por CódigoConduta.com | 3 jun 2019 | Eventos
No próximo dia 30 de julho de 2019 o Pequeno Cotolengo do Paraná realizará o evento Compliance Day 2019, evento que pretende promover discussões sobre Programas de Integridade nas Organizações da Socidade Civil (OSCIPS).
O evento tem o apoio da CódigoConduta.com, que desde meados de 2018 é parceira da instituição, fornecendo soluções tecnológicas em conformidade e integridade e assessoria técnica em Compliance.
Fernando Henrique Zanoni, Sócio-Diretor da empresa, será responsável por mediar o painel de debates, e estará ao lado do Dr. José William Gomes da Silva, Superitendente da Controladoria Geral da União, Dr. Nestor Baptista, Presidente do Tribunal de Contas do Estado do Paraná, Dra. Karina Anastacio Faria de Moura Cordeiro, Promotora de Justiça do Ministério Público do Estado do Paraná, e do Sr. Diogo Azevedo, Diretor Executivo do Pequeno Cotolengo do Paraná.
Fernando Henrique Zanoni, Sócio-Diretor da empresa, será responsável por mediar o painel de debates, e estará ao lado do Dr. José William Gomes da Silva, Superitendente da Controladoria Geral da União, Dr. Nestor Baptista, Presidente do Tribunal de Contas do Estado do Paraná, Dra. Karina Anastacio Faria de Moura Cordeiro, Promotora de Justiça do Ministério Público do Estado do Paraná, e do Sr. Diogo Azevedo, Diretor Executivo do Pequeno Cotolengo do Paraná.
Para maiores informações e inscrições, acesse o site do evento clicando aqui.
por CódigoConduta.com | 3 jun 2019 | Eventos, Notícias
A CódigoConduta.com, é apoiadora do IV Congresso Integra – Compliance Across Americas.
O evento é considerado o melhor fórum de intercâmbio de informações e experiências nas áreas de Governança, Riscos e Compliance (GRC), e visa capacitar e incentivar as empresas a aderirem a cultura da ética e da integridade e auxiliá-las a se prepararem para enfrentar os desafios do mercado globalizado em constante transformação.
Os colaboradores, clientes e parceiros da CódigoConduta.com possuem um desconto especial! Aproveitem!
O Congresso ocorrerá nos dias 05, 06 e 07 de Setembro de 2019, em São Paulo.
Para informações e inscrições, acesse o site do evento: https://lnkd.in/e6pXYeQ
Nos vemos lá!
por CódigoConduta.com | 3 jun 2019 | Notícias
A CódigoConduta.com apresentou suas soluções em Conformidade e Integridade Corporativa para seleto grupo de executivos e profissionais durante a Feira de Produtos, Serviços e Soluções Empresariais da ExpoGestão 2019, evento que foi realizado entre os dias 14 a 16 de maio de 2019, no Centro de Convenções e Exposições Expoville, na cidade de Joinville, em Santa Catarina.
Em sua 17ª edição, a ExpoGestão foi uma oportunidade única para líderes empresariais e gestores atualizarem tendências e estreitarem relacionamentos. Além da Feira, foram realizadas palestras e workshops nas áreas de Governança Corporativa, Estratégica, Cultura de Gestão e Liderança, Inovação Disruptiva, Cibersegurança e Inteligência Artificial, Design, Consumo, Economia, Ética e Empreendedorismo.
Segundo Cynzia Fontana, Sócia-Diretora da CódigoConduta.com, a participação da empresa foi importante para fortalecer a marca: “Além dos ótimos contatos com prospects, interessados em implementar ou sofisticar seu Programa de Integridade, também conhecemos potenciais parceiros comerciais da região. Com nossa metodologia e tecnologia exclusivas, queremos atuar em todo o território nacional, e por isso estar junto aos tomadores de decisão é fundamental.“
A CódigoConduta.com continua seu plano de expansão, buscando parceiros estratégicos em todos os Estados, visando disseminar o Compliance e conduzir as organizações à melhoria de seus processos internos e a implementação de uma cultura de integridade. Caso queira se tornar um parceiro institucional, entre em contato conosco.
Para ver as fotos do evento e saber mais, acesse nosso Instagram clicando aqui.
por Fernando Henrique Zanoni | 23 abr 2019 | Artigos
Os primeiros 10 capítulos da série “LGPD na Prática” permitiram ao leitor entender quais empresas são impactadas pela nova regulamentação, qual a melhor maneira para estruturar um sistema de governança de dados, como gerar um inventário de dados pessoais e mecanismos de transferência, de que maneira implementar uma política de privacidade, como as rotinas da organização são afetadas pela nova lei, de que forma treinar e como se comunicar com colaboradores e demais stakeholders com relação à temas de segurança e privacidade de dados, de que forma mapear e gerenciar riscos próprios e de terceiros, como aplicar avisos legais (“disclaimers“) e de que modo estabelecer procedimentos internos para responder tempestivamente às solicitações e reclamações de usuários.
O presente capítulo será destinado a tratar do chamado “Privacy by Design“, ou seja, como identificar nas práticas operacionais novos processos, ou processos já existentes, que já estejam ou possam vir a estar relacionados à coleta, processamento e tratamento de dados, de modo a adapta-los, à nova legislação, às regulamentações internacionais e às normas de conduta e políticas internas, visando preservar o direito à privacidade do usuário final. Em outras palavras, deve-se propugnar pela proteção de dados em todos os estágios do negócio, ou seja, desde o design de um sistema, produto ou serviço até todo o seu ciclo de vida, instaurando medidas técnicas e organizacionais que objetivem prever riscos e eventos invasivos de privacidade antes que eles ocorram e tomando medidas para evitar danos ao titular dos dados. Para tanto, passo a elencar alguns passos a serem seguidos:
1. Manter diretrizes e modelos detalhando como conduzir avaliações de impacto de privacidade ou avaliações de impacto de proteção de dados para garantir que os riscos de proteção de dados são medidos e analisados periodicamente quando há um novo projeto envolvendo o uso de dados pessoais, novos sistemas de segurança da informação ou o compartilhamento de dados com terceiros, e também no caso de projetos já em andamento e sistemas existentes. As avaliações de impacto de privacidade devem ser conduzidas o mais cedo possível no ciclo de vida do projeto (daí a expressão Privacy by Design), para que recomendações possam ser incorporadas durante o seu andamento, identificando os riscos que a iniciativa planejada possa fazer emergir e formas alternativas de processamento dos dados pessoais para mitigar essas ameaças potenciais. Nas avaliações de impacto de privacidade devem estar envolvidos o Data Protection Officer (DPO), um profissional de segurança da informação, o processador dos dados e um consultor jurídico especialista em privacidade de dados. A ICO (Information Commissioner’s Office), autoridade britânica criada para defender os direitos de informação, disponibiliza um template bastante intuitivo que pode ser usado como apoio para realização de uma avaliação de impacto de privacidade.
2. Estruturar a avaliação de impacto de privacidade de maneira lógica e procedimentalizada. A avaliação de impacto de privacidade deve ser concebida de forma coerente, de modo a permitir que todos da organização sigam o mesmo norte quando da necessidade de realiza-la. Isso significa que deve ser procedimentalizada. Nesse sentido, sugere-se sejam adotados ao menos os seguintes passos: (i) estudo do contexto, com um overview do processo e do produto ou serviço, fase na qual são identificados o controlador e o processador, quais serão os dados a serem processados e armazenados e o ciclo de vida desses dados (preferencialmente com um diagrama de fluxos e uma descrição detalhada do passo a passo); (ii) estudo dos princípios fundamentais, com a identificação da justificativa para recolhimento dos dados, a legalidade do tratamento, minimização de dados, qualidade, duração dos registros, informações para os titulares, obtenção do consentimento do titular e possibilidade de acessar seus dados diretamente, portabilidade, possibilidade de retificar e apagar os dados, contestar ou restringir o processamento e transferência para outras jurisdições, explicando e justificando as escolhas feitas e descrevendo os controles selecionados para cumprir os requisitos legais; (iii) estudo dos riscos de segurança de dados, a ser executado pelo responsável pelo projeto, avaliação de controles existentes ou planejados sobre os dados processados, sobre a segurança do sistema no qual o processamento é realizado e no gerenciamento do projeto, no caso de incidentes e violações e na relação com terceiros; (iv) validação da avaliação de impacto, fase na qual os resultados das fases anteriores são consolidados e apresentados, com o mapeamento dos riscos e os respectivos planos de ação para mitiga-los. O framework proposto pela CNIL, autoridade administrativa independente da França, disponível no link a seguir (https://www.cnil.fr/en/privacy-impact-assessment-pia), também pode ser bastante útil aos profissionais que terão a função de preparar o plano de avaliação de impacto dentro das organizações.
3. Envolver terceiros como parte destes processos de avaliações de impacto de privacidade ou de proteção de dados. Na avaliação de impacto de privacidade a participação de partes interessadas como usuários de sistemas, clientes, colaboradores e até mesmo os órgãos reguladores pode oferecer novas perspectivas sobre os riscos. Por essa razão, buscar a opinião desses stakeholders pode ser útil durante o desenvolvimento de um novo projeto, seja por meio de surveys ou mesmo da imersão total para melhor entendimento de quais são e como se dará o processamento e armazenamento dos dados.
4. Acompanhar e abordar os problemas de proteção de dados identificados durante as avaliações. Uma avaliação de impacto de privacidade ou de proteção de dados geralmente é iniciada com um processo de assessment, na qual perguntas são feitas para identificar se a iniciativa proposta terá ou não impacto sobre os direitos e liberdades dos indivíduos quanto à proteção de dados. As perguntas devem ser projetadas de modo que sejam fornecidos indicadores sobre o grau, o escopo e a escala dos problemas de privacidade. Auxilia nesta etapa a elaboração de uma planilha compartilhada de Project Management, na qual são identificados os riscos, as respectivas soluções, proteções e/ou processos alternativos para mitiga-los, os responsáveis pela sua implementação e a pessoa responsável para endereçamento de preocupações futuras relacionadas à essas ameaças na eventualidade de surgir quaisquer problemas.
5. Elaborar relatórios para os reguladores e partes interessadas, quando necessário. O relatório de avaliação de impacto de proteção de dados detalhará os riscos identificados durante o processo e os priorizará de acordo com a gravidade, devendo ainda esclarecer quais são os impactos sobre os direitos dos titulares dos dados caso os riscos venham a ocorrer, além de recomendar a adoção de controles apropriados para mitiga-los e reduzi-los a um nível aceitável. Estes relatórios poderão ser submetidos aos reguladores ou a terceiros que tenham ou não participado do processo, para que todos sejam informados acerca dos riscos de privacidade antes do lançamento de um novo produto, sistema ou processo.
No próximo capítulo, irei discorrer sobre como conduzir de forma estruturada a apuração e correção de violações de privacidade.
Para acessar o primeiro capítulo da Série, clique aqui.
por Fernando Henrique Zanoni | 27 mar 2019 | Artigos
Nos capítulos anteriores da série “LGPD na Prática” foi possível fazer um overview de quais empresas são impactadas pela nova regulamentação, como implementar e manter uma estrutura de governança de dados, qual a melhor maneira de implementar um processo de inventário de dados pessoais e mecanismos de transferência, como adotar uma política de privacidade, entender como a nova lei afeta as rotinas da organização, qual a forma mais eficaz de implantar um cronograma de treinamento e comunicação, como mapear e gerenciar riscos de segurança da informação e de terceiros e a aplicação prática dos avisos legais (“disclaimers“).
Nesta etapa, pretendo esclarecer como estabelecer procedimentos internos para responder tempestivamente às solicitações e reclamações de usuários, considerando alguns pontos fundamentais, quais sejam:
1. Desenhar um workflow para resolver eventuais reclamações de usuários ou pedidos de informação. Toda organização deve manter procedimentos-padrão para: (i) reconhecer reclamações relacionadas a questões de proteção de dados; (ii) lidar com demandas simples e relatar a resolução ao DPO (Data Protection Officer); e (iii) encaminhar imediatamente as demandas mais sensíveis para o responsável pela proteção de dados. Recomenda-se que seja mantido um canal direto entre titular dos dados e o DPO por meio do website da organização, seja através de formulário ou informando um e-mail de contato. No caso de demandas complexas, que eventualmente requeiram atualizações ou revisões dos sistemas de informação ou mesmo repactuação de contratos firmados com terceiros sugere-se seja envolvida a alta direção ou um comitê multidisciplinar. É necessário, ainda, estabelecer e cumprir prazos para responder aos titulares de dados e mantê-los inteirados dos procedimentos para apuração ou solução das suas reclamações ou pedidos de informação, de modo a resolver as demandas a fim de se evitar que o usuário procure as autoridades competentes.
2. Manter procedimentos específicos para responder a pedidos de acesso, atualização ou correção de dados pessoais, respeitando os requisitos legais e observando os conteúdos e prazos de resposta. A resposta à solicitação de acesso, atualização ou correção de dados pressupõe dois estágios: (i) primeiro verifica-se se os dados que o titular busca estão realmente sendo processados; (ii) em seguida, conforme disposto em lei, deve-se facilitar a consulta, informando de maneira clara a origem destes dados, a finalidade específica do seu tratamento , as categorias, os destinatários, a duração prevista do armazenamento e a identificação do controlador, com as devidas informações de contato, fornecendo os dados por meio eletrônico ou sob forma impressa no prazo máximo de 15 (quinze) dias. Em casos fundamentados, este prazo poderá excepcionalmente ser excedido, desde que com aprovação da autoridade nacional. O grande desafio, neste particular, é entender que qualquer colaborador da organização pode receber uma solicitação válida de um titular de dados, seja aquele que tem contato direto com um cliente ou prospect ou aquele que monitora as redes sociais. Por essa razão, e considerando o prazo exíguo para resposta ao titular, todos da organização devem ter bem entendido o processo para notificar o DPO ou área responsável por responder às solicitações de acesso. Recomenda-se, neste particular, a adoção de um procedimento específico e o treinamento desses colaboradores que podem vir a receber a pedidos de acesso, atualização ou correção de dados pessoais. A aplicação de um formulário padrão para que o usuário titular solicite o acesso, atualização ou correção de dados pessoais facilitará substancialmente o processo interno e agilizará a resposta. As melhores práticas recomendam que, sempre que possível, as organizações forneçam acesso remoto a um sistema de auto-atendimento seguro que proporcione ao indivíduo acesso direto às suas informações. No caso de pedidos de acesso feitos por terceiros, a organização deve estar segura de que este tem o direito de agir em nome do titular dos dados, portanto deve solicitar a apresentação de uma autorização por escrito ou procuração e em não sendo atendido este pedido sugere-se sejam divulgadas as informações diretamente ao titular. Quando os dados solicitados estiverem sendo processados por um terceiro (operador) é importante garantir que o acordo de nível de serviços preveja o cumprimento dos prazos no caso de solicitações de acesso.
3. Zelar para que processos de exclusão de dados ou portabilidade sejam respondidos correta e tempestivamente. Nos termos do Art. 18, VI, da LGPD, os titulares de dados têm direito à eliminação destes, também conhecido como “direito de ser esquecido”, quando estes não são mais necessários para o propósito para o qual foi coletado ou processado originalmente, quando o indivíduo retira seu consentimento ou quando não há interesse legítimo para continuar com o processamento. Quando a organização compartilhou os dados com terceiros, processadores, por exemplo, é necessário implementar um processo no qual qualquer demanda de exclusão seja notificada a estes parceiros. Importante salientar que a exclusão dos dados também deve ser realizada dos sistemas de backup, além dos sistemas ativos. No caso da portabilidade, as organizações devem manter mecanismos para exportar e importar dados, bem como processos (automatizados ou não) para responder a solicitações de indivíduos neste particular, transmitindo diretamente os dados para o titular, fornecendo acesso a uma ferramenta que permita a ele extrair estes dados ou transferindo diretamente para outro controlador, quando tecnicamente viável. A transferência de dados deve ser feita de maneira estruturada, ou seja, utilizando-se planilhas, por exemplo, nas quais os dados são organizados em linhas e colunas, em um formato comumente utilizado, de modo que possa ser lido e processado por outros controladores por meio de aplicativos de softwares comuns. Ainda, deve-se pensar na responsabilidade da organização caso seja aquela que receberá dados pessoais devido a uma solicitação de dados. Nesse caso, ao decidir aceitar ou reter dados pessoais provenientes de outro controlador a organização deve considerar se estes são relevantes ou eventualmente se excedem os propósitos para os quais esta os processará.
4. Conservar um “FAQ” (respostas à perguntas frequentes) de fácil acesso pelos usuários é altamente recomendável, seja para suportar a política de privacidade e os avisos legais ou mesmo o treinamento dos colaboradores.
5. Avaliar as principais causas de reclamações relacionadas à privacidade de dados, monitorar e relatar métricas. Recomenda-se fortemente que o DPO mantenha um processo para investigar as principais causas que geram reclamações de usuários e emitir recomendações para melhoria das práticas a fim de evitar queixas adicionais, gerando relatórios gerenciais para as áreas respectivas, de modo a permitir que seja medida a eficiência na resolução dos problemas e os respectivos custos e identificando processos sensíveis, os quais acabam por expor a organização a riscos relacionados com a proteção de dados.
No próximo capítulo, irei discorrer sobre como monitorar novas práticas operacionais implementando princípios de Privacidade por Design (Privacy by Design).
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
Comentários