Baixe o app para aproveitar ainda mais
Prévia do material em texto
PASSO A PASSO NA IMPLEMENTAÇÃO DO PROJETO DE ADEQUAÇÃO À LGPD INPD – Instituto Nacional de Proteção de Dados Equipe da Comissão de Comunicação Institucional Coordenação Martha Leal Membros Debora Sirotheau Guilherme Gonçalves Paula Ferraz Rosangela Benetti INTRODUÇÃO AO LEITOR A construção e o amadurecimento do ambiente da proteção de dados pessoais no Brasil representam um movimento de grande importância para a sociedade civil e econômica. E, para o seu sucesso, requer o engajamento de todos os agentes de tratamento e a conscientização dos titulares de dados. Decorridos mais de dois anos de vigência da Lei Geral de Proteção de Dados (LGPD), muito já se evoluiu no ambiente nacional de proteção de dados. A Autoridade Nacional de Proteção de Dados (ANPD), já devidamente estruturada e contando com a natureza de autarquia especial, vem, a passos largos, cumprindo com a agenda regulatória proposta. A ANPD, desempenhando as competências previstas no art. 55-J da LGPD, tem, entre outras iniciativas, editado regulamentos e procedimen- tos sobre proteção de dados pessoais e privaci- dade. Nessa toada, já foram editados o Regulamento nº 1, o qual aprovou o Processo de Fiscalização Administrativo e Sancionador, e o Regulamento nº 2, que disciplina a aplicação da lei para agen- tes de tratamento de pequeno porte. Em breve, contaremos com a Resolução nº 3, que regulará a dosimetria das sanções administrativas. Entretanto, o Instituto Nacional de Proteção de Dados – INPD, ciente do desafio que o processo de “compliance” à lei representa para as organizações envolvidas e, cumprindo com o seu propósito de ajudar na construção de um ambiente fortalecido de proteção de dados, elaborou o presente material denominado “Passo a Passo no Projeto de Implementação”. Esperamos ajudá-lo na compreensão das fases que compõem um processo de adequação, da importância da cronologia das etapas, conduzindo-o nessa jornada viva e dinâmica que se traduz na implementação de boas práticas em prol da privacidade e proteção de dados. Instituto Nacional de Proteção de Dados 2 INPD – Instituto Nacional de Proteção de Dados 1. Questionamentos que precisam ser enfrentados pela organização 1.1 Questionamento da Fase 1 1.2 Questionamento da Fase 2 1.3 O que devemos esperar da Fase 1? 1.4 O que devemos esperar da Fase 2? 2. Da correta definição dos agentes de tratamento-controlador e operador 2.1 Fluxograma para melhor identificação do Controlador – Operador e Controladoria Conjunta/Singular 2.2 Obrigações do Controlador 2.3 Sobre os deveres dos Controladores e Operadores 2.3.1 Os Controladores devem 2.3.2 Os Operadores devem 3. Da importância do mapeamento de processos 3.1 Principais informações que o mapeamento deve conter 4. Os requisitos mínimos para garantia da segurança da informação 4.1 Política de Segurança da Informação (PSI) 4.2 Conscientização e Treinamento 4.3 Gerenciamento de Contratos 4.4 Controle de Acessos 4.5 Segurança dos Dados Pessoais Armazenados 4.6 Segurança das Comunicações 4.7 Manutenção de Programa de Gerenciamento de Vulnerabilidades 4.8 Medidas relacionadas ao uso de Dispositivos Móveis 4.9 Medidas relacionadas ao Serviço de Nuvem 5. Dos direitos dos titulares e a obrigação do controlador 5.1 Correlação das bases legais com os direitos dos titulares 6. Treinamento e conscientização Conclusão Materiais publicados de apoio disponíveis ............................................. 4 .................................................................................... 4 .................................................................................... 4 ........................................................................ 4 ........................................................................ 4 ................................................................. 7 ................................................................. 7 .................................................................................... 9 ..................................................10 ...............................................................................10 ....................................................................................10 ................................................ 11 .............................................. 11 ........................................ 11 ............................................................... 12 ........................................................................... 12 ............................................................................... 12 .......................................................................................... 12 ....................................................... 13 ..................................................... 13 ............................................... 13 ........................................................... 13 ...................................................... 14 ........................................... 15 .......................................................................... 16 ................................................................................................................ 17 ........................................................... 18 ............................................................................. 13 INDICE 3 INPD – Instituto Nacional de Proteção de Dados O questionamento da Fase 1 compreende as seguintes etapas: • Preparação • Liderança • Contexto Organizacional • Capacitação 1.1 Fase 1 - A organização se estruturou para a condução das iniciativas de adequação? O questionamento da Fase 2 compreende as seguintes etapas: • Conformidade do tratamento • Direitos do Titular • Violação de Dados • Medidas de Proteção 1.2 Fase 2 - A organização implementou medidas e controles de proteção de dados pessoais para adequação à LGPD? A organização deverá adotar medidas para criar um ambiente propício à implementação do projeto de adequação, que consistem em: • Implementar um Programa de Governança em Privacidade proporcional à estrutura e ao volume de dados pessoais tratados. Por exemplo, a criação de um grupo de trabalho que conte com profissionais de diferentes áreas (SI, TI, Jurídico, RH, Auditoria, etc). • Elaborar um plano de ação documentado para direcionar a iniciativa do projeto. Esse plano deve conter o que será feito, quais os recursos necessários, quem serão os responsáveis, prazo para a conclusão das tarefas e como os resultados serão avaliados. 1.3 O que devemos esperar da Fase 1? Estruturação Nessa fase, a organização começa a executar o projeto. Para o seu êxito e objetivando evitar o retrabalho, recomenda-se as seguintes etapas: 1.4 O que devemos esperar da Fase 2? Execução Questionamentos a serem enfrentados: 4 INPD – Instituto Nacional de Proteção de Dados 1. Sugestão de enfrentamento do tema Para guiar os responsáveis na implementação dos controles para adequação à LGPD. Por que esse plano é importante? 5 INPD – Instituto Nacional de Proteção de Dados • Identificar os normativos relacionados ao tratamento de dados que a organização está envolvida. O arcabouço jurídico aplicável não se restringe à LGPD, à Constituição Federal de 1988 (CF/88), Lei de Acesso à Informação (LAI - Lei 12.527/11), Lei do Cadastro Positivo (Lei 12.414/11), CLT. Outros atos normativos setoriais devem ser considerados. • Identificar a categoria dos dados tratados pelas quais a entidade está envolvida, pública ou privada. Por exemplo, cidadão, cliente, servidor público, representante de fornecedor e terceirizado. • Identificar os operadores, seus papéis e responsabilidades. • Adequar os contratos firmados com os operadores. Os contratos devem ser adequados para estabelecer as responsabilidades e papéis em relação à Proteção de Dados dos Titulares; • Identificar os processos que realizam tratamento de dados pessoais. Necessário haver registro dos processos detratamento por parte do Controlador. E, na hipótese de enquadramento na categoria de Agente de Tratamento de Pequeno Porte (consulte aqui o Guia), o mesmo poderá se dar de forma simplificada. E, lembrando que mesmo no caso de não ser obrigatório, sempre será uma boa prática ao processo de aderência a LGPD; • Mapear estes processos. Essa etapa é fundamental, pois a partir daqui é possível avaliar os riscos inerentes a cada processo, a finalidade, a base legal e compartilhamento dos dados; • Identificar os responsáveis pelos processos de negócio que realizam tratamento; • Identificar onde os dados tratados se encontram (servidor, banco de dados, arquivos físicos e etc); • Nomear encarregado. Verificar se a empresa, caso seja privada e atuando como Controladora, não está desobrigada pelo enquadramento como Agente de Pequeno Porte. Lembrando que mesmo nos casos de dispensa legal, a nomeação do encarregado configura-se como uma boa prática e deve ser incentivada; É relevante, pois realizam tratamento em nome do Controlador, respondendo os operadores solidariamente quando, em caso de dano, não tiverem seguido as instruções do Controlador; Por que é importante essa identificação? Para avaliar os riscos inerentes aos processos de tratamento, para direcionar as prioridades dos processos para adequação à LGPD e para ajudar no atendimento dos direitos dos titulares. Por exemplo, para conceder o direito de acesso a um titular é indispensável saber onde estão localizadas as informações dentro da organização. Por que é importante essa identificação? Para auxiliar no planejamento dos controles que serão implementados. Alguns dados requerem controles adicionais. Por que é importante a identificação dessas categorias? 6 INPD – Instituto Nacional de Proteção de Dados • Formular políticas que busquem assegurar a Proteção de Dados, tais como a Política da Segurança da Infor- mação e implementação dos controles de segurança da informação, nomeação do responsável para Segu- rança da Informação, definição de processos de gestão de riscos de SI, estabelecimento da política de Segurança da Informação, processo de elaboração de inventário de ativos e implantação de controles de Segurança da Informação; • Formular Política de Proteção de Dados alinhada à Política de Segurança da Informação. Não. A Política de Proteção de Dados está voltada ao público interno, enquanto a Política de Privacidade ao público externo ao ambiente da organização. Política de Proteção de Dados e Política de Privacidade são a mesma coisa? • Capacitar a equipe e treinar colaboradores; • Realizar Relatório de Impacto à Proteção de Dados - RIPD para controle nos tratamentos que representem riscos; • Elaborar Política de Privacidade; • Estabelecer mecanismo para atendimento dos direitos dos titulares; • Documentar detalhes relacionados ao compartilhamento dos dados pessoais com terceiros. Observar hipóteses autorizadoras no art. 26, §1º c/c §2º ou consentimento; • Transferência internacional, observar art. 33 da LGPD. • Implementar plano de resposta a incidentes de segurança: Violação de dados requer gerenciamento de incidentes de segurança, registros dos incidentes e plano de notificação à ANPD e Titulares, quando cabível. A organização deve ter um esboço do plano de resposta, quando o incidente ocorrer; • Adotar medidas de proteção de Segurança da Informação, técnicas e administrativas para proteger os dados. Por exemplo, controle de acesso aos sistemas, registros de eventos (LOGS), criptografia, pseudominização, etc. Na Fase 2, a qual possui maior complexidade e exige maior dispêndio de energia e investimentos por parte das organizações, selecionamos os principais pontos de atenção para facilitação dessa jornada. Uma mesma organização pode atuar como controladora em determinada operação de tratamento de dados e operadora em outra, a depender da função desempenhada por ela nessas operações. O controlador é o responsável pela tomada das principais decisões referentes ao tratamento de dados pessoais. É ele quem define o propósito, a duração e a escolha dos principais meios sobre como o tratamento de dados ocorrerá, decidindo, inclusive, sobre a contratação e as instruções a serem repassadas ao (s) operador (es). Por isso, a lei lhe atribuiu os maiores ônus e responsabilidades, estando ele obrigado a reparar quaisquer danos causados aos titulares de dados em razão da atividade de tratamento de dados pessoais, quando esta for realizada em violação à legislação. O operador, por sua vez, atua de acordo com a finalidade e os interesses determinados pelo controlador, devendo realizar o tratamento de dados em conformidade com as instruções recebidas dele, cabendo-lhe apenas algumas definições não essenciais à finalidade do tratamento. O operador possui obrigações legais a serem cumpridas, porém em menor número que o controlador. Quanto à sua responsabilidade pelos danos causados em decorrência do tratamento de dados, esta será solidária apenas se ele descumprir as orientações recebidas do controlador ou descumprir as obrigações que lhe são impostas pela legislação. O artigo 5º, IX, da Lei Geral de Proteção de Dados Pessoais (LGPD) define que os agentes de tratamento são o controlador e o operador. Considerando que a lei traz diferentes obrigações e responsabilidades para os agentes de tratamento, a depender da função de controlador ou operador que assumem em cada operação de tratamento de dados, entender os conceitos e características de cada um para realizar o enquadramento correto é primordial. 7 INPD – Instituto Nacional de Proteção de Dados 2. Da Correta definição dos Agentes de Tratamento – Quem é quem na relação? Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões. Controlador: Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados em nome do controlador. Operador: 2.1 Vejamos os conceitos legais extraídos do artigo 5º, VI e VII da lei: 8 INPD – Instituto Nacional de Proteção de Dados É muito importante destacar que a figura do operador pode não existir em determinada atividade de tratamento. Isso ocorrerá quando o controlador executar todas as operações de tratamento de dados, sem demandar a execução de nenhuma operação a um terceiro. Por outro lado, é possível que mais de uma pessoa tome as principais decisões referentes ao tratamento dos dados pessoais. Nesse caso, teremos dois ou mais controladores, atuando de forma singular ou conjunta. Por se tratar de um tema novo, a compreensão e aplicação desses conceitos têm suscitado algumas dúvidas. Um equívoco muito comum reside na compreensão de que o operador poderia ter uma subordinação hierárquica ao controlador, como, por exemplo, ser o empregado de uma organização. Nesse sentido, a Autoridade Nacional de Proteção de Dados – ANPD, órgão da Administração Pública responsável por zelar, implementar e fiscalizar o cumprimento da lei em todo o território nacional, publicou o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado em que, dentre outros pontos, esclarece que: • O operador é uma pessoa distinta do controlador; • As pessoas subordinadas não são agentes de tratamento; • Quando há tratamento de dados por pessoas jurídicas, o agente de tratamento será a própria pessoa jurídica; • Uma pessoa natural será considerada agente de tratamento quando, ao tomar decisões sobre o tratamento de dados, agir de forma independente e em nome próprio, e não de forma subordinada a uma pessoa jurídica ou como membro de um órgão desta. • A controladoria conjunta requer a participação conjunta dos agentes de tratamento na definição das finalidades e meios para o tratamento de dados, através de decisões comuns ou convergentes; • Caso as finalidades não sejam comuns, a controladoria não será conjunta, será singular. 9 INPD – Instituto Nacional de Proteção de Dados 2.2 O fluxogramaabaixo, produzido pela ANPD e extraído do guia mencionado, é muito útil para auxiliar na compreensão e identificação da função de cada agente de tratamento nas operações de tratamento de dados. Para a conformidade com a LGPD, uma vez identificada a função de cada agente de tratamento, controladores e operadores devem cumprir deveres, sendo estes oriundos do texto legal ou decorrentes de regras de boas práticas adotadas pela organização em um programa de governança em privacidade. A seguir elencamos as principais obrigações legais a serem observadas pelos agentes de tratamento. • Cumprir com os Princípios de Proteção de Dados – Artigo 6º; • Definir as Bases Legais para o Tratamento dos Dados – Artigos 7º e 11; • Fornecer Informações claras e ostensivas aos titulares sobre as atividades de tratamento - Artigo 9º; • Indicar o Encarregado pelo Tratamento de Dados – Artigo 41; • Responder às Requisições do Titular de Dados – Artigo 18; • Manter Registro das Atividades de Tratamento de Dados – Artigo 37; • Adotar medidas técnicas e administrativas para a proteção dos dados – Artigo 46; • Fornecer Relatório de Impacto à Proteção de Dados (RIPD), quando solicitado pela ANPD – Artigo 38; • Comunicar à ANPD a ocorrência de Incidentes que acarretam risco elevado ao titular de dados – Artigo 48; • Fornecer reparação ao dano material /moral causado em decorrência da atividade de tratamento de dados – Artigo 42; • Estar sujeito às sanções administrativas aplicáveis pela ANPD - Artigo 52. • Eliminar os dados pessoais após o término da atividade de tratamento – Artigo 16; • Manter Registro das Operações de Tratamento de dados– Artigo 37; • Tratar dados pessoais segundo as instruções dos controladores– Artigo 38; • Fornecer reparação ao dano material /moral causado em decorrência da atividade de tratamento de dados – Artigo 42; • Adotar medidas técnicas e administrativas para a proteção dos dados – Artigo 46; • Cooperar com o controlador para responder em tempo hábil as requisições feitas pelos titulares de dados pessoais; • Cooperar com o controlador para fornecer informações sobre incidentes de segurança; • Estar sujeito às sanções administrativas aplicáveis pela ANPD - Artigo 52. 2.3 Sobre os deveres dos Controladores e Operadores: 2.3.1 Os Controladores devem: 10 INPD – Instituto Nacional de Proteção de Dados 2.3.2 Os Operadores devem: 11 INPD – Instituto Nacional de Proteção de Dados • Quais dados pessoais são tratados em cada processo da organização, como são tratados, e quem é o responsável? • Quais as categorias de titulares de dados envolvidas? • Qual a finalidade do tratamento de dados? • Há compartilhamento de dados com terceiros? Quem são? • Onde os dados estão armazenados e quem tem acesso? • Há prazo previsto para o armazenamento dos dados e como eles são eliminados? • Há transferências internacionais de dados? • Há medidas de segurança previstas para aquele tratamento? Elas são suficientes? • Qual a base legal que autoriza o tratamento de dados? Muito embora não conste dentre as obrigações legais acima elencadas, o mapeamento de dados (data mapping) é essencial para a conformidade da organização com a LGPD, tendo em vista que sem o levantamento de todos os dados tratados pela organização dificilmente o agente de tratamento conseguirá identificar pontos de desconformidade com a lei para adequá-los. Por isso, uma das primeiras etapas de um programa de governança em privacidade reside justamente no mapeamento de dados, que pode ser feito de várias formas, inclusive com o apoio de softwares específicos disponíveis no mercado. Uma das maneiras mais usuais e eficientes de realizá-lo é por meio de entrevistas com os responsáveis pelos departamentos dentro da organização, momento em que, no mínimo, as seguintes informações devem ser levantadas: 3. Da Importância do Mapeamento de Processos – Por que fazer? 3.1 Informações indispensáveis e que devem constar no mapeamento: Portanto, a partir do conhecimento do fluxo dessas informações, os agentes de tratamento estarão aptos a tomarem as melhores medidas em prol da adequação à lei. A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18) dispõe em seus dispositivos legais, especificamente nos arts. 42 e 46, que os agentes de tratamento devem adotar as medidas de segurança, técnicas e administrativas para proteção dos dados pessoais; e que o tratamento será considerado irregular quando este não fornecer a segurança esperada pelo titular. Com o intuito de colaborar nessa jornada, fornecendo subsídios aos agentes de tratamento, a ANPD já estabeleceu publicação sobre o tema, intitulado de Guia Orientativo sobre Segurança da 4. Os requisitos mínimos para garantir a Segurança da Informação, exigidos por lei por parte dos Agentes de Tratamento 12 INPD – Instituto Nacional de Proteção de Dados Informação para Agentes de Tratamento de Pequeno Porte que, inclusive, conta com um checklist, no qual são descritos 48 (quarenta e oito) pontos de verificação para facilitação do entendimento. O Guia representa a visão da ANPD sobre o mínimo a ser implementado em termos de Segurança da Informação e, como tal, deve ser encarado como um ponto de partida para as organizações na adoção de práticas e cultura de proteção de dados. As medidas de Segurança da Informação abordadas no Guia são: 4.1 Política de Segurança da Informação (PSI) Documento que descreve o conjunto de práticas acerca, dentre outros, de cópias de segurança; uso de senhas; acesso à informação; compartilhamento de dados; atualização de softwares; uso de correio eletrônico; uso de antivírus. A PSI é a bússola utilizada no tratamento de dados e deve ser observada por todos os integrantes da organização, representando sua visão sobre o tema. 4.2 Conscientização e treinamento Pessoas são vetores de vulnerabilidades e alvo de pessoas mal-intencionadas. Por essa razão, a conscientização deve ser integrada às rotinas da organização com o estabelecimento de calendários de capacitação, inclusive com abordagem sobre phishing, tela e mesa limpa, detecção de incidentes de segurança. 4.3 Gerenciamento de contratos As relações organizacionais são formalizadas em contratos. Assim, cláusulas específicas de confidencialidade, contratação de fornecedores e parceiros, regras sobre compartilhamentos, relação entre controlador e operador, são necessárias nos instrumentos contratuais. Os contratos, em certa medida, refletem as regras da PSI. 4.4 Controle de acesso O controle de acesso pode ser lógico e físico, abrangendo a entrada em salas (de arquivos, de processamento de dados, etc.) e sistemas (logins). A organização deve investir esforço para determinar o que cada integrante pode acessar, sempre pautando a prática no princípio do “menor privilégio”. O controle do acesso permite auditorias sobre o que o usuário fez, permite que sejam criadas, aprovadas, revisadas e excluídas as contas de usuários. Também é importante que se gerencie o uso de senhas, estabelecendo-se uma certa complexidade em sua criação (letras maiúsculas e minúsculas, número mínimo de caracteres, tempo de expiração, etc.), bem como se instrua os usuários a não compartilharem contas e senhas. Por fim, o uso de multi-fatores de autenticação (MFA) para acessar sistemas aumenta o nível de segurança. 13 INPD – Instituto Nacional de Proteção de Dados 4.5 Segurança dos dados pessoais armazenados A organização deve determinar quais são os dados que realmente necessita em suas atividades, podendo também investir em técnicas de pseudonimização. Por tal razão, ter um mapeamento de processos internos é essencial em termos organizacionais. Através desse mapeamento é possível entender e determinar configurações de sistemas, sendo as pessoas instruídas a não as modificar. Também se deve evitar ou mesmo impedir o uso de dispositivos móveis, de modo que as informações não sejam carregadas em pendrives e HDs externos. Os backups devem ser realizados regularmente e armazenadosem locais seguros e diferentes da base de dados original. O Guia ainda recomenda que o backup não seja sincronizado de forma online, de modo a evitar a perda de dados em casos de ataques maliciosos. Por fim, o cuidado com o descarte das informações também deve ser considerado, estabelecendo-se métodos de formatação, subscrição ou criptografia dos dados, antes do descarte. 4.6 Segurança das comunicações O Guia recomenda a utilização de conexões cifradas (com uso de TLS/HTTPS) ou aplicativos com criptografia fim a fim, inclusive em relação aos e-mails ou, ao menos, que os arquivos do e-mail sejam cifrados. Também é importante o uso de firewalls, antivírus, anti- spams, filtros de e-mails, para gerenciamento do tráfego de rede. 4.8 Medidas relacionadas ao uso de dispositivos móveis O mundo é mobile e os dispositivos móveis carregam muitas informações. As medidas de segurança devem se estender a esses equipamentos, estabelecendo-se controles para acesso, MFAs, guarda em locais seguros e para uso exclusivamente institucional. Também é importante estabelecer meios de apagamento remoto dos dados, para o caso de perda ou roubo dos dispositivos. 4.7 Manutenção de programa de gerenciamento de vulnerabilidades Monitorar e manter os sistemas em suas versões mais atualizadas ajuda a segurança, pois os fornecedores estão constantemente melhorando a defesa de seus sistemas. Também se recomenda uma varredura periódica para a checagem dos sistemas e até o descarte de sistemas inúteis para a organização. 4.9 Medidas relacionadas ao serviço em nuvem Assim como o mundo é mobile, o uso de nuvens se massificou e, nesses casos, um bom contrato deve ser estabelecido. Além disso, regras de controle de acesso, MFAs, também são incentivadas. 14 INPD – Instituto Nacional de Proteção de Dados Portanto, os itens acima elencados devem obrigatoriamente ser enfrentados pela Organização, posto que a própria Autoridade Nacional de Proteção de Dados destacou como de extrema relevância em seu Guia Orientativo. Além disso, esses fatores auxiliam as organizações a elevarem os seus níveis de segurança e não significam um ponto estanque. Pelo contrário, devem ser revisados periodicamente. A revisão pe- riódica permite uma análise crítica e incentiva estabelecer um ciclo de checagem, planejamento e correção, sempre com vistas à adoção das melhores práticas em segurança da informação. Ademais, o próprio Guia registra que as medidas devem ser completadas de acordo com a realidade de cada organização. Para fins de auxiliar o Controlador a cumprir com as obrigações legais decorrentes dos direitos requeridos pelos titulares, é importante estabelecermos mecanismos para que sejam executáveis. Primeiramente, é necessário identificar quais os direitos do titular de dados estão associados à base legal que ampara o respectivo tratamento, pois nem todos os direitos são absolutos e a depender da hipótese autorizadora, alguns direitos não poderão ser atendidos. 5. Dos Direitos dos Titulares e a obrigação do Controlador Para fins de auxiliar o Controlador a cumprir com as obrigações legais decorrentes dos direitos requeridos pelos titulares, é importante estabelecermos mecanismos para que sejam executáveis. Por essa razão, recomenda-se extrema atenção na eleição da base legal de forma que represente a mais adequada ao tratamento e observe-se a correlação com os respectivos direitos dos titulares. O Controlador é um empregador que processa dados coletando e arquivando informações dos empregados referentes a pagamentos realizados junto ao Instituto Nacional do Seguro Social (INSS). Para fins de coleta e manuseio das informações, o Controlador está amparado no cumprimento de obrigação legal (art. 7, II), e para o armazenamento dos informes de pagamento encontra amparo no exercício de direitos em processo judicial (art. 7, VI). Portanto, caso o titular venha a requerer a eliminação desses dados pessoais, previstos no art. 17, inciso VI, não será passível de atendimento, visto que o tratamento em questão não está amparado na base legal do consentimento. Exemplo: 15 INPD – Instituto Nacional de Proteção de Dados I. Confirmação de existência de tratamento – Aplica-se a todas as bases legais e deve se dar mediante requisição do titular. II. Acesso aos dados - Em sendo positiva a resposta acerca da existência de tratamento, aplica-se a todas as bases legais e deve se dar mediante requisição expressa do titular. III. Correção de dados incompletos, inexatos ou desatualizados – Da mesma forma, em se confirmando o tratamento de dados, aplica-se a todas as bases legais. IV. Anonimização, bloqueio ou eliminação – Este direito está diretamente vinculado à finalidade e necessidade. Em sendo os dados tratados em excesso ou em desconformidade com a finalidade, o direito requerido pelo titular deve ser atendido e aplicado a todas as bases legais. V. Portabilidade dos dados a outro fornecedor – O atendimento ao direito em questão encontra limitação nos segredos comercial e industrial, razão pela qual não são absolutos. Importante registrar que aguardam regulamentação por parte da Autoridade Nacional de Proteção de Dados – ANPD. VI. Eliminação dos dados pessoais – Aplica-se a todos os tratamentos realizados sob o amparo da base legal do consentimento. Entretanto, encontram-se fora desta abrangência os dados que estiverem sendo tratados por- i) cumprimento de obrigação legal ou regulatória pelo Controlador ii) para estudo por órgãos de pesquisa, garantindo-se sempre que possível a anonimização iii) a transferência a terceiro, desde que respeitados os requisitos legais iv) e, por fim, quando o uso dos 5.1 Em relação aos direitos dos titulares elencados no art. 18, I a IX, da LGPD, e que podem ser exercidos a qualquer momento mediante requisição ao Controlador, fazemos as devidas correlações com as bases legais objetivando facilitar o processo obrigatório de atendimento aos direitos dos titulares. dados for exclusivo do controlador e desde que anonimizados. I. Confirmação de existência de tratamento – Aplica-se a todas as bases legais e deve se dar mediante requisição do titular. II. Acesso aos dados - Em sendo positiva a resposta acerca da existência de tratamento, aplica-se a todas as bases legais e deve se dar mediante requisição expressa do titular. III. Correção de dados incompletos, inexatos ou desatualizados – Da mesma forma, em se confirmando o tratamento de dados, aplica-se a todas as bases legais. IV. Anonimização, bloqueio ou eliminação – Este direito está diretamente vinculado à finalidade e necessidade. Em sendo os dados tratados em excesso ou em desconformidade com a finalidade, o direito requerido pelo titular deve ser atendido e aplicado a todas as bases legais. V. Portabilidade dos dados a outro fornecedor – O atendimento ao direito em questão encontra limitação nos segredos comercial e industrial, razão pela qual não são absolutos. Importante registrar que aguardam regulamentação por parte da Autoridade Nacional de Proteção de Dados – ANPD. VI. Eliminação dos dados pessoais – Aplica-se a todos os tratamentos realizados sob o amparo da base legal do consentimento. Entretanto, encontram-se fora desta abrangência os dados que estiverem sendo tratados por- i) cumprimento de obrigação legal ou regulatória pelo Controlador ii) para estudo por órgãos de pesquisa, garantindo-se sempre que possível a anonimização iii) a transferência a terceiro, desde que respeitados os requisitos legais iv) e, por fim, quando o uso dos VII. Informação das entidades públicas e privadas com as quais o Controlador compartilhou os dados - Este direito aplica-se a todas as bases legais. Impõe-se ressaltar aqui, a relevância de um Registro de Operações de Tratamento – ROPA- bem-feito, pois essas informações devem estar devidamente sinalizadas, facilitando assim, a resposta ao titular. negativa - Este direito aplica-se tão somente às hipóteses em que o processamento de dados depender do consentimento do titular. Nessecaso, o titular deve ser avisado de que, por exemplo, caso não consinta com o tratamento ofertado, o mesmo talvez não possa ser fornecido. IX. Revogação do consentimento - Este direito como o próprio nome já sinaliza, aplica-se apenas aos tratamentos amparados pela base legal do consentimento. E, neste caso, pode ser exercido a qualquer momento mediante manifestação expressa do titular, de forma gratuita e simplificada (art. X. Revisão e explicação de decisões automatizadas - Por fim, de acordo com o art. 20, o titular tem o direito de solicitar a revisão de decisões exclusivamente automatizadas que afetem seus interesses, tais com a definição de perfis pessoal, profissional, de consumo, de crédito ou aspectos da personalidade. Portanto, é de suma importância que o Controlador que utilizar processos automatizados para tomada de decisões baseada em dados seja capaz de fornecer as explicações obrigatórias por comando legal, bem como de prover a sua revisão. VIII. Informação sobre a possibilidade de não fornecer consentimento e as consequências da sua 8, § 5). O processo de qualificação da equipe no tema, poderá ocorrer por meio de palestras, workshops, eventos, cursos, podcast, informativos por e-mail, e-books, cartilhas, comunicação em geral, utilizando-se de ferramentas para disseminar a informação. O uso de ferramentas que ofereçam condições teórico-didáticas, metodológicas e práticas, personalizadas para cada realidade a fim de realizar um trabalho sistêmico são recomendáveis. Algumas sugestões de treinamentos complementares, seguem abaixo: - Aprendizagem com utilização de games (dinâmica de gamificação); - Aplicar a técnica de LNT (Levantamento de Necessidade de Treinamento) para avaliar e nivelar o conhecimento do grupo; - Vídeo para integração de novos empregados; - Leitura da legislação e análise de casos reais; Não esqueçamos que a medição dos resultados é de grande valia, pois permitirá que a organização compreenda se os recursos e esforços investidos estão sendo direcionados para a área certa e quais são as carências que ainda precisam ser resolvidas. Por fim, é bastante interessante aplicar uma pesquisa de satisfação em relação ao treinamento, permitindo que as equipes evidenciem os pontos mais fortes e fracos do programa. 16 INPD – Instituto Nacional de Proteção de Dados Deve-se atentar na escolha dos fornecedores dessas ferramentas tecnológicas, tendo em vista que o Controlador está diretamente obrigado perante o titular. O recurso humano representa um dos maiores ativos de uma organização e nada mais coerente do que investir no treinamento da equipe. Afinal de contas, o erro humano ainda representa a maior causa responsável pelos incidentes de segurança. Portanto, conscientizar é capacitar o time! A implementação da Lei Geral de Proteção de Dados é complexa, mas representa um importante passo no mundo corporativo em atenção ao direito de todos os titulares. A Capacitação precisa alcançar a todos, sejam os envolvidos internamente nas organizações, mas tam- bém os externos, tanto no público quanto no privado, devendo ser o foco primeiro os que estão direta e indiretamente envolvidos nos processos de governança, compliance e aplicação da LGPD. Deve-se primar pelo conhecimento e pela interpretação da norma da proteção de dados pessoais, combinada com as demais leis e princípios do Direito e pelas diretrizes da ANPD. A capacitação pode e deve se dar em diferentes níveis de profundidade, a depender do envolvimento do profissional com o tratamento de dados dentro da empresa. 6. Treinamento e Conscientização 17 INPD – Instituto Nacional de Proteção de Dados Nesse sentido, as posturas relacionadas representam boas práticas e compõem uma governança corporativa. A LGPD é clara quanto a isso: A viabilização destas boas práticas e governança ocorre quando os envolvidos começam a realizar ações educativas, abrangendo mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. A formação de uma rede de pessoas cautelosas, conscientes das obrigações e direitos legais é pré-requisito para uma efetiva governança de dados pessoais. Por certo que ao seguir as orientações elencadas, a organização acumulará benefícios para o negócio, assim como investir em capacitação haverá: • A melhora do relacionamento com o cliente; • O ganho de confiança entre o público e a empresa; • O aumento da segurança jurídica; • A proteção à reputação da marca; • A garantia da ética profissional; • A criação de um verdadeiro diferencial competitivo. “Art. 50. Os controladores e operadores (....) poderão formular regras de boas práticas e de gover- nança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos (...)” Por fim, importante registrar que os agentes de tratamento, sejam controladores ou operadores, estão obrigados por força de lei a cumprir com os dispositivos legais da Lei Geral de proteção de Dados. Tal aderência, além de impositivo legal, tem potencial de representar diferencial competitivo de mercado. Pois, com o passar do tempo, não haverá mais espaço para organizações que não incluírem em sua pauta a privacidade e proteção de dados. Respeitando as peculiaridades de cada empresa e seu modelo de negócios, volume e categoria de dados tratados sugerimos que cada ator neste cenário empreenda esforços para implementar as medidas necessárias para atingir um status de adequação à LGPD. E para essa jornada, é indispensável conhecer o caminho a ser trilhado. Esperamos que este Passo a Passo à implementação à LGPD seja um norte nesse processo. Obrigado por nos acompanhar até aqui! Conclusão INPD www.instagram.com/inpdados www.inpd.com.br 18 INPD – Instituto Nacional de Proteção de Dados • GUIA DE BOAS PRÁTICAS DA LGPD – MODELO DE RIPD • GUIA DE SEGURANÇA DA INFORMAÇÃO PARA AGENTE DE TRATAMENTO DE PEQUENO PORTE • CARTILHA CERT.BR E ANPD QUE APRESENTA INFORMAÇÕES SOBRE ADOÇÃO DE POSTURA PREVENTIVA • PERGUNTAS E RESPOSTAS SITE OFICIAL DA ANPD • GUIA SENACON “COMO PROTEGER SEUS DADOS PESSOAIS” • GUIA ORIENTATIVO AGENTES DE TRATAMENTO DE PEQUENO PORTE • GUIA ORIENTATIVO TRATAMENTO DE DADOS NO PODER PÚBLICO • TCU AUDITORIA DO GRAU DE IMPLEMENTAÇÃO NO SETOR PÚBLICO Materiais publicados de apoio disponíveis
Compartilhar