proteção de dados - Página 3 de 3 - clickCompliance
×

Preencha o formulário para iniciar o atendimento!

Your address will show here +12 34 56 78
Português

Proteção de Dados Pessoais na Prática

By on

09/03/2020

-

Todo mundo fala muito sobre proteção de dados pessoais e como é importante com a LGPD. No entanto, às vezes ainda ficamos com dúvidas sobre coisas que o compliance pode fazer na prática.

O conceito de proteção de dados, a Lei e a de repente necessidade de implementação deixou pouco tempo para pesquisa e elaboração de uma estratégia. Por isso, listamos abaixo algumas práticas reais e de fácil implementação que o compliance pode realizar.

1. Mapear entrada e saída de dados pessoais

Um exercício importante para o profissional de compliance entender melhor a parte técnica da proteção de dados, e ainda criar uma estratégia para o compliance, é mapear a entrada e saída de dados pessoais da empresa.

Isso significa documentar todos os pontos em que dados entram, como por exemplo:

  • Inscrições em campanhas de marketing
  • Coleta de cookies no site da empresa
  • Coleta de informações sobre clientes
  • Pesquisas de mercado

Além disso, é preciso mapear os pontos de saída, como por exemplo:

  • Compartilhamento com distribuidores (endereços, telefone, etc.)
  • Transferência internacional
  • Inserção em ferramentas terceirizadas*

*O clickCompliance, por exemplo, está desenvolvendo uma ferramenta de anonimização de dados. No entanto, deixamos claro que ninguém da nossa equipe tem qualquer contato com os dados, nem os armazenamos. É importante checar se as suas ferramentas também fazem isso.

É claro que as entradas e saídas podem ser infinitas, depende da atuação da empresa. Por isso, não se atenha a esses exemplos.

2. Mapear o tratamento dos dados e os riscos

O próximo passo é pegar esses dados e mapear como eles são tratados entre a entrada e a saída. Você terá que conversar com as diversas áreas envolvidas nesse tratamento, mesmo que seja com um terceiro.

Esse relatório também é conhecido como o ROPA (Record of Processing Activities ou Registro de operações).

Aqui, você deve documentar, por exemplo:

  • Quem trata os dados (a área, e até a pessoa ou função específica)
  • Quais ferramentas são usadas no tratamento
  • Com que frequência os dados são tratados
  • Para quais finalidades os dados pessoais são tratados

Lembre-se de que esses são alguns exemplos, mas o tratamento varia muito de empresa para empresa. Procure saber em detalhes como funciona na sua.

3. Categorizar os dados tratados pela empresa


Agora, chegou a hora de categorizar os dados que são tratados. Isso é importante porque você vai entender quais precisam de mais cuidado e vai ajudar na hora de criar políticas, criar o relatório de impacto, etc.

Alguns exemplos de categorizações são:

  • Pessoais
  • Sensíveis
  • Anonimizados
  • Diretos
  • Indiretos
  • De criança ou adolescente


4. Elaborar o relatório de impacto

O relatório de impacto à proteção de dados pessoais (RIPD) ou Data Protection Impact Assessment (DPIA) é um documento feito sobre dados considerados de risco. Por isso é importante fazer a categorização na etapa anterior.

Esse relatório deve conter:

  • O motivo da coleta desses dados sensíveis
  • Como os dados serão tratados (no mesmo modelo do ROPA)
  • Explicar porque esse tratamento é compatível com o motivo da coleta
  • As medidas e os processos da empresa para redução e mitigação dos riscos
  • As medidas colocadas em prática de proteção de dados

5. Criar políticas corporativas sobre proteção de dados

Depois de tudo isso, é o momento da criação de políticas corporativas sobre proteção de dados pessoais. Ou seja, esses documentos vão especificar a visão da empresa e as exigências dela em relação a dados pessoais.

Elas serão referentes às áreas que foram estabelecidas no início do mapeamento. Ou seja, aquelas que fazem coleta, distribuição ou tratamento de dados considerados de risco.

Essas políticas devem ser feitas de forma clara e direta, apresentando exatamente qual o procedimento para se lidar com os dados para cada área.

Detalhe o que pode ser feito, o que não pode ser feito, outros documentos que precisam ser preenchidos na hora do registro ou tratamento de dados, etc.

Depois, é preciso distribuir essas políticas para aprovação de toda a hierarquia competente, e depois as áreas e pessoas que precisam ler e aceitar.

6. Fazer treinamentos sobre proteção de dados

Um bom complemento para essas políticas é fazer treinamentos de compliance que explicam de forma mais didática o que está nas políticas.

Ou seja, explique de forma mais completa e explicada, dando exemplos práticos, de como seguir os processos da empresa na hora de lidar com dados.

Esses treinamentos podem ser gerais, como para evitar vazamento de dados, ou específicos, como para o departamento de marketing e o que não pode mais com a LGPD.

Procure aplicar algumas boas práticas nesses treinamentos:

  • Usar exemplos e situações reais
  • Fazer treinamentos periodicamente para estarem atualizados
  • Use conteúdos multimídia para manter funcionários engajados
  • Tenha relatórios de presença, desempenho, e outros do treinamento

7. Exigir compliance de dados de terceiros

A sua empresa pode ter a melhor estratégia proteção de dados pessoais. No entanto, de nada adianta se os seus terceiros não estiverem em conformidade também, já que sua empresa pode ser responsabilizada por ações deles também.

Por isso, é preciso solicitar aos terceiros esses mesmos documentos e relatórios detalhados anteriormente. Além disso, inclua terceiros nos treinamentos sobre a proteção de dados na sua empresa.

Além disso, faça políticas direcionadas especificamente para terceiros. Deixe claro o que a sua empresa espera desses terceiros em todos os aspectos da proteção de dados.
0

Principais Diferenças entre a LGPD e a GDPR

By on

24/02/2020

-

No geral, a Lei Geral de Proteção de Dados Pessoais (LGPD) e a General Data Protection Regulation (GDPR) são muito próximas. Afinal, a lei brasileira foi baseada na europeia. No entanto, existem algumas diferenças e considerações importantes para profissionais do compliance entenderem.

Abrangência


O principal fator, e o mais óbvio, é que, por ser uma legislação europeia, a princípio é referente a mais países. No entanto, a LGPD também foi razoavelmente abrangente no que diz respeito a quem pode ser afetado por ela.

Essa lei afeta todos aqueles que possuam alguma etapa do processo de tratamento de dados no Brasil. Ou seja, mesmo que a empresa seja do exterior, se o titular dos dados for brasileiro, a Lei se aplica a ela.

Já a GDPR é semelhante. Todas as empresas que tenham alguma parte do processo de tratamento dos dados na União Europeia terão que se adequar às normas dela. Ou seja, empresas brasileiras agora precisam se preocupar com a LGPD, e a GDPR se eles forem o detentor dos dados, o controlador ou o titular.

O texto

O texto das leis também é muito parecido. A grande diferença é que a LGPD é muito mais curta e muito menos específica. Por exemplo, a GDPR usa exemplos para explicar situações enquanto a LGPD deixa cenários mais abertos.

Outra coisa deixada em aberto pela lei brasileira é o prazo para entregar solicitações à autoridade competente (no nosso caso, a ANPD, provavelmente). Ela simplesmente diz “em um prazo razoável”. Já a Lei Europeia especifica que a entrega deve ser feita em, no máximo, 72 horas.

Quando o tratamento de dados é considerado legal?

Outra diferença importante que costuma ser citada é as hipóteses de legalidade. São os momentos em que é considerado legal fazer o tratamento de dados, independente das considerações da lei. 

Hipóteses de legalidade LGPD:

  • Mediante o fornecimento de consentimento pelo titular (deve atender a uma finalidade específica e pode ser retirado a qualquer momento).
  • Para o cumprimento de obrigação legal ou regulatória pelo controlador.
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas (por meio da previsão legal ou contratual).
  • Para a realização de estudos por órgão de pesquisa (garantida, sempre que possível, a anonimização dos dados pessoais).
  • Quando necessário para a execução de contrato ou de procedimentos relacionados a contrato do qual o titular seja parte (caso solicitado).
  • No exercício regular de direitos em processo judicial, administrativo ou arbitral.
  • Para a proteção da vida ou da integridade física (do titular ou de terceiro).
  • Para a tutela da saúde (em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias).
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiro (devendo observar se os interesses são razoáveis e como eles afetam os direitos e liberdades fundamentais do titular).
  • Para a proteção do crédito.

Na GDPR, as hipóteses de legalidade são as mesmas, tirando a última, em situações de proteção de crédito.

Faço meu programa de compliance digital baseado na GDPR ou na LGPD?

Como vimos, a GDPR é mais rígida e bem detalhada do que a LGPD. Além disso, empresas brasileiras em muitos casos terão que estar em compliance com a GDPR também. Por isso, recomendamos basear a atuação e os processos da sua empresa na legislação europeia.
No entanto, não deixe de conhecer bem a brasileira, porque ela pode conter algumas pequenas particularidades.
0

A Autoridade Nacional de Proteção de Dados (ANPD)

By on

21/11/2019

-

 

A Autoridade Nacional de Proteção de Dados (ANPD) é uma entidade em formação que será orientadora e fiscalizadora das empresas de acordo com o previsto na LGPD. Inclusive, a lei garante a autonomia técnica necessária para a autoridade realizar suas atividades de forma imparcial, apesar de ser ligada à Presidência da República.

Primeiramente, sua responsabilidade será de orientação das empresas quanto às exigências da nova Lei, principalmente no primeiro momento em que ainda podem surgir dúvidas e dificuldades na aplicação de medidas.

Além disso, provavelmente terá uma atuação menos pró-ativa, sendo acionada a partir de denúncias ou pedidos de orientação pelas próprias empresas. Isso devido à dificuldade natural em ativamente fiscalizar a grande quantidade de empresas que serão afetadas pela LGPD.

Não só a ANPD terá a característica orientadora, como também será um espaço para a sociedade enviar dúvidas e sugestões. Também é onde devem ser enviadas denúncias relacionadas à LGPD para serem apuradas e investigadas.

Depois de orientar e fiscalizar, a Autoridade Nacional de Proteção de Dados também poderá advertir empresas que não estejam em concordância com a LGPD. Por fim, se ainda houver descumprimento, ela poderá penalizar empresas conforme as especificações no último tópico.

Autoridade nacional de proteção de dados

Como foi criada

A criação da autoridade já estava prevista na Lei Geral de Proteção de Dados Pessoais. Porém, o dispositivo da lei que criava a ANPD foi vetado por Michel Temer. Logo depois, em dezembro de 2018, através de uma medida provisória, foi recriada. Depois, foi aprovada em maio de 2019 pela Câmara e pelo Senado, e sancionada em julho de 2019 pelo presidente da República.

Para que serve

De acordo com o Artigo 55-J da LGPD, compete à ANPD, entre outras obrigações:
  • zelar pela proteção dos dados pessoais, nos termos da legislação;
  • elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
  • fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
  • promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
  • promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
  • solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei;
  • realizar auditorias, ou determinar sua realização, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
  • celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos;
  • comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
  • implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.

Será composta por quem?

A ANPD será composta por um Conselho Diretor, um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, um órgão de apoio jurídico e unidades especializadas para à aplicação da LGPD.

O colegiado do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto por 23 titulares, não remunerados, com mandato de dois anos. Serão esses:
  • 6 do Executivo Federal;
  • 1 do Senado Federal;
  • 1 da Câmara dos Deputados;
  • 1 do Conselho Nacional de Justiça;
  • 1 do Conselho Nacional do Ministério Público;
  • 1 do Comitê Gestor da Internet no Brasil;
  • 4 da sociedade civil com atuação comprovada em proteção de dados pessoais;
  • 4 de instituição científica, tecnológica e de inovação e
  • 4 de entidade do setor empresarial ligado à área de tratamento de dados pessoais.

O objetivo do governo é preencher em torno de 15 funções previstas ainda em 2019. Dentre essas 15 estariam cinco assentos do conselho diretor, seus assessores e profissionais para a área de coordenação geral de normatização.

Isso porque, como a existência da ANPD está prevista na LGPD, ela poderia já ter possibilidade de operar em agosto de 2020, quando a lei entrará em vigor. Inclusive, a falta de estruturação da ANPD é um dos argumentos na proposta que busca prorrogar essa data para 2022.

O que ela vai poder fazer?

A Autoridade Nacional de Proteção de Dados terá também o caráter punitivo, em casos de descumprimento contínuo da LGPD após advertências. No entanto, é importante lembrar que, de acordo com a Serpro, a atividade principal será orientação.

De acordo com o Capítulo VIII, Seção I, Artigo 52 da LGPD, “Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
  • advertência, com indicação de prazo para adoção de medidas corretivas;
  • multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária, observado o limite total a que se refere o inciso II;
  • publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração.”
3