de cibercrimes.

Se pessoas e empresas não se atentarem a aprender mais sobre segurança digital e de dados, a previsão é de que os crimes cibernéticos gerem um prejuízo de US$ 6 trilhões à economia global em 2021.

Compliance digital e proteção de dados: aprendendo com casos reais

Além de tudo isso, 2020 foi palco de alguns dos maiores e mais surpreendentes casos de fraude digital. Por um lado, é uma previsão do que está por vir em relação à maior criatividade dos riscos de fraude e roubo de dados. Por outro, é uma oportunidade de aprendermos e nos prepararmos melhor para as possibilidades.

Os dados sensíveis do ex-primeiro-ministro australiano

Um caso de fraude ou roubo de dados pode ser extremamente simples, como o que aconteceu em 2020 com o ex-primeiro-ministro australiano Tony Abbott. Um cidadão (bem intencionado, felizmente) descobriu o número de passaporte, telefone e outros dados sensíveis do político usando apenas as informações do cartão de bordo de um voo que ele postou na rede social Instagram.

O caso evidenciou as fragilidades e buracos em toda a estrutura do site da companhia aérea que permitiu que isso acontecesse. Se o objetivo fosse malicioso, poderia ainda acarretar em sérios problemas para a empresa que não identificou essa possibilidade de vazamento de dados em seu site tão facilmente.

O Twitter hackeado por um adolescente

O exemplo acima foi um caso inofensivo que foi uma lição de análise de riscos digitais. No entanto, esse tipo de insegurança de dados pode levar a consequências mais sérias, como um adolescente de 17 anos hackeando a conta do Twitter do homem mais rico do mundo.

Para conseguir o acesso à conta do CEO da Amazon, Jeff Bezos, o hacker utilizou técnicas como engenharia social para alcançar o painel de administradores do Twitter. Isso em si já é sério, no entanto foi agravado por uma falha na segurança digital da rede social: até funcionários de baixo escalão tinham direitos de acesso a todos os usuários da rede.

Com esse acesso, o hacker fez um post na conta do Jeff Bezos com um link para fazer depósito em uma conta de Bitcoin, alegando que retribuiriam o valor dobrado como ação filantrópica. Com isso, arrecadaram mais de $100 mil.

O que fazer?

Felizmente, vários conceitos básicos do programa de compliance podem ser replicados em uma estratégia de compliance digital. A seguir, mostramos como isso pode ser feito.

Parceria entre compliance e TI

O primeiro passo para garantir segurança de dados na sua empresa é formar uma parceria entre a equipe de compliance e a TI da empresa. Os exemplos que citamos eram vulnerabilidades na forma como os sites foram construídos (mas podem ser em produtos digitais e outros meios), e tradicionalmente fora do escopo de análise e especialidade do compliance.

O compliance precisa usar casos como esses que contamos como exemplo para as equipes de tecnologia. Além disso, deve explicar leis referentes à proteção de dados, para que desenvolvedores fiquem de olho para possíveis falhas, e também para que saibam o que procurar na hora de fazer análises de riscos.

Políticas corporativas

Políticas corporativas boas e bem distribuídas são um instrumento fundamental para ajudar funcionários de todos os tipos saberem como agir em relação a segurança de dados.

Por exemplo, funcionários não devem clicar em links suspeitos ou fazer compras pessoais utilizando o computador da empresa ou no e-mail corporativo, não devem discutir informações sensíveis de clientes em canais não seguros, produtos devem ser construídos conforme o Privacy by Design, etc.

Treinamentos de compliance

Depois das políticas, os treinamentos de compliance são a principal ferramenta para consolidar o conteúdo das políticas. É possível mostrar exemplos de situações do dia a dia em que funcionários poderiam se encontrar.

Através de storytelling e treinamentos engajadores, funcionários aprendem como eles devem agir nessas situações apresentadas.

Canal de denúncias

O canal de denúncias também pode ser utilizado especificamente na sua estratégia de compliance digital. Por exemplo, no caso do ex-primeiro-ministro australiano, o cidadão que encontrou a falha de segurança levou vários meses para conseguir compartilhar o que descobriu com a empresa aérea e com a vítima.

Em vez de perder tempo com diversas ligações telefônicas e e-mails com diversas organizações, se tivesse um canal de denúncias funcional e a fácil acesso, tudo poderia ter sido investigado e resolvido em bem menos tempo.
0

LGPD, LGPD, LGPD, LGPD, LGPD

Como Fazer A Política de Compliance de Privacidade de Dados

By on

27/10/2020

- LGPD, LGPD, LGPD, LGPD, LGPD

Com a chegada da LGPD, já está mais do que na hora de dar o primeiro passo na adequação da empresa a essa lei, a atualização da política de compliance da empresa. É importante fazer uma revisão para garantir que o código de ética e outros documentos estejam adaptados à lei de proteção de dados pessoais.

A seguir vamos explicar o que é preciso para fazer uma política de compliance de privacidade de dados boa e sustentável.

Conheça o público

Essa etapa é extremamente importante por alguns motivos. Primeiro você deve se fazer essa pergunta: Essa política será para o público interno ou externo? Ou seja, serão funcionários da empresa que vão ler e aceitar, ou serão titulares de dados, cujos dados são tratados pela sua empresa?

Nós vamos explicar como fazer a melhor política interna de privacidade de dados. Para ela, é também importante mapear outras características do público, como:

  • Faixa etária
  • Acesso à internet e plataformas digitais
  • Níveis de escolaridade

Esses indicadores vão te ajudar a entender que tipo de linguagem usar na política, onde deixá-la disponível para consulta, e mais. É importante lembrar que a LGPD detalha a importância da política de compliance ser compreensível e a fácil acesso. Para isso, a ANPD vai considerar a coerência dos meios com o público-alvo.

Por exemplo, se grande parte do corpo de funcionários da empresa não tiver acesso à internet ou não tiver fluência digital, não faz sentido disponibilizar a política em um meio digital. Pode ser impressa e entregue pessoalmente, colado em painéis, etc.

Mapeie os dados tratados

Outro tópico muito importante que a lei geral de dados pessoais brasileira especifica é a importância de deixar claro os dados que podem ser tratados, de que forma, e com que finalidade.

Para poder avisar aos seus funcionários o que eles podem ou não podem fazer, primeiro será preciso mapear quais as necessidades da empresa em relação à coleta e ao tratamento dos dados. Existem relatórios, como o ROPA e RIPD que são feitos pelo compliance e detalham essas informações.

Tendo tudo isso claro antes de criar a política ajuda a deixar os cenários da política de privacidade de dados coerentes com a realidade da sua empresa. Com isso, os funcionários conseguem aplicar suas diretrizes no dia a dia.

Hospedagem acessível

A hospedagem ideal depende muito do tipo de trabalho que os funcionários na sua empresa realizam e a quais os meios eles têm acesso no dia a dia. No entanto, quando o assunto é o acesso a dados e a proteção desses, é provável que estejamos falando da área administrativa.

Essa área costuma trabalhar no computador e a utilizar e-mail corporativo, ter acesso a softwares, etc. Por isso, é possível utilizar de meios digitais para hospedar a política. Isso tem alguns pontos positivos:

  • Facilidade de acesso à política
  • Possibilidade de controle de aceites
  • Facilidade de divulgação
  • Possibilidade de coleta de outros indicadores sobre a política
  • Registro digital da existência, leitura e aceite da política
  • Versionamento e controle de revisões/versões

Isso é sem dúvidas um ponto positivo para a sua empresa caso ela seja investigada. É fácil mostrar que funcionários têm fácil acesso às regras da empresa sobre como tratar dados, além de mostrar indicadores.

Incluir tópico sobre home office

Com a adoção cada vez maior do home office, o controle do acesso a dados é um pouco diferente do que quando toda a empresa acessa um servidor físico. Por isso, as novas regras e boas práticas da empresa para o home office devem ser detalhados em um tópico (ou política, dependendo da necessidade) específico.

Versionamento

Quando o assunto é dados, os procedimentos são complexos, devem ser constantemente atualizados e ainda por cima devem acompanhar as mudanças na legislação. Como a legislação brasileira ainda não é madura, é provável que aconteçam mudanças de acordo com o cenário nacional e internacional.

Para evitar constantes revisões, recomendamos fazer suas políticas de compliance de acordo com as legislações mais completas. No caso da proteção de dados, é a GDPR. No entanto, com ferramentas e softwares, você pode registrar e automatizar a coleta de aceites de versões e revisões da mesma política.

Com o clickCompliance, por exemplo, é só configurar o público-alvo da política, de acordo com os grupos já existentes no seu Office 365 ou Gsuite. A política é enviada para aceite, e quando é revisada mantém o registro da versão antiga após automaticamente solicitar o aceite da versão nova a todo o público-alvo.
0