CAPÍTULO 10 – LGPD na Prática: 13 passos para se adequar à nova regulamentação

CAPÍTULO 10 – LGPD na Prática: 13 passos para se adequar à nova regulamentação

Nos capítulos anteriores da série “LGPD na Prática” foi possível fazer um overview de quais empresas são impactadas pela nova regulamentaçãocomo implementar e manter uma estrutura de governança de dados, qual a melhor maneira de implementar um processo de inventário de dados pessoais e mecanismos de transferência, como adotar uma política de privacidade, entender como a nova lei afeta as rotinas da organização, qual a forma mais eficaz de implantar um cronograma de treinamento e comunicação,  como mapear e gerenciar riscos de segurança da informação e de terceiros e  a aplicação prática dos avisos legais (“disclaimers“).

Nesta etapa, pretendo esclarecer como estabelecer procedimentos internos para responder tempestivamente às solicitações e reclamações de usuários, considerando alguns pontos fundamentais, quais sejam:

1. Desenhar um workflow para resolver eventuais reclamações de usuários ou pedidos de informação. Toda organização deve manter procedimentos-padrão para: (i) reconhecer reclamações relacionadas a questões de proteção de dados; (ii) lidar com demandas simples e relatar a resolução ao DPO (Data Protection Officer); e (iii) encaminhar imediatamente as demandas mais sensíveis para o responsável pela proteção de dados. Recomenda-se que seja mantido um canal direto entre titular dos dados e o DPO por meio do website da organização, seja através de formulário ou informando um e-mail de contato. No caso de demandas complexas, que eventualmente requeiram atualizações ou revisões dos sistemas de informação ou mesmo repactuação de contratos firmados com terceiros sugere-se seja envolvida a alta direção ou um comitê multidisciplinar. É necessário, ainda, estabelecer e cumprir prazos para responder aos titulares de dados e mantê-los inteirados dos procedimentos para apuração ou solução das suas reclamações ou pedidos de informação, de modo a resolver as demandas a fim de se evitar que o usuário procure as autoridades competentes.

2. Manter procedimentos específicos para responder a pedidos de acesso, atualização ou correção de dados pessoais, respeitando os requisitos legais e observando os conteúdos e prazos de resposta. A resposta à solicitação de acesso, atualização ou correção de dados pressupõe dois estágios: (i) primeiro verifica-se se os dados que o titular busca estão realmente sendo processados; (ii)  em seguida, conforme disposto em lei, deve-se facilitar a consulta, informando de maneira clara a origem destes dados, a finalidade específica do seu tratamento , as categorias, os destinatários, a duração prevista do armazenamento e a identificação do controlador, com as devidas informações de contato, fornecendo os dados por meio eletrônico ou sob forma impressa no prazo máximo de 15 (quinze) dias. Em casos fundamentados, este prazo poderá excepcionalmente ser excedido, desde que com aprovação da autoridade nacional. O grande desafio, neste particular, é entender que qualquer colaborador da organização pode receber uma solicitação válida de um titular de dados, seja aquele que tem contato direto com um cliente ou prospect ou aquele que monitora as redes sociais. Por essa razão, e considerando o prazo exíguo para resposta ao titular, todos da organização devem ter bem entendido o processo para notificar o DPO ou área responsável por responder às solicitações de acesso. Recomenda-se, neste particular, a adoção de um procedimento específico e o treinamento desses colaboradores que podem vir a receber a pedidos de acesso, atualização ou correção de dados pessoais. A aplicação de um formulário padrão para que o usuário titular solicite o acesso, atualização ou correção de dados pessoais facilitará substancialmente o processo interno e agilizará a resposta. As melhores práticas recomendam que, sempre que possível, as organizações forneçam acesso remoto a um sistema de auto-atendimento seguro que proporcione ao indivíduo acesso direto às suas informações. No caso de pedidos de acesso feitos por terceiros, a organização deve estar segura de que este tem o direito de agir em nome do titular dos dados, portanto deve solicitar a apresentação de uma autorização por escrito ou procuração e em não sendo  atendido este pedido sugere-se sejam divulgadas as informações diretamente ao titular. Quando os dados solicitados estiverem sendo processados por um terceiro (operador) é importante garantir que o acordo de nível de serviços preveja o cumprimento dos prazos no caso de solicitações de acesso.

3. Zelar para que processos de exclusão de dados ou portabilidade sejam respondidos correta e tempestivamente. Nos termos do Art. 18, VI, da LGPD, os titulares de dados têm direito à eliminação destes, também conhecido como “direito de ser esquecido”, quando estes não são mais necessários para o propósito para o qual foi coletado ou processado originalmente, quando o indivíduo retira seu consentimento ou quando não há interesse legítimo para continuar com o processamento. Quando a organização compartilhou os dados com terceiros, processadores, por exemplo, é necessário implementar um processo no qual qualquer demanda de exclusão seja notificada a estes parceiros. Importante salientar que a exclusão dos dados também deve ser realizada dos sistemas de backup, além dos sistemas ativos. No caso da portabilidade, as organizações devem manter mecanismos para exportar e importar dados, bem como processos (automatizados ou não) para responder a solicitações de indivíduos neste particular, transmitindo diretamente os dados para o titular, fornecendo acesso a uma ferramenta que permita a ele extrair estes dados ou transferindo diretamente para outro controlador, quando tecnicamente viável. A transferência de dados deve ser feita de maneira estruturada, ou seja, utilizando-se planilhas, por exemplo, nas quais os dados são organizados em linhas e colunas, em um formato comumente utilizado, de modo que possa ser lido e processado por outros controladores por meio de aplicativos de softwares comuns. Ainda, deve-se pensar na responsabilidade da organização caso seja aquela que receberá dados pessoais devido a uma solicitação de dados. Nesse caso, ao decidir aceitar ou reter dados pessoais provenientes de outro controlador a organização deve considerar se estes são relevantes ou eventualmente se excedem os propósitos para os quais esta os processará.

4. Conservar um “FAQ” (respostas à perguntas frequentes) de fácil acesso pelos usuários é altamente recomendável, seja para suportar a política de privacidade e os avisos legais ou mesmo o treinamento dos colaboradores.

5. Avaliar as principais causas de reclamações relacionadas à privacidade de dados, monitorar e relatar métricas. Recomenda-se fortemente que o DPO mantenha um processo para investigar as principais causas que geram reclamações de usuários e emitir recomendações para melhoria das práticas a fim de evitar queixas adicionais, gerando relatórios gerenciais para as áreas respectivas, de modo a permitir que seja medida a eficiência na resolução dos problemas e os respectivos custos e identificando processos sensíveis, os quais acabam por expor a organização a riscos relacionados com a proteção de dados.

No próximo capítulo, irei discorrer sobre como monitorar novas práticas operacionais implementando princípios de Privacidade por Design (Privacy by Design).

Para acessar o primeiro capítulo da Série, clique aqui.

Para acessar o próximo capítulo, clique aqui.

UNISOCIESC Curitiba lança Pós-Graduação em Compliance e Direito 4.0

UNISOCIESC Curitiba lança Pós-Graduação em Compliance e Direito 4.0

 

Na noite de segunda-feira (18), o Procurador de Justiça do Ministério Público do Paraná, Fábio André Guaragni, abriu a série de palestras na inauguração da sede acadêmica do Comitê Brasileiro de Compliance – CBC e apresentação da Pós-graduação em Compliance e Direito 4.0, que será oferecida em parceria com a Unisociesc.

“Que impacto você quer causar amanhã? ” – Perguntou Guilherme Oshima, presidente do CBC, ao público que lotou o auditório da Unisociesc. Segundo ele, “reinvenção e inovação” são os lemas do comitê. Para a coordenadora da Escola de Direito, Alessandra Matos, “a pós revoluciona o estudo do Compliance por trabalhar o tema na prática, oferecendo ao profissional um preparo efetivo para atuar na nova era do Direito 4.0. ”

Compareceram ao evento, centenas de pessoas, entre autoridades do Estado, membros do Ministério Público e do Instituto de Engenharia do Paraná, que prestigiaram o coquetel de inauguração oferecido pela Unisociesc.

A aplicação do Compliance à realidade brasileira é o assunto de grande repercussão no momento devido aos impactos das ações anticorrupção e adoção de políticas destinadas à diminuição de riscos na atividade empresarial. “A evolução dessa atividade e do profissional da área, são fundamentais no cenário corporativo atual”, pontuou Fábio André Guaragni, Procurador de Justiça do Ministério Público do Paraná.

O advogado Gustavo Scandelari, segundo palestrante da noite, considera duas iniciativas altamente inovadoras e complementares –  ter organizações como o CBC, que se dediquem a eventos para divulgação de conhecimento a respeito desse assunto e, as instituições de ensino superior, como essa iniciativa da pós em Compliance e Direito 4.0 –  “Não havia um espaço de estudo dedicado ao Compliance como o inaugurado aqui na Unisociesc. É uma ótima notícia”, diz.

O evento contou também com a participação de Adriana Gluck Camargo, Compliance Analyst do Ebanx, Melissa Gonçalves, atual Compliance Analyst da Positivo Tecnologia, bem como do sócio-fundador da CódigoConduta.com, Fernando Zanoni, uma das maiores plataformas nacionais de implantação de programas de integridade.

As aulas da pós-graduação em Compliance e Direito 4.0 estão previstas para iniciar dia 02 de abril. Informações sobre corpo docente, grade curricular e detalhes sobre inscrições estão disponíveis  no site e também por WhatsApp: 41 99971-6110/99655-0698.

 

Informações do Comitê Brasileiro de Compliance

E-mail: [email protected]

 

Serviço

Pós-graduação de Compliance e Direito 4.0

Início das aulas: 02 de abril. Local: Unisociesc Palácio Avenida. Rua Luiz Xavier, 40.

Local: Rua Luiz Xavier, 40

 

Fonte: Bem Paraná

https://www.bemparana.com.br/noticia/unisociesc-curitiba-lanca-pos-graduacao-em-compliance-e-direito-4.0

Gestão de Terceiros e Compliance foi tema de debate no SETCEPAR

Gestão de Terceiros e Compliance foi tema de debate no SETCEPAR

A Gestão de Terceiros sob as perspectivas contratual, trabalhista e de compliance foi o escopo do evento organizado pelo Instituto Brasileiro de Governança Trabalhista (IBGTR) e o Sindicato das Empresas de Transportes de Cargas no Estado do Paraná (SETCEPAR) no último dia 13 de março.

Com abordagem multidisciplinar, o objetivo dos organizadores foi mostrar para o público presente que monitorar de maneira eficaz os contratos firmados com terceiros permite às empresas mitigar riscos e aperfeiçoar seus processos internos.

A CódigoConduta.com esteve representada nos debates por seu Sócio-Diretor, Fernando Henrique Zanoni, que em sua apresentação abordou os riscos existentes em todas as etapas de uma contratação, desde a prospecção até a rescisão, passando pela execução e por eventuais não-conformidades. O diferencial de sua exposição, no entanto, foi tratar o tema tanto sob a perspectiva da contratante como do terceiro (contratado): “Todas as empresas são, em sua essência, contratantes e contratadas, portanto é necessário entender que a partir do momento que os processos internos da parte que contrata se entrelaçam com os processos internos de seu parceiro negocial, riscos são compartilhados, e a melhor maneira de mitiga-los é mantendo uma relação transparente, desde o início da relação até o seu término. Isso passa, como se viu nos outros painéis, por questões de governança trabalhista, de gestão de contratos, mas também pela necessidade imperiosa de se criar normas de conduta e controles efetivos, baseados em uma pré-análise das potenciais ameaças.”

O IBGTR organiza eventos voltados a discutir, criar e disseminar as boas práticas nas relações de trabalho a fim de identificar, controlar, eliminar ou gerir os passivos trabalhistas.

Para mais informações sobre os futuros eventos, visite o site do Instituto em www.ibgtr.com.br.

Associação Brasileira das Empresas de Software dá o pontapé inicial para o programa “Uma Empresa Ética”

Associação Brasileira das Empresas de Software dá o pontapé inicial para o programa “Uma Empresa Ética”

A ABES (Associação Brasileira das Empresas de Software) anunciou no dia 26 de fevereiro o programa “Uma Empresa Ética”. A iniciativa vai de encontro a diversos projetos que visam incentivar a criação de Programas de Integridade nas mais diversas áreas. Organizações setoriais, como a ABES, que reúnem diversas empresas, estão cada vez mais criando iniciativas que visam melhorar os padrões éticos e morais de seus segmentos, tornando mais saudável e rentável o relacionamento com fornecedores, clientes e colaboradores.

A concepção do programa “Uma Empresa Ética” surgiu a partir do resultado de uma pesquisa de avaliação do grau de maturidade dos Programas de Integridade das empresas associadas a ABES. Foram estabelecidas prioridades e disponibilizado apoio técnico, estimulando as empresas a implementar ou melhorar Programas de Compliance já existentes.

Para Cynzia Fontana, Sócia-Diretora da CódigoConduta.com, “com o advento das novas tecnologias e consequentes regulamentações, empresas que trabalham com inovação devem ter Programas de Integridade robustos, cobrindo principalmente questões relacionadas às áreas sensíveis do negócio, como proteção de dados e propriedade intelectual. A proposta de oferecer um Canal Ético em plataforma conjunta para os associados da ABES também é bastante interessante, pois ajuda a entidade a mapear os principais riscos do setor
como um todo.”

Para maiores informações sobre o Programa “Uma Empresa Ética”, viste o site da ABES.

Instituto Ethisphere anuncia lista com as 128 empresas mais Éticas do mundo em 2019: apenas duas são brasileiras

Instituto Ethisphere anuncia lista com as 128 empresas mais Éticas do mundo em 2019: apenas duas são brasileiras

O Instituto Ethisphere¹ , situado em Scottsdale, no estado americano do Arizona, anunciou no final do mês de fevereiro uma lista com as 128 empresas mais éticas do mundo no ano de 2019.

Além do caráter multisetorial, foram agraciadas com o prêmio, empresas de 21 países. Do Brasil, duas Companhias estão presentes na lista, Vivo e Natura. Na cerimônia de premiação, Timothy Erblich, CEO do Instituto, parabenizou a Vivo e complementou “Hoje, funcionários, investidores e stakeholders estão depositando maior confiança nas empresas que assumem a liderança de questões sociais. Empresas que adotam a visão de longo prazo com uma estratégia baseada em propósito não somente são superadoras, como mais duradouras”.

Em nota, a Chief Compliance Officer da Vivo, Roberta Pegas, afirmou que “esta certificação confirma o  compromisso permanente da Vivo de realizar seus negócios de forma ética e transparente.” Já a Natura é presença constante nesse seleto grupo de empresas, tendo sido premiada pela nona vez em 2019, reconhecimento da seriedade e comprometimento que a empresa tem a respeito de promover práticas éticas e conformidade
no ambiente de negócios.

Segundo Cynzia Fontana, o fato de termos apenas duas empresas brasileiras premiadas, mostra como o Compliance ainda está incipiente no país: “Uma robusta Cultura Ética e a existência de Programas de Integridade realmente efetivos, com apoio total e irrestrito da alta direção e com ações que visem promover um novo ambiente de negócios, infelizmente ainda é exceção. Temos visto muitas organizações com discursos que não correspondem às práticas corporativas e institucionais. Isso fica mais claro no caso de certificações ou premiações que avaliam aspectos objetivos² do Compliance dentro das organizações.”

Para visualizar quais são as empresas premiadas, visite o site do Instituto clicando aqui.

1. Sobre o Instituto Ethisphere:  Instituto Ethisphere é líder global na definição e no avanço
dos padrões de práticas empresariais éticas que fomentam o caráter corporativo, a confiança
de mercado e o sucesso empresarial. O Instituto possui profundo conhecimento e experiência
em medição e definição de padrões éticos fundamentais por meio de insights conduzidos por
dados que ajudam empresas a aprimorarem seu caráter e a medir e a melhorar sua cultura. O
Ethisphere homenageia grandes realizações por meio de seu programa de reconhecimento
World’s Most Ethical Companies.

2. A avaliação das empresas mais éticas do mundo é baseada na estrutura Ethics Quotient (EQ)
do Ethisphere Institute. As pontuações são geradas em cinco categorias principais: programa
de ética e conformidade (35%), cultura de ética (20%), cidadania e responsabilidade
corporativa (20%), governança (15%) e liderança e reputação (10%) ².

× Fale Conosco