por Fernando Henrique Zanoni | 11 jan 2019 | Artigos
No primeiro Capítulo da Série “LGPD na Prática” ficou claro que a grande maioria das empresas será afetada, direta ou indiretamente, pela nova regulamentação brasileira em virtude dos novos direitos dos usuários titulares de dados, o que fez surgir, por conseguinte, inúmeras obrigações legais a serem respeitadas por essas organizações dentro do prazo estabelecido, ou seja, até 15 de agosto de 2020.
À primeira vista, o prazo legal para adequação à norma pode até parecer elastecido, contudo uma análise mais apurada não só dos encargos legais, mas, principalmente, da realidade das organizações, mostra a necessidade de se iniciar imediatamente um projeto estruturado para harmonização de suas operações às novas regras.
Por tais motivos, destaquei primeiramente a necessidade das empresas de manter uma estrutura de governança de dados, ou seja, certificar de que existem na organização pessoas responsáveis pela privacidade e gestão dos dados e procedimentos para reporte de incidentes.
Para tanto, sugere-se sejam seguidos os seguintes passos:
1. Nomear um Encarregado de Proteção de Dados (DPO – Data Protection Officer), responsável por supervisionar a estratégia e a implementação da proteção de dados para garantir a conformidade com os requisitos não só da LGPD, mas de outras normas internacionais as quais a empresa eventualmente esteja submetida, recebendo, processando e solucionando as reclamações e comunicações dos titulares de dados e da autoridade nacional e orientando colaboradores e terceiros a respeito das melhores práticas no que tange ao tratamento e processamento de dados pessoais. Ou seja, sua função será a de educar sobre os requisitos de conformidade, treinar todos os envolvidos, realizar auditorias regulares de segurança, manter registros abrangentes de todas as atividades e atuar como interface entre a organização, os titulares dos dados e a Agência Nacional de Proteção de Dados (ANPD). A norma não inclui uma lista de credenciais para o DPO, mas recomenda-se fortemente que seja um profissional, ou uma empresa, que tenha conhecimento especializado de leis e práticas de proteção de dados, que esteja alinhado com as operações , a infraestrutura e os sistemas de tecnologia da informação da organização e, principalmente, que conheça os riscos envolvidos neste particular, considerando as especificidades do negócio e da empresa. Idealmente, o DPO deve ter habilidades de gerenciamento e capacidade de interagir com a equipe interna, terceiros, titulares de dados e órgãos oficiais. É necessário que as informações do DPO sejam públicas e fornecidas a todas as agências de supervisão regulatória.
2. Envolver a Alta Administração e a Gerência Sênior da organização, pois assim como em um Programa de Integridade, a adequação à LGPD exige buy-in do corpo diretivo e dos principais líderes, de modo que todos devem compreender os riscos cibernéticos a que qualquer empresa está exposta, além de estarem alinhados às estratégias e objetivos das normas internas relacionadas ao processamento e tratamento de dados . Nesse sentido, recursos suficientes devem ser alocados para desenvolver, implementar, manter e melhorar os respectivos controles internos e sistemas de segurança da informação. A apresentação de reportes periódicos às partes interessadas sobre o status do processo de adequação a LGPD, neste particular, é fundamental. Nesse sentido, sugere-se que o tema seja debatido de forma recorrente em fóruns da alta direção, tais como reuniões do Conselho de Administração ou Diretoria para que se garanta que o órgãos máximos de gestão mantenham supervisão suficiente com linhas de subordinação e prestação de contas clara, a fim de demonstrar conformidade com as normas.
3. Atribuir responsabilidades pela privacidade dos dados em toda a organização. A nomeação de um Encarregado de Dados não o transforma no único responsável pelo tema dentro de uma corporação. É importante entender que existem departamentos que colhem e tratam dados pessoais periodicamente, tais como recursos humanos e marketing, para citar dois dos principais. Deste modo, os gestores dessas áreas devem estar amplamente envolvidos com o cumprimento da política de privacidade de dados e das obrigações legais advindas da LGPD. Recomenda-se, neste particular, que no próprio job description de profissionais dessas e de outras áreas que tenham contato direto com dados pessoais sejam incluídas obrigações relacionadas à observância das normas internas e externas.
4. Implementar processos de comunicação regular entre todos os envolvidos, pois uma das mudanças mais importantes que a LGPD trouxe é a obrigação das organizações de relatar em tempo razoável toda violação de dados. Procedimentos bem definidos de interação entre o Encarregado de Dados e os colaboradores, terceiros que eventualmente prestem serviços de processamento ou tratamento de dados, titulares e autoridades regulatórias devem ser sistematizados em um plano de comunicação de crise, tendo em vista o exíguo tempo para apuração e remediação de tais situações e, principalmente, os riscos reputacionais de vazamento da informação dessa , o que acarreta na imperiosa necessidade de preparar declarações reativas para tratar o assunto, em especial no caso de marcas e empresas conhecidas.
5. Realizar periódicas avaliações de riscos, de modo a criar uma conscientização quanto às possíveis consequências de uma violação e a importância de aprimorar os controles e sistemas de segurança cibernética, políticas e procedimentos de governança de dados. É importante verificar se as medidas técnicas e organizacionais adotadas pela empresa e por terceiros que eventualmente processem ou tratem dados para esta, são suficientes para proteger a confidencialidade, integridade e disponibilidade dos dados. Por isso, testes de penetração regulares de sistemas de TI e de restauração do acesso a dados pessoais no caso de violações, além da revisões das melhores práticas e de novas tecnologias para mitigar o impacto de potenciais problemas, são interessantes ferramentas de auxílio ao aperfeiçoamento das estruturas de salvaguarda. E, se num primeiro momento, as organizações possam vir a assumir que os únicos riscos que enfrentam são de invasões ou roubo de dados, é importante ressaltar a responsabilização das empresas no caso de destruição, perda ou divulgação acidental ou ilegal dos dados o que vai muito além de simples ataques de hackers.
No próximo capítulo, irei analisar a importância de se preservar um inventário de dados pessoais e definir os mecanismos de transferência de dados.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
por Fernando Henrique Zanoni | 9 jan 2019 | Artigos
Como já é notório, recentes escândalos de vazamentos de dados deram vazão a uma onda global de edição de normas, dentre elas a tão famigerada General Data Protection Regulation (GDPR), aplicável a todos os cidadãos europeus.
Referidas regulamentações, sem sombra de dúvidas, contribuem para melhorar os mecanismos de segurança e processamento de dados com o objetivo de impedir que terceiros não autorizados tenham acesso a informações pessoais sem o consentimento do usuário. E isso acaba por afetar as empresas de modo positivo, haja vista que faz com que estas, obrigatoriamente, implementem uma cultura de respeito pela privacidade dos dados pessoais de seus usuários, clientes e colaboradores.
O fenômeno chegou ao Brasil com a promulgação da Lei nº 13.709, de 14 de agosto de 2018, norma brasileira que dispõe sobre o uso, proteção, coleta e tratamento de dados pessoais, a qual foi alterada no final do ano passado com a edição da Medida Provisória nº 869, de 28 de dezembro, que ampliou o prazo legal para o dia 16 de agosto de 2020 para para que as empresas se ajustem às novas obrigações.
Não pretendo neste breve artigo avaliar a norma sob o ponto de vista jurídico, mas sim esclarecer desde logo dois pontos que saltam aos olhos já num primeiro momento:
1. Que empresas são afetadas com a edição dessa nova regulamentação? e
2. Quais são os direitos dos usuários?
Para responder a primeira pergunta, é necessário compreender que a norma: (i) define como dado pessoal qualquer informação que identifique diretamente ou torne identificável uma pessoa natural; e (ii) designa como tratamento qualquer operação de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração deste dado.
Ou seja, se sua empresa de alguma forma trata dados pessoais de titulares localizados em território nacional, diretamente ou através de terceiros, com o objetivo de obter vantagem econômica, a lei lhe é aplicável. Por consequência, todas as operações de tratamento de dados deverão ser devidamente registradas em um Relatório de Impacto à Proteção de Dados Pessoais e um monitor e disseminador das boas práticas, pessoa física ou jurídica, denominado Encarregado de Proteção de Dados (DPO – Data Protection Officer) deverá ser nomeado para ser a interface da sua organização com a Agência Nacional de Proteção de Dados (ANPD), em especial naquelas empresas que tratem dados pessoais sensíveis, assim considerados aqueles relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico. E não pára por aí: a empresa deverá adotar medidas de segurança efetivas para evitar que os dados pessoais sejam acessados indevidamente, destruídos, perdidos ou alterados e todo e qualquer incidente deverá ser reportado de forma clara à ANPD e aos próprios usuários em prazo razoável (seja lá o que isso signifique).
Quanto ao segundo questionamento, os usuários, por sua vez, têm direito de: (a) acesso aos dados pessoais que porventura sejam tratados e, consequentemente, garantia da retificação e atualização destes; (b) tratamento de suas informações pessoais somente mediante expresso consentimento, sendo realizada de maneira fácil e gratuita a exclusão dos dados do respectivo banco; e (c) portabilidade, permitindo que referidos dados possam ser encaminhados a outras empresas que também performem o seu tratamento.
Com base nas duas respostas acima, tem-se plena certeza de que a nova norma impactará as operações de inúmeras empresas, nacionais e multinacionais, o que leva ao terceiro e mais importante questionamento, cuja resposta é o objeto da presente série de pequenos artigos:
3. O que as empresas devem fazer para se adequar à Lei Geral de Proteção de Dados (LGPD) dentro do prazo legal?
Para responder a este terceiro questionamento, elenco a seguir 13 situações a serem observadas por qualquer organização que esteja submetida à Lei Geral de Proteção de Dados, com base no Framework Nymity*, as quais serão analisadas individualmente nos próximos capítulos desta série:
I – MANTER UMA ESTRUTURA DE GOVERNANÇA DE DADOS: Certificar de que existem na organização pessoas responsáveis pela privacidade e gestão dos dados e procedimentos para reporte de incidentes;
II – PRESERVAR UM INVENTÁRIO DE DADOS PESSOAIS E MECANISMOS DE TRANSFERÊNCIA DE DADOS: Atestar a existência e manutenção de um inventário da localização do armazenamento de dados pessoais ou fluxo de dados, com suas classes devidamente definidas;
III – IMPLEMENTAR UMA POLÍTICA DE PRIVACIDADE DE DADOS: Redigir e executar normas relacionadas à privacidade de dados que atenda aos requisitos legais e mitigue riscos operacionais e de danos a indivíduos;
IV – INCORPORAR A PRIVACIDADE DE DADOS À SUAS OPERAÇÕES: Sustentar procedimentos operacionais consistentes com as normas internas e externas relacionadas à privacidade de dados e aos objetivos de gerenciamento de riscos;
V – CUMPRIR UM CRONOGRAMA INTERNO DE TREINAMENTO E COMUNICAÇÃO: Fornecer treinamento e comunicação contínuos para promover a conformidade com as normas internas e externas relacionadas à privacidade de dados e a mitigação de riscos operacionais;
VI – GERENCIAR OS RISCOS RELACIONADOS À SEGURANÇA DA INFORMAÇÃO: Manter um Sistema de Segurança da Informação baseado nos requisitos legais e nos riscos a que a organização está submetida;
VII – ADMINISTRAR RISCOS DE TERCEIROS: Atestar que as contratações com terceiros e parceiros de negócio estão de acordo com as normas internas e externas de privacidade de dados e dentro dos limites de tolerância ao risco estabelecidos previamente;
VIII – PROVER AVISOS LEGAIS: Preparar avisos para usuários em consonância com a política de privacidade de dados, os requisitos legais e análise prévia de riscos;
IX – RESPONDER TEMPESTIVAMENTE ÀS SOLICITAÇÕES E RECLAMAÇÕES DE USUÁRIOS: Estabelecer procedimentos eficazes para interagir com os indivíduos acerca de seus dados pessoais;
X – MONITORAR NOVAS PRÁTICAS OPERACIONAIS: Observar novas práticas organizacionais para identificar eventuais novos processos ou mudanças nos processos existentes que estejam relacionados ao tratamento de dados, e garantir a implementação dos princípios de Privacidade por Design (Privacy by Design);
XI – CONDUZIR DE FORMA ESTRUTURADA A APURAÇÃO E CORREÇÃO DE VIOLAÇÕES DE PRIVACIDADE: Manter um efetivo sistema de averiguação e reparação de transgressões às normas e controles e incidentes relacionados à privacidade de dados;
XII – MENSURAR A EFETIVIDADE DOS PROCESSOS E CONTROLES INTERNOS: Verificar se as práticas operacionais estão em conformidade com a política de privacidade de dados, medir e relatar a eficiência dos processos e controles internos;
XIII – ACOMPANHAR A EDIÇÃO DE NOVAS REGULAMENTAÇÕES E AS MELHORES PRÁTICAS DE MERCADO: Rastrear novos requisitos de conformidade, expectativas e as melhores práticas de mercado.
Fique atento! Acompanhe periodicamente a publicação de novos capítulos da série no website da CódigoConduta.com.
Para acessar o próximo capítulo, clique aqui.
* Para informações mais detalhadas, acesse www.nymity.com.
Comentários