Baixe o app para aproveitar ainda mais
Prévia do material em texto
CARTILHA RECOMENDAÇÕES DE CONFORMIDADE À LGPD Acompanhe as principais perguntas e respostas relacionadas às adequações à Lei Geral de Proteção de Dados. 1. A minha empresa ainda não implementou um sistema de obtenção do consentimento. O que faço? Recomenda-se, o quanto antes, a implantação de um processo de obtenção do consentimento do titular a ser utilizado pela empresa. O consentimento deve ser claro, distinto (não deve estar agrupado com outros acordos ou declarações) e ativo (fornecido pelo titular, sem o uso de caixas pré-marcadas). Além disso, deverá ser documentado, por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Se o consentimento existente não tiver sido obtido de acordo com a LGPD, recomenda-se que seja refeito para atender à legislação. Caso não seja possível, utilize outra base legal (fresh consent). O processo de obtenção de consentimento precisa ser gerenciado de forma automatizada, para os casos nos quais o consentimento seja coletado de forma digital. Isso é necessário pelo fato de os titulares terem o direito de revogá-lo, sendo que seus dados só poderão ser processados para as finalidades em que houver consentimento e é dever do controlador de dados provar, se necessário, que esse consentimento foi formalizado. 2. O que faço para gerenciar os direitos dos titulares de dados? Você pode implementar um portal de privacidade com uma solução de gerenciamento dos direitos dos titulares de dados, com foco nos clientes da empresa, de forma oportuna. Esse portal gerenciará todo o workflow e deve conter as seguintes funcionalidades: . formulário de preenchimento da solicitação, que pode ser apresentado em diversos produtos digitais da empresa; . validação da identidade dos titulares de dados; . controle de prazos, atividades e custos da solicitação; . identificação dos dados pessoais dentro da empresa para proceder com a divulgação ao titular de dados, a correção, a exclusão ou a portabilidade dos dados pessoais. O portal também deve possuir materiais direcionados ao público externo, informando como a empresa trata do tema de privacidade e proteção de dados, apresentando a política de privacidade com informações sobre direitos dos titulares, demonstrando as boas práticas adotadas para manter a proteção desses dados e os esforços da empresa para manter a conformidade com a LGPD. 3. Como minha empresa deve desenvolver os modelos de respostas para solicitações de titulares de dados? Recomenda-se desenvolver modelos de respostas observando que o tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: (1) consentimento; (2) cumprimento de obrigação legal ou regulatória; (3) execução de políticas públicas; (4) realização de estudos por órgãos de pesquisa; (5) exercício regular de direitos; (6) proteção da vida; (7) tutela da saúde; (8) prevenção a fraudes. 4.Como deve ocorrer o tratamento de dados de crianças e adolescentes para conformidade à LGPD? O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos por um dos pais ou pelo responsável legal. Lembramos que a participação de crianças em jogos, aplicativos ou outras atividades afins não pode ser condicionada pelo controlador ao fornecimento de informações pessoais, além das estritamente necessárias à atividade. 5. A minha empresa ainda não possui uma Política de Retenção e Descarte de Dados. O que devo fazer? Você deve elaborar a Política de Retenção e Descarte de Dados da empresa. Essa política deve incluir os princípios de retenção e descarte apropriados de dados pessoais, observando os requisitos legais da LGPD. Além disso, ela deve conter: . uma tabela de temporalidade atualizada para armazenamento das informações, levando em consideração os dados pessoais coletados; . procedimentos de descarte apropriado para ativos (papéis, computadores, mídias removíveis) que contenham dados pessoais; . processo de anonimização ou exclusão de dados quando esses não forem mais necessários para a empresa, observando a necessidade de armazenamento de dados para atender às obrigações legais; . processo de backup de dados pessoais armazenados em sistemas; . processo de pseudonimização para os dados sensíveis em repouso. Incorpore na cultura da empresa os princípios de minimização de dados. Assim, a empresa realizará a coleta apenas das informações estritamente necessárias, pelo período que for necessário. 6. Como devo implementar um processo de transferência internacional de dados? Defina um processo para avaliar se os dados transferidos internacionalmente pela empresa estão em conformidade com as leis de privacidade e proteção de dados, visando comprovar as medidas adotadas para cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na lei aos dados pessoais transferidos. Esse processo deve verificar se essa transferência atende aos requisitos definidos pela LGPD, tais como: . existência de cláusulas-padrão contratuais com os terceiros; . existência de normas corporativas globais definidas pela empresa; . existência de certificados, selos ou códigos de conduta regularmente emitidos e aprovados pela ANPD; . se o titular dos dados forneceu o devido consentimento; . se os países ou organismos internacionais proporcionam grau de proteção de dados pessoais adequado. Atenção: a LGPD ainda não elaborou a lista de países seguros. Entretanto, o Regulamento Geral da União Europeia sobre a Proteção de Dados (GDPR) já disponibilizou essa lista: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data- protectio n/adequacy-decisions_en. Além disso, sugerimos a revisão de contratos firmados com terceiros nos quais existe transferência internacional de dados pessoais para que sejam incluídas cláusulas padrão e termos voltados à privacidade e proteção de dados. 7. O que deve conter no Registro das Operações de Tratamento de Dados Pessoais? A LGPD exige a elaboração e manutenção de um Registro das Operações de Tratamento de Dados pessoais, que deverá incluir: . os nomes e os contatos do controlador/operador e, quando aplicável, de qualquer responsável pelo tratamento em conjunto, dos representantes das entidades e do DPO; . a finalidade do processamento dos dados; . a descrição das categorias dos titulares de dados e das categorias dos dados pessoais; . as categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais; . os prazos previstos para a exclusão das diferentes categorias de dados; . as bases legais estipuladas para tratamento de dados. 8. Como minha empresa pode implantar uma Análise de Impacto à Proteção de Dados (DPIA)? Primeiro, defina um processo para a Análise de Impacto à Proteção de Dados (DPIA). Em seguida, implemente/adquira uma solução para realização da DPIA de forma sistêmica e centralizada. Essa solução deve ter as seguintes funcionalidades: . projetos de privacidade da empresa consolidados em um dashboard central para gerenciamento https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protectio n/adequacy-decisions_en das atividades de proteção de dados; . classificação dos projetos quanto ao envolvimento de dados pessoais e critérios de risco (se existe profiling, dados sensíveis, grande volume de dados processados etc.); . gerenciamento do workflow da DPIA, desde a seleção do fluxo de dados utilizando os critérios estabelecidos até a aprovação final do encarregado; . orientação e template para preenchimento da DPIA disponibilizado de forma centralizada para toda a empresa; . análise de riscos e GAPs dos fluxos de dados pessoais; . registro das atividades de proteção de dados realizadas ao longo do projeto para fins de conformidade. 9. O que faço para implantar um Modelo de Governança de DPO? Primeiro, defina os papéis e as responsabilidades para atenderàs expectativas regulatórias conforme as mudanças trazidas pela LGPD. Dentro da rotina do DPO, entendemos que haverá tarefas como: (1) realizaçãodeduediligencedeterceirosperiódica; (2) manutenção eatualizaçãodo ROPA; (3) elaboraçãoemanutenção daDPIA,quandonecessário; (4) realizaçãodeauditorias periódicas internasparaanálisedo níveldeconformidade; (5) rotinadetreinamentos sobreaLGPD parafuncionáriosecolaboradores periódica; (6)rotina de acompanhamento de jurisprudências, consultas à ANPD, novas certificações, boas práticasdemercado,entreoutras. Recomenda-se a contratação de um assessor externo para assessorá-lo na análise do atual compliance da empresa com a LGPD, indicação dos pontos de melhoria e exigências legais, bem como definição de um plano de ação para implementação das ações necessárias com o intuito de que a empresa esteja em conformidade com a LGPD. 10. Minha empresa deve promover um Programa de Treinamento de Funcionários para a LGPD? É fundamental que os funcionários conheçam a LGPD. Por isso, elabore um programa de treinamento sobre privacidade e proteção de dados para educar os funcionários sobre a importância da privacidade e da proteção de dados pessoais, capacitando-os para realizar os processamentos de dados adequadamente e mitigar os riscos de alguma violação de dados acontecer. Esse programa pode ter duas fases. A primeira é comum para todos os funcionários e abordará: o que são as leis de privacidade e proteção de dados; os seus princípios; os riscos de não estar em conformidade com elas; o que são dados pessoais e sensíveis; bases legais; o que é considerado processamento de dados; como classificar o dado antes de armazená-lo; como descartá-lo corretamente; o que é ROPA; DPIA; o papel e a importância do encarregado de dados (DPO) e como reportar uma violação de dados na empresa. Essa fase um pode ser um treinamento online, disponibilizado para os funcionários na intranet. Na segunda fase do programa, o treinamento deverá ser direcionado para cada área de negócio, de acordo com a natureza de relacionamento que o setor possui com os titulares de dados (relacionamento com cliente, financeiro, RH etc.). Essa fase abordará com mais profundidade a aplicação das bases legais de acordo com os tipos de processamento que a área realiza e terá apresentação de cases específicos conforme a atuação da área (exemplo de cases de profiling para área de marketing). A fase dois pode ser presencial para os funcionários da área. Um treinamento de reciclagem em relação à LGPD deve ocorrer periodicamente, de acordo com a política interna da empresa ou quando houver mudanças significativas nas leis de privacidade. É primordial implementar métricas de aprovação/reprovação para medir a aplicação do treinamento e nível de aprendizado tanto individualmente por funcionário quanto por área de negócio.
Compartilhar