Category: consultoria

RIPD – Dicas para a criação do Relatório de Impacto a Proteção de Dados Pessoais

Esta nova lei, traz consigo uma nova exigência para as empresas: Relatório de Impacto a Proteção de Dados, que serve como um documento legal caso ocorra alguma eventualidade de extravio ou vazamento de dados.

De um modo geral, este relatório deve prever quais são as medidas de tratamento que a empresa faz, qual é o esforço que ela desempenha na proteção dos dados coletados e quais serão as ações que ela desempenhará em caso de vazamento.

A urgência deste documento diminui quando uma empresa adota rapidamente este relatório e expõe de maneira clara e simples, quais foram as boas práticas de segurança adotas por ela no processamento de dados. Este relatório não irá eximir a empresa de suas resposabilidades, porém, dará um amplo apoio em caso fortuito.

A Lei ainda prevê, no seu artigo 52, que a ANPD (Agência Nacional de Proteção de Dados) deverá levar em consideração, alguns pontos antes de aplicar qualquer sansão legal para a empresa infratora, como a boa-fé da empresa, vantagem auferida ou pretendida pelo infrator, sua condição econômica, sua reincidência, o grau do dano causado e a sua cooperação para sanar o mesmo.

Este relatório fica a cargo da controladora dos dados criar, pois é ela quem decide o ciclo de vida do dado, desde quais dados irá coletar especificando detalhadamente o motivo, passando pelo modo como irá fazer o tratamento, proteção e garantia da privacidade e finalizando com o modo de descarte.

No teor da lei, o artigo Sexto, demonstra 10 princípios de boa-fé para a coleta dos dados, que devem ser levados em conta:

  • Finalidade: Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  • Adequação: Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  • Necessidade: Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
  • Livre Acesso: Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  • Qualidade dos dados: Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
  •  Transparência: Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
  • Segurança: Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  • Prevenção: Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  • Não Discriminação: Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
  • Responsabilização e Prestação de Contas: Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Vale salientar que no RIPD, é aconselhável demonstrar como a empresa irá mitigar os riscos e de uma maneira geral expor como o títular pode checar quais dados a controladora possuí, e como poderá fazer a solicitação de exclusão.

De uma simples, estes pontos trazidos devem auxiliar a criação deste documento legal, porém, é altamente recomendado a validação deste documento com um escritório jurídico e também com a prestadora de serviços de TI, para assegurar que todos os pontos foram vistos e adequados.

Read More

LGPD – Visão geral sobre a adequação

Trouxemos um breve resumo, fazendo uma visão geral sobre a LGPD, que obriga as empresas efetuarem adequações dos seus processos e ambientes.

O que é a LGPD?

A Lei Geral de Proteção de Dados, trata de impor as empresas que discriminem de seus clientes, colaboradores e fornecedores quais dados irão coletar, como eles serão tratados (processados), como serão armazenados, quem terá acesso a eles dentro da companhia, por quanto tempo ficarão de posse e como serão descartados.

Todos os dados armazenados, deverão ter o aceite da pessoa/empresa que fornece e este poderá a qualquer momento os consultar. No término do contrato de prestação de serviço/trabalho etc. os dados deverão ser remetidos a quem os forneceu do modo que a empresa deverá apagar eles de seus registros, a não ser claro, por detrimento de alguma obrigação legal.

Neste momento, o apoio jurídico é necessário para a adequação de contratos existentes, revisão de termos de consentimento e questões jurídicas relacionadas a política de segurança de informação.

O quê muda tanto?

Todos os contratos existentes que contenham dados pessoais (exemplo: nome, idade etc.), pessoais sensíveis (exemplo: cor de pele, credo etc.) deverão ter aceite de quem fornece e este aceite deve ser salvo em lugar seguro. Na lei, há a tipificação de dados pessoais, dados pessoais sensíveis e dados anonimizados (dados pessoais que são substituídos por outros valores que não permitam o reconhecimento do titular).

As empresas deverão ter um relatório de impactos à proteção de dados pessoais (RIPD), que é um documento com valor legal, onde detalha todos os processos de tratamento de dados, riscos (de vazamento ou perca) e controles de segurança pelos quais os dados irão passar.

Os dados fornecidos, somente podem ser exibidos para as pessoas/cargos listados no aceite e dentro disso, deve-se guardar data/hora que alguém teve acesso a um dado (tanto físico quanto digital). As empresas deverão mapear o ciclo de vida do dado (inclusive avaliar se é necessário o mesmo e por quanto tempo).

Caso algum dado solicitado for repassado a um terceiro (contabilidade, empresa de marketing etc.), deve-se ter a autorização do seu titular, do mesmo modo quando o fornecedor resolver que sejam removidos, a sua empresa deve remover do terceiro o dados.

A lei tipifica os papeis nas empresas:

  • Controlador: entidade (pessoa ou empresa) responsável pelo tratamento dos dados (geralmente a empresa);
  • Operador: quem opera os dados (cargos da empresa);
  • Encarregado: entidade indicada pelo controlador para atuar como canal de comunicação entre a empresa e a ANPD (Autoridade Nacional de Proteção de Dados) (pode ser uma empresa terceira ou um funcionário, mas que seja exclusivo a esta incumbência).

É recomendado que para o papel de Encarregado seja um terceiro, para assessorar na análise atual do comprometimento da empresa com a LGPD , dado que comunicação com a ANPD.

Outra exigência da lei é que as empresas através dos seus programas de computador atuais ou, caso usem meios analógicos (livros, folhas etc.), devem ter o registro das operações de tratamento de dados e que este armazene quem foi o operador a data e a hora que operou como um meio de auditoria.

Alguns pontos de atenção:

  • Não é necessário pedir autorização para uso dos dados para obrigatoriedades legais (como emitir uma nota fiscal), exceto se o emissor da nota for emitir recorrente ou tiver atrelado a isso, boletos, cobranças ou outras ações.
  • Não podem haver aceites viciados (exemplo comum: se continuar usando nosso serviço, você aceita nossos termos), mas somente será válido a partir do vigor da lei.
  • É necessário solicitar o aceite de todos os contratos já existentes, para diminuir o tamanho do esforço futuro ou mesmo uma desconformidade.
  • É aconselhável um treinamento com os funcionários sobre privacidade de dados para que fique enraizado na cultura da empresa.
  • Procedimentos de descarte apropriado para ativos (papéis, computadores, mídias removíveis) que contenham dados pessoais.
  • Ter mapeado o processo de anonimização para os dados sensíveis em repouso.
  • Incorporar na cultura da empresa os princípios de minimização de dados, onde a empresa realiza a coleta apenas das informações estritamente necessárias, pelo período que for necessário.

Esta visão geral sobre, serve como base para já iniciar na sua empresa a adequação dos processos. O fluxo de trabalho e a cultura da empresa podem ser revistos, sem mesmo a contratação de uma consultoria, já eliminando custos denecessários. O investimento na adequação é necessário e não tem como evitar, pois há questões como o RIPD, levantamento da criticidade de ativos/perca de dados que a consultoria pode apoiar, mas pequenos pontos como levantamento dos dados coletados, necessidade e tempo de vida são questões que podem ser revistas dentro de casa.

Read More