por Fernando Henrique Zanoni | 23 abr 2019 | Artigos
Os primeiros 10 capítulos da série “LGPD na Prática” permitiram ao leitor entender quais empresas são impactadas pela nova regulamentação, qual a melhor maneira para estruturar um sistema de governança de dados, como gerar um inventário de dados pessoais e mecanismos de transferência, de que maneira implementar uma política de privacidade, como as rotinas da organização são afetadas pela nova lei, de que forma treinar e como se comunicar com colaboradores e demais stakeholders com relação à temas de segurança e privacidade de dados, de que forma mapear e gerenciar riscos próprios e de terceiros, como aplicar avisos legais (“disclaimers“) e de que modo estabelecer procedimentos internos para responder tempestivamente às solicitações e reclamações de usuários.
O presente capítulo será destinado a tratar do chamado “Privacy by Design“, ou seja, como identificar nas práticas operacionais novos processos, ou processos já existentes, que já estejam ou possam vir a estar relacionados à coleta, processamento e tratamento de dados, de modo a adapta-los, à nova legislação, às regulamentações internacionais e às normas de conduta e políticas internas, visando preservar o direito à privacidade do usuário final. Em outras palavras, deve-se propugnar pela proteção de dados em todos os estágios do negócio, ou seja, desde o design de um sistema, produto ou serviço até todo o seu ciclo de vida, instaurando medidas técnicas e organizacionais que objetivem prever riscos e eventos invasivos de privacidade antes que eles ocorram e tomando medidas para evitar danos ao titular dos dados. Para tanto, passo a elencar alguns passos a serem seguidos:
1. Manter diretrizes e modelos detalhando como conduzir avaliações de impacto de privacidade ou avaliações de impacto de proteção de dados para garantir que os riscos de proteção de dados são medidos e analisados periodicamente quando há um novo projeto envolvendo o uso de dados pessoais, novos sistemas de segurança da informação ou o compartilhamento de dados com terceiros, e também no caso de projetos já em andamento e sistemas existentes. As avaliações de impacto de privacidade devem ser conduzidas o mais cedo possível no ciclo de vida do projeto (daí a expressão Privacy by Design), para que recomendações possam ser incorporadas durante o seu andamento, identificando os riscos que a iniciativa planejada possa fazer emergir e formas alternativas de processamento dos dados pessoais para mitigar essas ameaças potenciais. Nas avaliações de impacto de privacidade devem estar envolvidos o Data Protection Officer (DPO), um profissional de segurança da informação, o processador dos dados e um consultor jurídico especialista em privacidade de dados. A ICO (Information Commissioner’s Office), autoridade britânica criada para defender os direitos de informação, disponibiliza um template bastante intuitivo que pode ser usado como apoio para realização de uma avaliação de impacto de privacidade.
2. Estruturar a avaliação de impacto de privacidade de maneira lógica e procedimentalizada. A avaliação de impacto de privacidade deve ser concebida de forma coerente, de modo a permitir que todos da organização sigam o mesmo norte quando da necessidade de realiza-la. Isso significa que deve ser procedimentalizada. Nesse sentido, sugere-se sejam adotados ao menos os seguintes passos: (i) estudo do contexto, com um overview do processo e do produto ou serviço, fase na qual são identificados o controlador e o processador, quais serão os dados a serem processados e armazenados e o ciclo de vida desses dados (preferencialmente com um diagrama de fluxos e uma descrição detalhada do passo a passo); (ii) estudo dos princípios fundamentais, com a identificação da justificativa para recolhimento dos dados, a legalidade do tratamento, minimização de dados, qualidade, duração dos registros, informações para os titulares, obtenção do consentimento do titular e possibilidade de acessar seus dados diretamente, portabilidade, possibilidade de retificar e apagar os dados, contestar ou restringir o processamento e transferência para outras jurisdições, explicando e justificando as escolhas feitas e descrevendo os controles selecionados para cumprir os requisitos legais; (iii) estudo dos riscos de segurança de dados, a ser executado pelo responsável pelo projeto, avaliação de controles existentes ou planejados sobre os dados processados, sobre a segurança do sistema no qual o processamento é realizado e no gerenciamento do projeto, no caso de incidentes e violações e na relação com terceiros; (iv) validação da avaliação de impacto, fase na qual os resultados das fases anteriores são consolidados e apresentados, com o mapeamento dos riscos e os respectivos planos de ação para mitiga-los. O framework proposto pela CNIL, autoridade administrativa independente da França, disponível no link a seguir (https://www.cnil.fr/en/privacy-impact-assessment-pia), também pode ser bastante útil aos profissionais que terão a função de preparar o plano de avaliação de impacto dentro das organizações.
3. Envolver terceiros como parte destes processos de avaliações de impacto de privacidade ou de proteção de dados. Na avaliação de impacto de privacidade a participação de partes interessadas como usuários de sistemas, clientes, colaboradores e até mesmo os órgãos reguladores pode oferecer novas perspectivas sobre os riscos. Por essa razão, buscar a opinião desses stakeholders pode ser útil durante o desenvolvimento de um novo projeto, seja por meio de surveys ou mesmo da imersão total para melhor entendimento de quais são e como se dará o processamento e armazenamento dos dados.
4. Acompanhar e abordar os problemas de proteção de dados identificados durante as avaliações. Uma avaliação de impacto de privacidade ou de proteção de dados geralmente é iniciada com um processo de assessment, na qual perguntas são feitas para identificar se a iniciativa proposta terá ou não impacto sobre os direitos e liberdades dos indivíduos quanto à proteção de dados. As perguntas devem ser projetadas de modo que sejam fornecidos indicadores sobre o grau, o escopo e a escala dos problemas de privacidade. Auxilia nesta etapa a elaboração de uma planilha compartilhada de Project Management, na qual são identificados os riscos, as respectivas soluções, proteções e/ou processos alternativos para mitiga-los, os responsáveis pela sua implementação e a pessoa responsável para endereçamento de preocupações futuras relacionadas à essas ameaças na eventualidade de surgir quaisquer problemas.
5. Elaborar relatórios para os reguladores e partes interessadas, quando necessário. O relatório de avaliação de impacto de proteção de dados detalhará os riscos identificados durante o processo e os priorizará de acordo com a gravidade, devendo ainda esclarecer quais são os impactos sobre os direitos dos titulares dos dados caso os riscos venham a ocorrer, além de recomendar a adoção de controles apropriados para mitiga-los e reduzi-los a um nível aceitável. Estes relatórios poderão ser submetidos aos reguladores ou a terceiros que tenham ou não participado do processo, para que todos sejam informados acerca dos riscos de privacidade antes do lançamento de um novo produto, sistema ou processo.
No próximo capítulo, irei discorrer sobre como conduzir de forma estruturada a apuração e correção de violações de privacidade.
Para acessar o primeiro capítulo da Série, clique aqui.
por Fernando Henrique Zanoni | 27 mar 2019 | Artigos
Nos capítulos anteriores da série “LGPD na Prática” foi possível fazer um overview de quais empresas são impactadas pela nova regulamentação, como implementar e manter uma estrutura de governança de dados, qual a melhor maneira de implementar um processo de inventário de dados pessoais e mecanismos de transferência, como adotar uma política de privacidade, entender como a nova lei afeta as rotinas da organização, qual a forma mais eficaz de implantar um cronograma de treinamento e comunicação, como mapear e gerenciar riscos de segurança da informação e de terceiros e a aplicação prática dos avisos legais (“disclaimers“).
Nesta etapa, pretendo esclarecer como estabelecer procedimentos internos para responder tempestivamente às solicitações e reclamações de usuários, considerando alguns pontos fundamentais, quais sejam:
1. Desenhar um workflow para resolver eventuais reclamações de usuários ou pedidos de informação. Toda organização deve manter procedimentos-padrão para: (i) reconhecer reclamações relacionadas a questões de proteção de dados; (ii) lidar com demandas simples e relatar a resolução ao DPO (Data Protection Officer); e (iii) encaminhar imediatamente as demandas mais sensíveis para o responsável pela proteção de dados. Recomenda-se que seja mantido um canal direto entre titular dos dados e o DPO por meio do website da organização, seja através de formulário ou informando um e-mail de contato. No caso de demandas complexas, que eventualmente requeiram atualizações ou revisões dos sistemas de informação ou mesmo repactuação de contratos firmados com terceiros sugere-se seja envolvida a alta direção ou um comitê multidisciplinar. É necessário, ainda, estabelecer e cumprir prazos para responder aos titulares de dados e mantê-los inteirados dos procedimentos para apuração ou solução das suas reclamações ou pedidos de informação, de modo a resolver as demandas a fim de se evitar que o usuário procure as autoridades competentes.
2. Manter procedimentos específicos para responder a pedidos de acesso, atualização ou correção de dados pessoais, respeitando os requisitos legais e observando os conteúdos e prazos de resposta. A resposta à solicitação de acesso, atualização ou correção de dados pressupõe dois estágios: (i) primeiro verifica-se se os dados que o titular busca estão realmente sendo processados; (ii) em seguida, conforme disposto em lei, deve-se facilitar a consulta, informando de maneira clara a origem destes dados, a finalidade específica do seu tratamento , as categorias, os destinatários, a duração prevista do armazenamento e a identificação do controlador, com as devidas informações de contato, fornecendo os dados por meio eletrônico ou sob forma impressa no prazo máximo de 15 (quinze) dias. Em casos fundamentados, este prazo poderá excepcionalmente ser excedido, desde que com aprovação da autoridade nacional. O grande desafio, neste particular, é entender que qualquer colaborador da organização pode receber uma solicitação válida de um titular de dados, seja aquele que tem contato direto com um cliente ou prospect ou aquele que monitora as redes sociais. Por essa razão, e considerando o prazo exíguo para resposta ao titular, todos da organização devem ter bem entendido o processo para notificar o DPO ou área responsável por responder às solicitações de acesso. Recomenda-se, neste particular, a adoção de um procedimento específico e o treinamento desses colaboradores que podem vir a receber a pedidos de acesso, atualização ou correção de dados pessoais. A aplicação de um formulário padrão para que o usuário titular solicite o acesso, atualização ou correção de dados pessoais facilitará substancialmente o processo interno e agilizará a resposta. As melhores práticas recomendam que, sempre que possível, as organizações forneçam acesso remoto a um sistema de auto-atendimento seguro que proporcione ao indivíduo acesso direto às suas informações. No caso de pedidos de acesso feitos por terceiros, a organização deve estar segura de que este tem o direito de agir em nome do titular dos dados, portanto deve solicitar a apresentação de uma autorização por escrito ou procuração e em não sendo atendido este pedido sugere-se sejam divulgadas as informações diretamente ao titular. Quando os dados solicitados estiverem sendo processados por um terceiro (operador) é importante garantir que o acordo de nível de serviços preveja o cumprimento dos prazos no caso de solicitações de acesso.
3. Zelar para que processos de exclusão de dados ou portabilidade sejam respondidos correta e tempestivamente. Nos termos do Art. 18, VI, da LGPD, os titulares de dados têm direito à eliminação destes, também conhecido como “direito de ser esquecido”, quando estes não são mais necessários para o propósito para o qual foi coletado ou processado originalmente, quando o indivíduo retira seu consentimento ou quando não há interesse legítimo para continuar com o processamento. Quando a organização compartilhou os dados com terceiros, processadores, por exemplo, é necessário implementar um processo no qual qualquer demanda de exclusão seja notificada a estes parceiros. Importante salientar que a exclusão dos dados também deve ser realizada dos sistemas de backup, além dos sistemas ativos. No caso da portabilidade, as organizações devem manter mecanismos para exportar e importar dados, bem como processos (automatizados ou não) para responder a solicitações de indivíduos neste particular, transmitindo diretamente os dados para o titular, fornecendo acesso a uma ferramenta que permita a ele extrair estes dados ou transferindo diretamente para outro controlador, quando tecnicamente viável. A transferência de dados deve ser feita de maneira estruturada, ou seja, utilizando-se planilhas, por exemplo, nas quais os dados são organizados em linhas e colunas, em um formato comumente utilizado, de modo que possa ser lido e processado por outros controladores por meio de aplicativos de softwares comuns. Ainda, deve-se pensar na responsabilidade da organização caso seja aquela que receberá dados pessoais devido a uma solicitação de dados. Nesse caso, ao decidir aceitar ou reter dados pessoais provenientes de outro controlador a organização deve considerar se estes são relevantes ou eventualmente se excedem os propósitos para os quais esta os processará.
4. Conservar um “FAQ” (respostas à perguntas frequentes) de fácil acesso pelos usuários é altamente recomendável, seja para suportar a política de privacidade e os avisos legais ou mesmo o treinamento dos colaboradores.
5. Avaliar as principais causas de reclamações relacionadas à privacidade de dados, monitorar e relatar métricas. Recomenda-se fortemente que o DPO mantenha um processo para investigar as principais causas que geram reclamações de usuários e emitir recomendações para melhoria das práticas a fim de evitar queixas adicionais, gerando relatórios gerenciais para as áreas respectivas, de modo a permitir que seja medida a eficiência na resolução dos problemas e os respectivos custos e identificando processos sensíveis, os quais acabam por expor a organização a riscos relacionados com a proteção de dados.
No próximo capítulo, irei discorrer sobre como monitorar novas práticas operacionais implementando princípios de Privacidade por Design (Privacy by Design).
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
por Fernando Henrique Zanoni | 22 fev 2019 | Artigos
Em Capítulos anteriores da série “LGPD na Prática” foi possível identificar as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP), entender como implementar e preservar uma estrutura de governança de dados, assimilar o processo de inventário de dados pessoais e mecanismos de transferência, acompanhar os passos para adoção de uma política de privacidade, compreender a relação entre a nova regulamentação e as rotinas de várias áreas de uma organização, conceber um cronograma de treinamento e comunicação, verificar como gerenciar os riscos relacionados à segurança da informação e conhecer alguns passos para administrar riscos de terceiros.
No nono capítulo desta sequência, meu objetivo principal é discorrer brevemente sobre algumas medidas para preparar avisos legais e certificar ao usuário o compromisso da organização para com a privacidade de dados, em consonância com as políticas corporativas, os requisitos normativos nacionais e internacionais e com uma análise prévia de riscos.
Nesse sentido, alguns pontos de atenção devem ser observados:
1. Redigir avisos legais (disclaimers), relacionados à privacidade de dados, que detalhem as práticas de tratamento de dados da organização, em linguagem clara e acessível, adaptada ao público alvo, sem tecnicidades ou “juridiquês”, identificando como e quais são as informações coletadas, como elas são processadas, retidas e a quem serão divulgadas ou compartilhadas, além de especificar como o titular pode acessar esses dados pessoais e solicitar a exclusão ou a portabilidade destes. Sugere-se que nos avisos legais também seja identificado quem é o Encarregado de Proteção de Dados da organização, quando esta possuir um, qual a finalidade e a base legal para processamento dos dados, se estes serão transferidos para outros países e que salvaguardas existem, e por que período os dados serão mantidos pela organização.
2. Disponibilizar os avisos legais em todas as ocasiões em que dados são coletados, seja online, em páginas da web ou e-mails, via mensagens de texto, telefone, ou mesmo através de formulários físicos. Nas comunicações de marketing e em cada local físico no qual a organização possa vir a coletar dados pessoais, é importante que sejam fornecidas informações simplificadas relacionadas às suas políticas e práticas de privacidade para o público alvo.
3. Manter scripts para uso pelos colaboradores, em especial nas organizações que coletam dados pessoais pelo telefone ou pessoalmente, de modo que os titulares dos dados possam ser devidamente informados sobre a motivação e destinação das informações pessoais coletadas.
4. Obter, quando possível, um selo de privacidade para aumentar o nível de confiança dos usuários, emitido por organização especializada, e exibir em seus websites e peças de comunicação, de modo a passar maior legitimidade ao público em geral e certificar o compromisso com os princípios definidos nas normas nacionais e internacionais na interação entre os servidores da web e o navegador de um visitante da página. Para poder postular este tipo de certificação, a organização deve identificar todas as tecnologias e funcionalidades embarcadas em seu website e que estão relacionadas, por exemplo, ao registro de endereços IP, uso de cookies, web anlytics, social plugins, formulários de contato ou newsletter, etc.
por Fernando Henrique Zanoni | 21 fev 2019 | Artigos
Quando me propus a falar sobre “LGPD na Prática”, não podia imaginar quão complexo seria o tema.
Muito se fala sobre a nova regulamentação, principalmente sob o aspecto legal, mas a dificuldade para transportar os direitos dos usuários e as obrigações das empresas para o dia a dia das organizações é grande. É necessário sair do campo do dever ser, da norma em si, para entender quais são os impactos da lei nos negócios.
Já identifiquei, em capítulos anteriores, quais são as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP), como implementar e preservar uma estrutura de governança de dados, como fazer um inventário de dados pessoais e mecanismos de transferência, o que é e como adotar uma política de privacidade, a relação entre a nova regulamentação e as rotinas de várias áreas de uma organização, como treinar e comunicar e de que maneira deve-se gerenciar os riscos relacionados à segurança da informação.
Neste capítulo, o objetivo é apresentar a melhor maneira de administrar riscos de terceiro, ou seja, como atestar que os parceiros de negócio de determinada organização estejam alinhados com a nova regulamentação e com as normas internas de privacidade de dados, dentro dos limites de tolerância ao risco. Para tanto, são sugeridas algumas ações:
1. Fazer uma lista de todas as soluções de terceiro atualmente usadas pela empresa relacionadas ao tratamento e processamento de dados, fase que deve ser completada quando do inventário de dados, quando do mapeamento do ciclo de vida destes e dos caminhos a serem percorridos entre servidores
2. Manter requisitos de privacidade e segurança de dados em contratos firmados com terceiros (clientes, fornecedores, processadores de dados, empresas afiliadas). Recomenda-se que sejam adotadas cláusulas-padrão que discorram sobre as responsabilidades na coleta, tratamento, trânsito e eliminação de dados, além de dispor sobre requisitos mínimos de segurança e confidencialidade e prever obrigações de resposta, possivelmente em um SLA (Service Level Agreement), no caso de eventuais violações ou vazamentos, além de especificar internamente procedimentos para executar os contratos com as partes que processam informações pessoais. Neste caso, recomenda-se, inclusive que sejam revisados contratos já firmados e em vigência. Além disso, é fundamental que existam procedimentos bem definidos para notificação de fornecedores e um prazo razoável para remediar falhas e responder a eventuais demandas.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
por Fernando Henrique Zanoni | 4 fev 2019 | Artigos
A Série “LGPD na Prática” continua a todo vapor.
Se em capítulos anteriores foi possível apontar quais são as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP), qual a melhor forma para implementar e manter uma estrutura de governança de dados, como preservar um inventário de dados pessoais e mecanismos de transferência, de que maneira deve-se executar uma política de privacidade, como a nova regulamentação influenciará nas rotinas e como cumprir um cronograma interno de treinamento e comunicação, neste sétimo artigo irei explanar de que modo deve-se gerenciar os riscos relacionados à segurança da informação, ou seja, como manter um sistema baseado nos requisitos legais e nas principais ameaças as quais a organização está submetida.
Quando tratei da manutenção de uma estrutura de governança de dados, logo no Capítulo Dois da Série, um dos pontos abordados foi a necessidade de realizar periódicas avaliações de riscos, visando criar uma cultura interna e aprimorar os controles e sistemas de segurança. Contudo, o que se percebe é que são poucas as organizações maduras o suficiente neste particular, o que dificulta o entendimento de como se preparar para as adversidades.
Nesse sentido, cito algumas medidas a serem adotadas para aperfeiçoar ou sofisticar o gerenciamento dos riscos:
1. Integrar o risco de privacidade de dados em avaliações de risco de segurança. Identificar de maneira precisa todas as ameaças e vulnerabilidades relacionadas ao negócio é um trabalho que está intimamente ligado à criação de um inventário de dados, tratada em capítulo próprio, ao mapeamento de acessos e de dispositivos ligados à rede de computadores de uma organização. Com a identificação de gaps e das áreas ou dos processos mais sensíveis dentro da infraestrutura de segurança da informação será possível estabelecer uma matriz de riscos específica, considerando impacto e probabilidade das principais ameaças para, posteriormente, integrá-la a uma matriz global.
2. Manter medidas técnicas de segurança visando evitar, neutralizar ou mitigar os riscos identificados. Conforme dito anteriormente, testes de detecção e prevenção de penetração, a serem realizados regularmente nos sistemas de TI, e de restauração do acesso a dados pessoais, no caso de eventuais violações, além da adoção de salvaguardas que evitem, neutralizem ou mitiguem riscos, considerando não só a segurança cibernética (rede, sistemas, dados), mas também a segurança física, relacionadas aos dispositivos, tudo adequado à complexidade das operações e a infraestrutura da organização. Neste particular, caso uma falha/vulnerabilidade seja descoberta, ela deve ser classificada e um plano de ação deve ser imediatamente proposto.
3. Manter medidas para criptografar dados pessoais. A criptografia é uma função que usa uma chave para codificar os dados para que apenas usuários com acesso a essa chave possam ler as informações, fornecendo proteção contra o processamento não autorizado ou ilegal de dados pessoais, contudo não pode ser usada em todo tipo de operação. Além disso, deve-se ter em mente que a própria conversão de dados pessoais de texto simples em texto cifrado representa um processamento, de modo que, ainda que criptografados, estes continuarão sendo regidos pela LGPD. Ademais, o bom gerenciamento das chaves de codificação é fundamental, do contrário o sistema de segurança não será efetivo. Recomenda-se, no caso de adoção dessa proteção, que sejam criadas diretrizes, como uma política ou procedimentos específicos, determinando que tipo de dados devem ser criptografados e/ou protegidos com uma senha.
4. Restringir o acesso a dados pessoais. O acesso aos dados pessoais, conforme já tratado no Capítulo 5, deve ser restrito àqueles colaboradores ou terceiros com necessidade legítima. Para tanto, controles devem ser implementado, adicionando, modificando ou até mesmo excluindo perfis de usuários, garantindo ainda que o acesso seja autorizado por alguém com nível apropriado de autoridade para autentica-los, segregando funções de modo a evitar que possam existir conflitos ou que se aumente o risco de segurança ou de privacidade.
5. Manter medidas de segurança de recursos humanos. Às organizações que processam dados pessoais sugere-se a adoção de salvaguardas que garantam que as pessoas que acessam essas informações mantenham cargos de confiança ou, ao menos, assinem termos de responsabilidade e confidencialidade específicos. Deve-se adotar, também, procedimentos que assegurem que quando empregados deixam a organização ou são transferidos, sejam tomadas medidas imediatas a fim de restringir o acesso a sistemas de informação e/ou instalações que abriguem dados pessoais, de modo que nenhum dado permaneça sob custódia de tais profissionais após sua transferência ou rescisão de contrato.
6. Integrar a privacidade de dados nos planos de continuidade de negócios. A adoção de um plano de continuidade de negócios e de recuperação de desastres (Data Loss Prevention) é crucial para que a organização defina estratégias no caso de ocorrência de quaisquer incidentes que afetem seus sistemas de informação e, consequentemente, que possam acarretar na perda ou vazamento de dados ou informações confidenciais. A virtualização de servidores físicos reduz consideravelmente a dependência de hardware e acelera substancialmente a velocidade de recuperação, quando necessária.
7. Manter uma certificação de segurança (por exemplo, ISO 27001). Recomenda-se que as organizações submetam-se a auditorias específicas e avaliem postular por certificações, tais como, por exemplo, a ISO 27001, de modo que se evidencie a existência e efetividade dos controles correspondentes aos sistemas de segurança da informação, proteção de dados, privacidade e governança.
No próximo capítulo, irei discorrer sobre como administrar riscos de terceiros.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
Comentários