fevereiro 2019 - Código Conduta | Conformidade e Integridade Corporativa
CAPÍTULO 9 – LGPD na Prática: 13 passos para se adequar à nova regulamentação

CAPÍTULO 9 – LGPD na Prática: 13 passos para se adequar à nova regulamentação

Em Capítulos anteriores da série “LGPD na Prática” foi possível identificar as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP)entender como implementar e preservar uma estrutura de governança de dados, assimilar o processo de inventário de dados pessoais e mecanismos de transferência, acompanhar os passos para adoção de uma política de privacidade, compreender a relação entre a nova regulamentação e as rotinas de várias áreas de uma organização, conceber um cronograma de treinamento e comunicação, verificar como gerenciar os riscos relacionados à segurança da informação e conhecer alguns passos para administrar riscos de terceiros.

No nono capítulo desta sequência, meu objetivo principal é discorrer brevemente sobre algumas medidas para preparar avisos legais e certificar ao usuário o compromisso da organização para com a privacidade de dados, em consonância com as políticas corporativas, os requisitos normativos nacionais e internacionais e com uma análise prévia de riscos.

Nesse sentido, alguns pontos de atenção devem ser observados:

1. Redigir avisos legais (disclaimers), relacionados à privacidade de dados, que detalhem as práticas de tratamento de dados da organização, em linguagem clara e acessível, adaptada ao público alvo, sem tecnicidades ou “juridiquês”, identificando como e quais são as informações coletadas, como elas são processadas, retidas e a quem serão divulgadas ou compartilhadas, além de especificar como o titular pode acessar esses dados pessoais e solicitar a exclusão ou a portabilidade destes. Sugere-se que nos avisos legais também seja identificado quem é o Encarregado de Proteção de Dados da organização, quando esta possuir um, qual a finalidade e a base legal para processamento dos dados, se estes serão transferidos para outros países e que salvaguardas existem, e por que período os dados serão mantidos pela organização.

2. Disponibilizar os avisos legais em todas as ocasiões em que dados são coletados, seja online, em páginas da web ou e-mails, via mensagens de texto, telefone, ou mesmo através de formulários físicos. Nas comunicações de marketing e em cada local físico no qual a organização possa vir a coletar dados pessoais, é importante que sejam fornecidas informações simplificadas relacionadas às suas políticas e práticas de privacidade para o público alvo.

3. Manter scripts para uso pelos colaboradores, em especial nas organizações que coletam dados pessoais pelo telefone ou pessoalmente, de modo que os titulares dos dados possam ser devidamente informados sobre a motivação e destinação das informações pessoais coletadas.

4. Obter, quando possível, um selo de privacidade para aumentar o nível de confiança dos usuários, emitido por organização especializada, e exibir em seus websites e peças de comunicação, de modo a passar maior legitimidade ao público em geral e certificar o compromisso com os princípios definidos nas normas nacionais e internacionais na interação entre os servidores da web e o navegador de um visitante da página. Para poder postular este tipo de certificação, a organização deve identificar todas as tecnologias e funcionalidades embarcadas em seu website e que estão relacionadas, por exemplo, ao registro de endereços IP, uso de cookies, web anlytics, social plugins, formulários de contato ou newsletter, etc.

No próximo capítulo, irei discorrer sobre a importância de responder tempestivamente às solicitações e reclamações de usuários.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.

 

CAPÍTULO 9 – LGPD na Prática: 13 passos para se adequar à nova regulamentação

CAPÍTULO 8 – LGPD na Prática: 13 passos para se adequar à nova regulamentação

Quando me propus a falar sobre “LGPD na Prática”, não podia imaginar quão complexo seria o tema.

Muito se fala sobre a nova regulamentação, principalmente sob o aspecto legal, mas a dificuldade para transportar os direitos dos usuários e as obrigações das empresas para o dia a dia das organizações é grande. É necessário sair do campo do dever ser, da norma em si, para entender quais são os impactos da lei nos negócios.

Já identifiquei, em capítulos anteriores, quais são as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP), como implementar e preservar uma estrutura de governança de dados, como fazer um inventário de dados pessoais e mecanismos de transferência, o que é e como adotar uma política de privacidade, a relação entre a nova regulamentação e as rotinas de várias áreas de uma organização, como treinar e comunicar e de que maneira deve-se gerenciar os riscos relacionados à segurança da informação.

Neste capítulo, o objetivo é apresentar a melhor maneira de administrar riscos de terceiro, ou seja, como atestar que os parceiros de negócio de determinada organização estejam alinhados com a nova regulamentação e com as normas internas de privacidade de dados, dentro dos limites de tolerância ao risco. Para tanto, são sugeridas algumas ações:

1. Fazer uma lista de todas as soluções de terceiro atualmente usadas pela empresa relacionadas ao tratamento e processamento de dados, fase que deve ser completada quando do inventário de dados, quando do mapeamento do ciclo de vida destes e dos caminhos a serem percorridos entre servidores

2. Manter requisitos de privacidade e segurança de dados em contratos firmados com terceiros (clientes, fornecedores, processadores de dados, empresas afiliadas). Recomenda-se que sejam adotadas cláusulas-padrão que discorram sobre as responsabilidades na coleta, tratamento, trânsito e eliminação de dados, além de dispor sobre requisitos mínimos de segurança e confidencialidade e prever obrigações de resposta, possivelmente em um SLA (Service Level Agreement), no caso de eventuais violações ou vazamentos, além de especificar internamente procedimentos para executar os contratos com as partes que processam informações pessoais. Neste caso, recomenda-se, inclusive que sejam revisados contratos já firmados e em vigência. Além disso, é fundamental que existam procedimentos bem definidos para notificação de fornecedores e um prazo razoável para remediar falhas e responder a eventuais demandas.

3. Realizar due diligence e análise de riscos em torno da privacidade de dados e postura de segurança de fornecedores. Ao selecionar fornecedores, deve-se realizar uma avaliação aprofundada da capacidade destes terceiros em cumprir com todas as obrigações legais, em especial nos casos em que há transferência de dados para servidores localizados em outras jurisdições. Sugere-se ainda, verificar se os processos destes terceiros estão em consonância com as melhores práticas de proteção de dados. As normas internas relacionadas à privacidade de dados e segurança da informação devem ser apresentadas a estes fornecedores e os controles internos também devem compreender os riscos de privacidade de dados advindos destas relações entre as partes.
4. Manter uma política para reger o uso de provedores em nuvem, de modo a garantir a regularidade e legitimidade das transferências transfronteiriças de dados e para evitar que sejam contratados ou utilizados tais serviços para armazenamento, manipulação ou troca de comunicações relacionadas à empresa sem o conhecimento e formal aprovação do Encarregado de Proteção de Dados (DPO), que deverá certificar a segurança a privacidade e outros requisitos de tratamento. Para qualquer serviço em nuvem que exija que os usuários concordem com os termos de serviço, orienta-se que as cláusulas sejam revisadas pelo Departamento Jurídico e pelo DPO. Também deve restar esclarecido na política que contas de serviços pessoais na nuvem não podem ser utilizadas para armazenamento ou transferência de dados de propriedade da empresa.
No próximo capítulo, irei discorrer sobre como prover avisos legais.

Para acessar o primeiro capítulo da Série, clique aqui.

Para acessar o próximo capítulo, clique aqui.

Criminosos cibernéticos gastam 10 vezes mais que as empresas na batalha da segurança cibernética

Criminosos cibernéticos gastam 10 vezes mais que as empresas na batalha da segurança cibernética

Recente estudo aponta que os criminosos cibernéticos estão gastando 10 vezes mais dinheiro encontrando pontos fracos nas defesas cibernéticas das organizações do que as organizações que eles almejam estão gastando em segurança contra ataques.

De acordo com a empresa de software Carbon Black, a comunidade do crime cibernético gasta mais de US$ 1 trilhão por ano no desenvolvimento de ataques, em comparação com US$ 96 bilhões gastos pelas organizações para se proteger deste tipo de ataque. Apesar do Estudo ter como foco principal organizações no Reino Unido, foi possível ter um bom panorama do cenário no resto do mundo.

No total, 92% das organizações do Reino Unido que responderam à pesquisa tiveram seus sistemas violados em 2017 e quase metade dessas foram vítimas de várias ocorrências (entre três a cinco vezes).

Um total de 82% dos entrevistados disseram ter sofrido mais ataques em 2017 do que no ano anterior. No setor de serviços financeiros, 89% disseram que esse é o caso, enquanto 83% das organizações governamentais e 84% dos varejistas também experimentaram um aumento no número de ataques.

O malware (programa de computador destinado a infiltrar-se em um sistema de computador alheio de forma ilícita) foi o ataque mais comum nas organizações do Reino Unido pesquisadas, com cerca de 28% experimentando pelo menos uma dessas tentativas de violação. O ransomware (tipo de software nocivo que restringe o acesso ao sistema infectado com uma espécie de bloqueio e cobra um resgate em criptomoedas para que o acesso possa ser restabelecido) foi o segundo mais comum, com 17,4% relatando pelo menos um ataque.

Para Fernando Henrique Zanoni, Sócio-Diretor da CódigoConduta.com, “a divulgação desse tipo de pesquisa pode ajudar na conscientização do empresariado nacional quanto a importância de se preocupar com segurança da informação, principalmente no atual panorama em que estamos no período de vacatio legis da Lei Geral de Proteção de Dados”.

Para acessar o estudo, em inglês, clique aqui.

Brasil perde dois pontos no Índice de Percepção da corrupção e ocupa a 105ª posição

Brasil perde dois pontos no Índice de Percepção da corrupção e ocupa a 105ª posição

O Brasil teve sua pontuação reduzida no Índice anual de Percepção da Corrupção¹, divulgado pela Transparência Internacional, caindo de 37 (2017) para 35 pontos (2018). Com isso, o país passou a ocupar a 105ª posição no Ranking Mundial, ao lado de países como Timor-Leste, Zâmbia e El Salvador.

A critério de comparação, a Dinamarca, que ocupa o primeiro lugar segundo a metodologia da pesquisa, atingiu 88 pontos. Além disso, as médias global e dos países das Américas são respectivamente, 43 e 44 pontos.

O relatório reforça as impressões de diversos setores da sociedade brasileira. Segundo Fernando Henrique Zanoni, Sócio-Diretor da CódigoConduta.com, a piora do Brasil no Ranking não é surpresa: “Em palestras e treinamentos corporativos, quando apresento o famoso mapa da corrupção, sempre faço menção de que a tendência era de que o Brasil perderia ainda mais pontos a curto prazo, até que efetivamente se instaurassem ações efetivas para acabar com as práticas que já estavam institucionalizadas na Administração Pública direta e indireta. Como se trata de um índice de percepção da corrupção, os desdobramentos das investigações do mensalão e, principalmente, da Operação Lava-Jato, contribuem para esse cenário.”

Conforme mencionado no próprio relatório, “os esforços notáveis do país contra a corrupção podem estar em risco e não foram suficientes para chegar à raiz do problema. Não tivemos nos últimos anos qualquer esboço [efetivo] de resposta às causas estruturais da corrupção no país“.

Dessa maneira, e diante do novo cenário que se vislumbra com a mudança no cenário político brasileiro é possível que o Brasil melhore sua posição, desde que as expectativas se confirmem e que hajam respostas concretas tanto da iniciativa pública quanto da privada no que diz respeito à Gestão de Riscos e Compliance.

Muitos brasileiros ainda veem a corrupção como algo intangível, que está relacionado somente às interações entre agentes públicos e grandes corporações em contratos milionários. Para mudar o panorama, é fundamental entender que a corrupção, infelizmente, está presente no nosso dia a dia e que todas as pessoas e organizações, independente de sua atuação ou porte, são diretamente responsáveis por este triste cenário”, completou Fernando Zanoni.

Para acessar o resultado da pesquisa, completa acesse o link da Transparência Internacional .

 

¹ O Índice de Corrupção Global existe desde 1995 e hoje é considerada uma das mais prestigiosas séries históricas a respeito do tema. A pesquisa foi criada e até hoje é conduzida pela Transparência Internacional, órgão com sede mundial em Berlim e que desde 2016 possui um capítulo (seção) no Brasil. Entre suas principais ações no país está o apoio às 10 Medidas Contra a Corrupção, do Ministério Público Federal.

Santa Catarina sanciona Lei que determina a criação de Programas de Integridade e Compliance nos órgãos Estaduais

Santa Catarina sanciona Lei que determina a criação de Programas de Integridade e Compliance nos órgãos Estaduais

O governador do Estado de Santa Catarina, Carlos Moisés da Silva, sancionou, no dia 23 de janeiro de 2019, a Lei Estadual (SC) nº 17.715, que institui a criação do Programa de Integridade e Compliance da Administração Pública em âmbito estadual.

A medida é um importante passo para a inserção de práticas éticas e coloca o quinto maior estado do Brasil, em termos de PIB (Produto Interno Bruto), à frente de vários outros. A nova norma prevê que cada órgão deve desenvolver um Programa de acordo com suas especificidades, em conformidade com a visão mais moderna de Compliance, avaliando os riscos inerentes às suas atividades cultura institucional.

O texto da lei apresenta uma visão geral dos principais pilares de um Programa de Integridade e foca na necessidade de adoção ou sofisticação de controles internos, documentos tais como um Código de Ética e Conduta e canal de denúncias, além de orientar sobre ações de comunicação e treinamento.

Vale ressaltar que cada vez mais governadores estão tomando medidas similares. No Estado do Paraná, por exemplo, o Governador eleito Ratinho Junior tem tratado o tema Compliance na Administração Pública como prioridade e um dos motes de sua gestão.

Para acessar o texto integral da norma, clique aqui.