LGPD – DA GOVERNANÇA E BOAS PRÁTICAS

-


Como sabido, a Lei Geral de Proteção de Dados trouxe grandes mudanças na esfera da proteção da privacidade de dados no país, regulamentando esta questão que carecia de uma legislação mais robusta e prática, estabelecendo assim direitos e responsabilidades aos envolvidos.

O que vem exigindo das organizações uma forte reestruturação interna, visando atender os ditames da LGPD, como a reavaliação de processos internos e o mapeamento de atividades relacionadas ao tratamento de dados pessoais.

A governança de dados envolve a implementação de regras, práticas, processos, procedimentos, controles, auditorias, todos com adequações constantes, tendo como propósito o crescimento de uma organização de forma organizada, sustentável, em consonância assim com o ordenamento jurídico vigente e sociedade como um todo.

Uma governança corporativa corresponde a um sistema em que empresas e demais organizações são dirigidas, monitoradas e incentivadas, o que abrange o engajamento entre sócios, conselho de administração, diretorias, órgãos de fiscalização/controle e outros relacionados.

Uma das características da governança de dados no contexto da LGPD, corresponde a ideia de implementar o “Privacy by Design”, metodologia criada em 1990, incorporada na legislação europeia de proteção de dados (GDPR) e na própria LGPD.

O objetivo desta metodologia, é que na concepção de um produto ou serviço, seja colocada a proteção da privacidade no centro de todo o desenvolvimento, incluindo tal ideia entre seus valores e conduta ética. Para maior compreensão, deve-se entender os seus princípios:

- Proativo e não reativo: Estabelece uma cultura de atenção e cuidado antecipado na privacidade dos dados. O foco aqui é o gerenciamento de riscos, onde possíveis situações prejudiciais devem ser tratadas de forma adequada e prévia;

- Funcionalidade: A privacidade no uso de dados deve ser realizada de uma maneira que não prejudique o produto ou o serviço e ser desenvolvido, havendo um equilíbrio entre as partes da relação. Note que nada adiantaria restringir o uso absoluto de dados pessoais, isso engessaria o sistema e poderia prejudicar a prestação ao consumidor interessado. Este conceito muito se relaciona a questão de necessidade x adequação, ora trazidos pela LGPD;

- Visibilidade e transparência: O titular deve ter acesso aos seus dados e a transparência no tratamento destes dados é primordial. Lembre-se que a organização não é dona dos dados pessoais de alguém, mas sim, tem a posse temporária e limitada deles;

 - Privacidade no Design: Este princípio diz que a proteção aos interesses e à privacidade do usuário deve ser incluída na concepção de produtos e serviços, como um arquiteto, que ao fazer a planta de uma casa, deve prever encanamentos para o fornecimento de água, circunstância essencial;

- Segurança de ponta a ponta: A segurança dos dados deve ser incorporada em um ciclo constante de avaliações;

- Respeito: Deve-se respeitar os direitos dos titulares dos dados de forma latente, pensando sempre em soluções completas de proteção;

- Privacy by Default ou Privacidade por padrão: Determina que a privacidade seja parte integrante em todos os processos, desde a fase de concepção do produto/serviço, até sua execução. Um exemplo, é que celulares smartphones ao serem arquitetados deveriam vir configurados, de forma padronizada, quanto ao não compartilhamento da localização do aparelho, ficando a critério do titular a permissão futura, visando assim maior segurança ao dono.

E para que esta metodologia seja aplicada é fundamental que todas as pessoas da organização estejam alinhadas e em sintonia com o propósito da LGPD. Sendo figuras essenciais neste contexto o controlador e o operador (tidos como agentes de tratamento), bem como o encarregado:

 - Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

- Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

O encarregado deve orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e executar as demais atribuições determinadas pelo controlador em consonância com a lei.

Veja que o encarregado não é agente de tratamento, não pode ser responsabilizado no caso do descumprimento da LGPD, mas a ele cumpre um papel fundamental para os agentes de tratamento, que consiste na avaliação constante de conformidade para a respectiva organização que ele atende.

O encarregado é incumbido de controlar a conformidade da LGPD e demais normas relacionadas, incluindo o compartilhamento de responsabilidades, a sensibilização e a formação de profissionais capacitados em relação às operações de tratamento de dados, mantendo a organização atualizada e apta a tomar decisões.

Um dos procedimentos imprescindíveis para a governança de dados, envolve também a elaboração de políticas e procedimentos, visando a segurança da informação, nas quais sempre devem estar sendo revistas e aprimoradas.

A seguir citaremos apenas o conceito básico de três estruturas pertencentes a segurança da informação:

- Confidencialidade: O acesso à informação é feito somente por pessoas autorizadas;

- Integridade: O conteúdo deve ser protegido de forma que não possa ser alterado ou corrompido;

- Disponibilidade: A informação deve ser devidamente protegida, desde que esteja disponível quando necessária sua utilização ou consulta.

Observe que é completamente possível que exista a segurança da informação sem foco na privacidade, todavia é impossível que exista a proteção à privacidade sem a segurança da informação.

Deve ser feito o gerenciamento de riscos para que a instituições possam monitorar e tratar devidamente os riscos pertinentes a privacidade de dados, a implementação desde gerenciamento amplia a capacidade de se identificar problemas num ambiente, bem como tratá-lo com rapidez e eficiência.

Tal gerenciamento vem por exemplo desde o treinamento e instruções a funcionários, para que ao saírem de sua baia de trabalho não deixem o computador desbloqueado, com o risco de acesso indevido de terceiros, até questões técnicas do ambiente de TI.

Lembrando que deve existir uma finalidade legítima para o tratamento de dados pessoais, a organização precisa do consentimento do titular dos dados, bem como deve haver a transparência na gestão de tais dados.

Em síntese, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

A LGPD orienta que haja a implementação também de Boas Práticas e Governança de Dados pelas instituições, nos quais, os agentes poderão formular regras que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

O programa de governança deve demonstrar minimamente o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento da LGPD, de acordo com a realidade e objeto da empresa.

As regras de boas práticas e de governança em privacidade devem ser publicadas e atualizadas com periodicidade, podendo inclusive ser reconhecidas e divulgadas pela Autoridade Nacional de Proteção de Dados - ANPD.

A título meramente exemplificativo, será listado a seguir um rol de ações que uma organização engajada no cumprimento da LGPD deve de alguma forma atuar internamente:

- Nomeação de um encarregado, bem como a criação de uma estrutura de prestação de contas e governança;

- Atualização do Termo de Uso e Política de Privacidade;

- Atualização do Código de Conduta;

- Atualização da Política de Segurança da Informação (documento que define as regras de acesso, controle e compartilhamento de informações de uma organização);

- Mapeamento do fluxo de dados para definição de controles de consentimento, tendo como base a classificação de informações (de forma complementar vide ISO 27.002:2013 e 27.701:2019)[1];

 - Matriz de riscos realizado pela área de TI, criando planos de ação para possíveis problemas técnicos;

- Modelo para gestão e guarda de trilha de auditoria para gestão de logs de consentimento,

- Termos de Confidencialidade que comprometa pessoas físicas e jurídicas a garantir a segurança da informação. Todos que tem acesso ao tratamento de dados pessoais devem estar cientes de sua responsabilidade;

- Atualização de cláusulas contratuais que envolvam todos que de alguma forma forneçam dados pessoais ou participem do tratamento de tais dados (funcionários, consumidores, parceiros, fornecedores, prestadores de serviços etc.).

- Modelo de check-list de Compliance para área de compras e correlatas, determinando procedimentos frente a novos fornecedores e parceiros;

- Comunicar todos os colaboradores e promover treinamentos para que tenham ciência das diretrizes e mudanças trazidas pela LGPD;

- Estabelecer fluxo de auditorias, com o monitoramento contínuo e avaliações periódicas;

- Definir um comitê de implementação da lei, que será treinado para responder por questões que envolvam o tratamento de dados (respaldado pelo controlador);

- Criar canais de comunicação e transparência, assegurando mecanismos de participação do titular de dados;

A organização deve fazer uma análise apurada sobre a sua atual conjuntura, verificando fragilidades e identificando melhorias para que venha a se enquadrar a LGPD, cabendo uma leitura apurada ao artigo 46 e seguintes da LGPD.


Autora desde artigo: Nadya Prinet Godoy

Disponibilizado em: Mar/2021

Photo by Marvin Meyer on Unsplash




[1] ISO. Plataforma de navegação Online. Disponível em: https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-2:v1:en. Acesso em: 21 de mar. de 2021.


Location: São Paulo, Brasil

Comentários

Postar um comentário

Postagens mais visitadas deste blog

PRIMEIRA MULTA APLICADA PELA ANPD - EMPRESA DE PEQUENO PORTE

-
Imagem
  Na última semana, mais precisamente na sexta-feira, a ANPD divulgou a ocorrência da primeira multa aplicada pelo descumprimento da LGPD [1] no Brasil e desde então o assunto ganhou bastante repercussão no mundo jurídico e empresarial. Trata-se de um marco legal significativo, haja vista que inaugura uma fase de fiscalizações e sanções por atos contrários a preservação da privacidade de dados pessoais no país em detrimento dos ditames estabelecidos pela LGPD. A penalidade ocorreu após a conclusão de um processo administrativo sancionador de nº 00261.000489/2022-62 conduzido pela Coordenação-Geral de Fiscalização (CGF/ANPD) e publicado no Diário Oficial da União no dia último dia 06 de julho [2] . Para a surpresa de muitas empresas de pequeno e médio porte, que em sua maioria, não dão tanta credibilidade a LGPD, seja pela possibilidade de serem fiscalizadas ou até mesmo sancionadas, a empresa autuada foi uma microempresa de telemarketing localizada no estado do Espírito Sant...
Leia na íntegra

ANPD - 1ª Semana de Proteção de Dados Pessoais - DIA 02

-
Imagem
  ANPD Como sabido, nesta semana (30/05 a 03/06/2022) a Autoridade Nacional de Proteção de Dados - ANPD promove a 1ª Semana de Proteção de Dados Pessoais , com a iniciativa do Programa de Privacidade e Segurança da Informação (PPSI), da Secretaria de Governo Digital e do Ministério da Economia [1] . Em continuidade ao artigo anterior, trataremos do conteúdo disponibilizado no segundo dia do curso: DIA 02 – 31/05/2022 – TEMA: PRIVACIDADE NO PODER PÚBLICO HORÁRIO: 09:00 - 10:30 TEMA: LAI versus LGPD  PALESTRANTE: Marcos Lindenmayer - Chefe de Gabinete da Ouvidoria-Geral da União (OGU/CGU) Perguntas realizadas pelo público (respostas em 1:01:20 h do vídeo): 1. Em relação a dados pessoais de servidores públicos requeridos pelos cidadãos, quais os limites que a LGPD traz para fornecer ou não estes dados? 2. Quando se fala de dados pessoais, se aplica também a PJ? E a respeito dos dados de servidores públicos indicados em documentos públicos é considerado também divulga...
Leia na íntegra

LGPD - COMO COMUNICAR UM INCIDENTE DE PRIVACIDADE PARA ANPD

-
Imagem
  Em artigos anteriores tratamos com mais detalhes sobre o que corresponde ao temido vazamento de dados pessoais, bem como da relevância de uma governança eficiente e de uma gestão de riscos que busque evitar a ocorrência de incidentes de segurança. Lembrando que um incidente de segurança diz respeito a situações que coloquem em risco a preservação de dados pessoais tratados por um agente, seja através do acesso e conhecimento de pessoas não autorizadas, até situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Veja que os agentes de tratamento de dados pessoais ou qualquer outra pessoa que intervenha em uma das fases do tratamento é obrigada a garantir a segurança da informação determinada pela Lei Geral de Proteção Dados, mesmo após finda a necessidade de utilização de tais dados. Sendo primordial neste contexto, que agentes de tratamento de dados adotem medidas de segurança, técnicas e administr...
Leia na íntegra