Baixe o app para aproveitar ainda mais
Prévia do material em texto
EBOOK [eBook] LGPD para Pequenas e Médias Empresas: passo a passo para se adequar e evitar multas Con�ra tudo que precisa para �car em conformidade com a Lei, além de conhecer o real impacto para as PMEs. Entenda a importância da Segurança e da Privacidade da Informação Um estudo do Instituto Ponemon, realizado em 2019, sobre segurança global apontou que 63% das PMEs sofreram algum tipo de incidente com vazamento de dados. O mesmo estudo mostrou que o Brasil é o país mais propenso a sofrer violações de segurança, com a taxa de risco de 43% de ser atacado, enquanto países como Alemanha e Austrália apresentam riscos de 14% e 17% respectivamente. Outro dado relevante, segundo pesquisa de 2019 da National Cyber Security Alliance, aponta que 25% das PMEs que sofreram ataques cibernéticos não conseguem continuar operando seus negócios. Apesar do cenário agitado e receoso diante da LGPD e suas exigências, investir em proteção de dados pessoais é um assunto (e obrigação) que vem de longa data. No Brasil, a temática teve abordagem em alguns marcos importantes, como veremos na linha do tempo a seguir: Esses marcos evidenciam que os temas proteção de dados pessoais e “privacidade” vêm ganhando força, impulsionados pelas tecnologias emergentes que atuam diretamente com uma grande massa de dados, muitas vezes, sem garantir a segurança e privacidade devidas. Já do outro lado do continente, mais especi�camente na terra da Rainha Elisabeth, os grandes escândalos contábeis da década de 80, provocaram uma forte discussão nos anos seguintes que originou as teorias e os marcos regulatórios. Em 1992, foi publicado na Inglaterra o Relatório Cadbury, considerado o primeiro código de boas práticas de governança corporativa. O contexto sobre segurança da informação foi impulsionado com o objetivo de auxiliar as companhias britânicas, que comercializavam produtos para segurança de Tecnologia da Informação (TI) por meio da criação de critérios para avaliação da segurança. Em 1995, o Department of Trade Centre (DTI) criou o Comercial Computer Security Centre (CCSC) e lançou a norma British Standard 7799, tornando-se referência para empresas que precisam aumentar a maturidade quanto à proteção do negócio, resiliência empresarial e segurança da informação, assim resultando na devida proteção de dados pessoais e diminuição dos riscos para [eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/... 1 of 15 08/02/2021 20:58 Mas qual a ligação dessas normas com a LGPD? Atores no tratamento de dados pessoais Classi�cando dados pessoais investidores, acionistas e titular dos dados. Nos anos seguintes, surgiram outras normas com o foco de proteger a informação e a privacidade, sendo que a mais conhecida aqui no Brasil é a norma ISO/IEC 27001. Para compreender a evolução da norma britânica que se tornou referência mundial con�ra a cronologia das normas da família ISO/IEC 27000. Agora con�ra abaixo a linha do tempo das normas de segurança e privacidade da informação: A ligação dessas normas com a LGPD existe, visto que, em dezembro 2019, a ABNT – Associação Brasileira de Normas Técnicas, lançou a norma NBR ISO/IEC 27701:2019 – Técnicas de segurança — extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — requisitos e diretrizes. Essa norma veio para endossar a implementação e a adequação da LGPD. E segundo Ariosto Farias Júnior, Líder da Delegação do Brasil nas reuniões do ISO/IEC JTC 1/SC 27, membro do Comitê responsável pela elaboração das normas ISO 27001, ISO 27002, ISO 27701 e demais normas que apoiam a ISO 27701 e Relator do projeto NBR ISO/IEC 27701, a norma: “Representa os anseios da sociedade, em decorrência do Regulamento Geral de Proteção de Dados (General Data Protection Regulation) da União Europeia, como também da nossa Lei Geral de Proteção de Dados Pessoais (LGPD)” (Fonte: abnt.org.br) Não existe bala de prata para garantir privacidade e proteção de dados. O recomendado é seguir as normas e as melhores práticas existentes para uma gestão de segurança da informação, gestão de serviços de tecnologias e�ciente e investir na capacitação e educação em todos os níveis organizacionais. Adequar-se à LGPD é uma responsabilidade social e, ao mesmo tempo, um diferencial competitivo. Em um contexto geral, a LGPD é uma lei que traz muitas obrigações que terão impacto direto em, praticamente, qualquer empresa. Vale ressaltar que ela não veio para impedir a coleta de dados pessoais, mas sim, de�nir diretrizes de como esses dados são classi�cados, tratados, protegidos e usados. Con�ra abaixo os termos mais importantes, de acordo com a LGPD: Dados pessoais são quaisquer informações relacionadas à pessoa natural, identi�cada ou identi�cável. Em suma, são informações sobre um determinado indivíduo, independentemente de ser privada ou não, que sejam de conhecimento público ou sobre a sua vida pro�ssional. Como qualquer informação pessoal, precisa – e deve – ser devidamente protegida. Informações tais como: RG, CPF, endereço e data de nascimento levam consigo muitos valores fundamentais para a manutenção da segurança e carecem de cuidados. Outros dados, como histórico de compras, localização geográ�ca e preferências de consumo, também são considerados como “pessoais”. [eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/... 2 of 15 08/02/2021 20:58 Tipo de dados pessoais Dados pessoais sensíveis origem racial ou étnica; convicção religiosa; opinião política; �liação a sindicato ou a organização de caráter religioso, �losó�co ou político; referente à saúde ou à vida sexual, genética ou biometria. Dados anonimizados Banco de dados Nome E-mail não corporativo Documentos: CPF, RG, CNH Endereço residencial Telefones residencial e celular Posição geolocalização Internet Protocol (IP) Cookie / Log (IP + hora de acesso) Hábito de navegação isolado Conjunto de hábitos de navegação Conjunto de características pessoais Interesses e preferências A LGPD não aborda qualquer proibição no uso dos dados pessoais, apenas determina um rigoroso tratamento em sua proteção e exige transparência ao titular com o seu uso. Por isso, re�etir sobre formas de utilização e criar uma rotina de controle mais adequada é imprescindível. São os dados que possuem essas características: É o dado relativo ao titular que não possa ser identi�cado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Em regra, é quando uma pesquisa de mercado aponta resultado de dados quantitativos, pois não identi�cam uma pessoa especí�ca. É o conjunto estruturado de dados pessoais estabelecidos, em um ou em vários locais, em suporte eletrônico ou físico. Exemplos de dados pessoais [eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/... 3 of 15 08/02/2021 20:58 E-mail corporativo Dados detidos por um hospital ou médico o número de registo de empresa; um endereço de correio eletrônico como info@empresa.com; dados anonimizados. Como saber se a empresa se enquadra na classi�cação de PMEs O que é preciso saber sobre a Lei GDPR e a LGPD Exemplos de dados não considerados pessoais Impactos da LGPD para as PMEs É importante deixar um ponto muito claro aqui: a LGPD não faz diferenciação de requisitos para empresas de diferentes portes. Esse é um ponto diferente do GDPR (General Data Protection Regulation), que é o regulamento sobre privacidade e proteção de dados pessoais aplicável a todos os indivíduos na União Europeia. Lá a lei prevê que a ANPD poderá estipular regras diferentes para pequenas e médias empresas. De acordo com o Conselho Federal da Administração, as micros e as pequenas empresas representam a maioria de todos os negócios formais do país. Elas são responsáveis por uma grande fatia do faturamento de todas as empresas brasileiras, contratando mais da metadeda mão de obra formal, ou seja, são importantes no cenário econômico do país. Órgãos de serviços de apoio às PMEs, como o SEBRAE, estão atentos a esta realidade da LGPD e buscam analisar um plano especial de adequação à nova lei para esta categoria que enfrentará di�culdades maiores se considerarmos somente o capital que dispõem. Com isto, se faz necessário diretrizes que corrijam essa desvantagem econômica e que dê oportunidade de crescimento também para as pequenas e as médias empresas. A classi�cação de uma PME está em consonância com a Lei Complementar n° 123, de 14 de dezembro de 2006, conhecida como Lei Geral da Micro e Pequena Empresa. Con�ra tabela abaixo: Considerando que a LGDP fará aplicação de multas, sem fazer distinção de tamanho e de porte das empresas, e que muitas PMEs são alvos bem fáceis para ataques cibernéticos, é importante compreender a lei, assim como buscar formação especí�ca e iniciar a adequação o quanto antes. As conexões entre a GDPR e a LGPD vão muito além das siglas com quatro letras. A GDPR é o [eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/... 4 of 15 08/02/2021 20:58 Se existir oferta de bens e/ou serviços para indivíduos localizados na União Europeia; Se existir monitoramento do comportamento de titulares de dados na União Europeia. Suécia: lei 289 de 11 maio de 1973, o Datalegen; Alemanha: desde 1977, a Alemanha tem uma lei federal de proteção de uso ilícito de dados pessoais; Dinamarca: regulamenta a questão da proteção de dados pelas Leis 243 e 244, ambas de 08 de julho de 1978, que estenderam a proteção também para as pessoas jurídicas; França: tem a Lei 78-77, de 06 de janeiro de 1978; Portugal: a Constituição de Portugal de 1977 tem texto ainda mais completo (Art. 35), pois contempla a previsão do direito do cidadão de conhecer os dados que lhe são concernentes, de que esses dados sejam utilizados de acordo com a �nalidade para o qual foram recolhidos e, ainda, de reti�cá-los (em caso de erro) e de atualizá-los. Diferenças entre LGPD e GDPR O que acontece se minha PME não se adequar à LGPD? regulamento europeu aplicável ao titular dados o direito sobre privacidade e proteção de dados pessoais proposto em 2012, aprovado em abril de 2016, e está em vigor desde 25 de maio de 2018. Já a LGPD foi sancionada pelo presidente Michel Temer, em 14 de agosto de 2018, e entrou em vigor em setembro de 2020. Entretanto, no mundo globalizado no qual vivemos, é viável que o GDPR se aplique aqui e a brasileira em território internacional. A dualidade acontece porque ambas regem a captura, uso, tratamento e proteção de dados, que extrapolam fronteiras físicas através da internet. Em linhas gerais, a GDPR tem validade para empresas brasileiras nas seguintes condições: É importante você saber que outros países saíram na frente e já contam com o princípio do direito à privacidade há algum tempo, tais como: O exemplo desses países aponta o pioneirismo da Europa no desenvolvimento da legislação que visa a privacidade. Como já deu para entender, tanto a LGPD quanto a GDPR podem impactar a operação da sua empresa, então é importante entender melhor como os itens das leis se relacionam e se referenciam. Con�ra a tabela abaixo com os principais itens. A cronologia da temática da segurança e da privacidade da informação, mostra que não é de hoje que existe essa discussão. As leis brasileiras e as leis de outros países possuem semelhanças, mesmo com as culturas bem diferentes. Portanto, o mundo caminha para garantir mais controle e proteção aos dados pessoais, visando ao titular a melhor transparência de uso do que é seu por direito. Já vimos que países da União Europeia, onde a GDPR é praticada, iniciaram as discussões há décadas, como no Brasil com a LGPD, e mesmo assim países de primeiro mundo encontraram di�culdades nas adaptações. [eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/... 5 of 15 08/02/2021 20:58 Quando a lei não se aplica? Um hospital responsável pelo processamento de grandes conjuntos de dados con�denciais; Uma empresa de segurança que atua no monitoramento de shoppings e espaços públicos; Uma pequena empresa de caça-talentos administradora de per�s de indivíduos. Um médico da comunidade local que processa dados pessoais de seus pacientes; Um pequeno escritório de advocacia que mantém informações pessoais de seus clientes. Violações e Vazamentos de Dados Pessoais Como a LGDP não faz diferenciação do porte de empresa, é preciso se adequar, mesmo que ainda haja expectativas da ANPD editar normas, orientações e procedimentos simpli�cados e diferenciados para as PMEs. Quando observado os valores das multas, percebe-se a importância e a necessidade de reforçar a representatividade e magnitude, tanto da LGPD quanto da GDPR. Além da multa, também são previstas advertências, determinações de bloqueio ou eliminação dos dados, suspensões totais ou parciais do banco de dados correspondente e outros no caso da GDPR. Existem exceções sobre a LGPD. Ela não se aplica para alguns casos no tratamento de dados. Veja na íntegra o Artigo da lei: Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: I – Realizado por pessoa natural para �ns exclusivamente particulares e não econômicos; II – Realizado para �ns exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos, aplicando-se a esta hipótese os Art. s. 7º e 11 desta Lei; III – Realizado para �ns exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais; Já na União Europeia, a GDPR não se aplica em alguns casos, por exemplo, na nomeação de , o Encarregado descrito na LGDP.DPO – Data Protection O�cer Um DPO é obrigatório, por exemplo, quando sua empresa ou organização é: Porém, o DPO deixa de ser obrigatório em alguns casos: [eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/... 6 of 15 08/02/2021 20:58 Por onde começar? Passo 1 – Entendimento do Negócio Empresa nacional ou multinacional? Porte: micro, pequena, média ou grande empresa? Atividades exercidas: serviços ou produtos? Assim como a GDPR, a LGPD obriga que o controlador comunique a ocorrência de incidentes de segurança que possam trazer riscos ou afetar os titulares dos dados. A primeira comunicação detalhada deve ser feita à ANPD, em prazo razoável a ser de�nido pela autoridade. Dependendo da gravidade, a ANPD poderá indicar necessidade de divulgação ampla do fato. Diante de qualquer incidente sobre falha na segurança de dados, com possibilidades de danos ou riscos aos titulares, é dever do controlador informar a ANPD e aos demais titulares dos dados. A partir daí, o próprio órgão �ca responsável pela averiguação e a gravidade do caso. Cabe à autoridade solicitar que o controlador divulgue amplamente o incidente nos meios de comunicação ou tome providências para reverter ou mitigar os efeitos aos titulares. Por meio de medidas técnicas e para impedir que terceiros não autorizados acessem os dados envolvidos, o nível de gravidade do ocorrido deve considerar que os mesmos se encontram ininteligíveis. Em 2020, o mês de outubro foi um show de violação e vazamento de dados, porém uma empresa teve destaque positivo frente a tantas notícias de ataques cibernéticos de sucesso. Essa empresa foi a Prudential, empresa do segmento de seguros, que de maneira objetiva e clara relatou seu incidente ao mercado e aos titulares dos dados. Esse é um exemplo importante que pode servir de exemplo para as demais empresas que sofrerem com algum incidente semelhante. Boas práticas para entrar em conformidade com a LGPD Pensando que muitas PMEs podem estar na estaca zero da adequação, seja por falta de recursos ou de conhecimento, preparamos uma seção de boas práticas. Já é importante �car claro que as mudanças elencadas aqui podem ser feitas dia adia, mesmo que a empresa ainda não possua estrutura para iniciar uma adequação completa. Nossa intenção é incentivar os pequenos empreendedores a começarem seu processo de adequação, mesmo que não seja de forma tão acelerada. Diante de tantas informações sobre a LGDP, existe uma certa urgência para qualquer empresa iniciar o processo de adequação. Por isso, são sugeridos seis passos: Independentemente da Lei, uma empresa precisa ter claro alguns pontos sobre sua própria gestão: [eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/... 7 of 15 08/02/2021 20:58 Regime sindical? Quais são os outros órgãos reguladores? Qual é o modelo de negócio? Qual é o quadro de funcionários? Qual é a relação com os prestadores de serviços? E com os fornecedores? Passo 2 – Conhecimento e Compreensão da Lei Passo 3 – Entendimento dos Dados Coletados Quais são os dados que eu coleto? Faz sentido coletar esse dado? De qual categoria de pessoas? Menor de idade? Pessoa física ou jurídica? Qual será a hipótese legal para o tratamento? (ver Art. 7 da Lei) Em qual local? Armazenamento Físico (papel, pendrive, CD, etc) ou Armazenamento Digital (Sistema, e-mail, redes sociais)? Por que ele precisa ser guardado? Por quanto tempo ele precisa/pode ser armazenado? Alguma legislação e regulamento a ser seguido? É possível anonimizá-lo? O dado está sendo duplicado? Aqui é pensar em coisas simples, se uma �cha de cadastro foi enviada por e-mail e foi impressa, o dado já foi duplicado. Será transferido para país estrangeiro? Em suma, conhecer bem o negócio e toda a sua atividade é um pilar fundamental no processo de concepção e desenvolvimento das estratégias de gestão empresarial. Todo processo de conscientização deve começar pela capacitação em fundamentos, conceitos e práticas da LGPD. A empresa deve ter conhecimento e saber da importância e da aplicabilidade ao negócio. Como a LGPD afeta todos os setores, um efeito cascata poderá ocorrer. A empresa poderá, por exemplo, ter que prestar contas de como faz o tratamento dos dados e, como consequência, terá que cobrar isso de um fornecedor que atue no processo de onde o dado é processado. Portanto, toda a capacitação sobre a Lei é o passo primordial para disseminar o conhecimento para a adequação das diretrizes. Quando se tem o entendimento completo de uma gestão empresarial e a compreensão da lei, �ca mais fácil entender quais dados circulam pela empresa. Para isso, é fundamental que se tenha uma documentação dos mapeamentos dos processos com a classi�cação dos dados pessoais. Para entender melhor o que se deve saber, con�ra o roteiro de questionamento que auxiliará na jornada de adequação à LGPD: [eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/... 8 of 15 08/02/2021 20:58 Passo 4 – Fases dos Ciclos de Tratamento dos Dados Passo 5 – Elaboração e Revisão de Contratos, Políticas e Termos Passo 6 – Nomeação de um encarregado de Proteção de Dados 1. Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; 2. Receber comunicações da autoridade nacional e adotar providências; 3. Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e 4. Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. Segurança integrada é uma boa governança de dados Esses questionamentos são imprescindíveis para garantir o controle e proteção dos dados. E o mais importante: deve ser de ciência de todos os colaboradores. Uma das atividades mais importantes é entender as fases de tratamento dos dados. Esse ciclo é composto pelo Art. 5 X da lei. A operação de tratamento “acesso” (LGPD, Art. 5º, X) está presente em todas as fases do ciclo de vida dos dados pessoais, pois de alguma forma temos que realizar acesso ao dado pessoal para viabilizar sua coleta, retenção, processamento, compartilhamento ou eliminação. Documentar diretrizes, normas, procedimentos e políticas é de suma importância para uma gestão e�ciente. Para aqueles que têm esse costume, será necessário fazer ajustes para contemplar os objetivos da LGPD. Para aqueles que não possuem, nada melhor que começar agora. Documentos como contratos, seja de prestação de serviço com fornecedores e clientes, de trabalho CLT ou autônomo, entre outros, deverão conter ajustes em consonância com a lei. No Art. 41 são descritas as atividades que um encarregado deverá cumprir. Portanto a nomeação é para todos os tipos de empresas e as atividades que o encarregado tem como responsabilidade são: A ANPD poderá estabelecer ajustes nas atribuições do encarregado. Há muitas expectativas e especulações sobre a dispensa da nomeação de encarregado dos dados nas PMEs. O apoio, o engajamento e o envolvimento da Alta Administração são fundamentais e representam a diferença entre o sucesso e o fracasso da adequação. Deve �car claro que todos na organização são responsáveis, pois é uma nova forma de entender e lidar com dados pessoais. Deve haver uma boa sinergia e entrosamento entre os departamentos de TI, Marketing, Vendas e Relacionamento para que tudo ocorra da melhor forma. Como uma parcela signi�cativa da captação e utilização de dados do usuário se encontra no [eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/... 9 of 15 08/02/2021 20:58 Os 10 princípios da LGPD 1. PRINCÍPIO DA FINALIDADE: quais dados estão na base? Por que e de qual forma serão tratados? 2. PRINCÍPIO DA ADEQUAÇÃO: a utilização dos dados está compatível com a �nalidade em curso? 3. PRINCÍPIO DA NECESSIDADE: é realmente relevante tratar esses dados para a �nalidade que quero? 4. PRINCÍPIO DA TRANSPARÊNCIA: como garantir que os dados sejam exatos? 5. PRINCÍPIO DA NÃO DISCRIMINAÇÃO: como informar os processos realizados com os dados? 6. PRINCÍPIO DA SEGURANÇA: existem processos técnicos adequados para manter a proteção dos dados? 7. PRINCÍPIO DA PREVENÇÃO: há medidas preventivas para que os dados seguros sejam mantidos em plena segurança? 8. PRINCÍPIO DA RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: de que forma podemos conscientizar sobre a importância da privacidade? 9. PRINCÍPIO DO LIVRE ACESSO: é possível comprovar à agência e ao titular estar aderente à Lei? Marketing, Vendas e Relacionamento com os clientes (ou seja, comunicação, cadastros, relacionamento etc.), a plena integração do departamento de TI se torna fundamental. Na prática, Tecnologia da Informação (TI) ou Tecnologia da Informação e Comunicação (TIC) são os maiores atores nesse trabalho e o mapeamento irá exigir muitas informações coletadas com tecnologias, reuniões e entrevistas, portanto, prepare seu time e parceiros para essas interações. A cada ação de Marketing Digital, por exemplo, é importante que a TI revise os procedimentos de proteção de dados dos usuários. O mesmo deve ocorrer com outros departamentos que utilizam essas informações (no caso de vendas, por exemplo). Todos devem estar alinhados para contemplar as diretrizes da LGPD e, assim, se bene�ciar com a integração junto ao departamento de tecnologia. Para uma lei, os princípios são seus nortes. São muito mais que simples regras, a�nal os princípios estabelecem algumas limitações, fornecem diretrizes e tem como objetivo possibilitar a correta compreensão e interpretação da lei em questão. Na LGPD esses princípios foram elencados e é bom ter ciência deles: [eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/... 10 of 15 08/02/2021 20:58 10. PRINCÍPIO DA QUALIDADE DOS DADOS: como garantir a consulta dos dados aos titulares? Dicas de uma boa relação com o titular dos dados 1. Implemente recursos visuais 2. Políticas de privacidade acessíveis 3. Titular deve estar no comando 4. Gerenciamento de dados Vamos exempli�cara situação de uma compra de medicamentos ou itens de farmácia. É uma prática comum no Brasil ser solicitado o CPF e outros dados na hora de realizar o pagamento ou até mesmo para a consulta do produto com o farmacêutico, não é mesmo? Então vamos analisar as seguintes situações: Situação 1: para iniciar o processo de pagamento o operador do caixa solicitar, imediatamente, o CPF, convênio médico ou outros dados para que descontos sejam liberados e a compra �nalizada. Nesse caso, é necessário que seja noti�cado como os dados coletados serão utilizados para envio de ofertas e análise do per�l de consumo do usuário. Situação 2: ao comprar medicamentos controlados, os dados (CPF, RG, número de telefone, endereço e outros) devem ser, obrigatoriamente, enviados para o SNGPC (Sistema Nacional de Gerenciamento de Produtos Controlados), que é controlado pela AVISA. Todo esse processo de envio, armazenamento e compartilhamento de dados deve �car claro para o cliente. Situação 3: muitas redes de drogarias são dirigidas por uma única empresa matriz e, dessa forma, compartilham entre si dados em até diferentes estados do Brasil. Esse tipo de informação também deve ser noti�cado ao cliente quando o CPF é fornecido. Vale reforçar que não é necessário fornecer esses dados caso a emissão da Nota Fiscal Paulista, por exemplo, seja negada pelo cliente. Por isso, é muito importante colocar em prática os princípios previstos na lei e as demais práticas aplicadas ao ramo de negócios. A con�ança se consegue através de uma boa comunicação e transparência, ou seja, quanto mais visual e acessível estiver a informação de como faz o tratamento do dado, mais preparada a empresa estará. Con�ra dicas fáceis de implementar: Deixe acessível como é feita a coleta e o tratamento dos dados do cliente. Isto gera uma ótima experiência da parte do usuário. Portanto, use e abuse de imagens, tabelas, vídeos e infográ�cos pelo estabelecimento ou site da empresa. Seja claro, objetivo e mantenha com fácil acesso às informações, políticas e termos em suas redes sociais e website. Destaque, se necessário, para que o consumidor tenha facilidade em e encontrá-las. O titular deve poder optar em concordar ou não com o fornecimento dos dados pessoais, desde que possível e não obrigatório, mediante outras leis e regulamentações. Portanto, evite coletar dados excessivos. É recomendável esclarecer o motivo da solicitação dos dados. Por meio das tecnologias é possível deixar o titular escolher a forma que os seus dados serão [eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/... 11 of 15 08/02/2021 20:58 5. Disponibilidade para o titular 6. Política de descarte dos dados 7 etapas para a criação do DPIA 1. Identi�cação da necessidade de um RIPDP usados. Uma prática já comum é quando você recebe e-mails promocionais. Conseguir efetuar o cancelamento desses e-mails apenas clicando na opção de descadastrar-se no �nal da mensagem é um diferencial para o cliente, a�nal, ele precisa ter o direito de escolha. Essa prática deve ser ampliada para gerenciamento dos dados por parte do titular. O exercício dos direitos dos titulares deve ser simpli�cado. Portanto, investir na criação de um canal de atendimento aos titulares para esclarecimento de dúvidas sobre temas variados é sempre uma boa opção. Para uma PME, por exemplo, pode-se criar o espaço Perguntas e Repostas, como um FAQ. Dados também tem um prazo de validade. É necessário que, com certa periodicidade, seja avaliada a necessidade de continuar armazenando determinados dados e se eles ainda são úteis e cumprem com algum propósito. Estabelecer prazos internos para determinar o tempo de permanência dos dados na empresa é uma boa prática. Passo a passo para a adequação Após entender todos os aspectos, impactos e pontos de atenção com a LGPD, é preciso colocar a mão na massa e se adequar de verdade, o quanto antes. O desa�o envolve muito trabalho e paciência, pois a jornada inclui etapas que geram mudanças signi�cativas na cultura e comportamento dos colaboradores, desde o diagnóstico, mapeamento de dados, implantação de controles e ações de conscientização. Um instrumento essencial e muito importante nessa fase é o RIPDP – Relatório de Impacto à Proteção de Dados Pessoais, também conhecido como DPIA ( ). Esse instrumento é utilizado pelo controlador e é fundamental em situações onde o tratamento de dados pessoais gere algum risco à liberdade civil e aos direitos fundamentais dos titulares. Resumidamente, ele é uma ferramenta que identi�ca e destaca os mecanismos de mitigação de riscos. Data Protection Impact Assessment O uso dessa ferramenta ainda é envolto de algumas polêmicas e as orientações da ANPD são aguardadas, porém é recomendável adotar uma postura proativa e já garantir uma estruturação de RIPDP. Elaboração de um Relatório de Impacto à Proteção de Dados Pessoais (RIPDP) A lei não informa nenhum passo a passo para essa elaboração, porém uma adaptação do modelo de Avaliação do Impacto da Privacidade (PIA), do Information Commissioner’s O�cer (ICO), é uma ótima maneira de criar o documento. Conheça o passo a passo necessário para o desenvolvimento do DPIA. Para conduzir um relatório da melhor forma possível é necessária uma ação planejada e quanto mais rápido ele for iniciado, melhor. Isso facilitará muito o andamento para que a organização se prepare e se organize, além de incorporar as medidas para identi�car riscos durante o [eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/... 12 of 15 08/02/2021 20:58 Quando o tratamento de dados pessoais tiver como fundamento o interesse legítimo do Controlador. (Art. 10º, II, § 3º, LGPD); Quando o tratamento de dados pessoais gerar riscos às liberdades civis e aos direitos fundamentais dos titulares. (Art. 5º, XVII, LGPD); Quando ocorrer o tratamento de dados pessoais sensíveis, especialmente em grandes volumes. (Art. 38º, LGPD); Quando o tratamento for relativo a dados pessoais provenientes de fora do território nacional e que não sejam objeto de comunicação, no uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência. (Art. 4º, IV, § 3º, LGPD). 2. Descrever o tratamento dos dados pessoais 3. Realização de consultas 4. Avaliar a necessidade e proporcionalidade 5. Identi�car e avaliar riscos 6. Identi�car medidas para tratar o risco tratamento de dados pessoais. É importante lembrar que um RIPDP passa a ser obrigatório em casos especí�cos, como situações em que o tratamento de dados pessoais resulte em um alto risco para os direitos e liberdades dos titulares. A LGPD menciona condições básicas referentes à necessidade do documento: Após garantir a necessidade do relatório, é necessário descrever todo o processo e tipo de tratamento que será realizado com esses dados. Nessa etapa, os detalhes sobre as informações internas, operações e tratamentos dos dados serão detalhados. Ou seja, coleta, armazenamento, descarte e, inclusive, o desenho do �uxo dos dados pessoais nos processos de negócios precisam serem descritos. Consultar todas as partes interessadas no tratamento dos dados pessoais é necessário e muito importante. Em algumas situações pode ser preciso descrever e coletar opiniões dos titulares e entender se o processo contou com a participação de especialistas em segurança da informação. É indispensável que conste no relatório qual a sua base legal para o tratamento de dados pessoais ou de que forma a organização garantirá a qualidade e a minimização dos dados. Logo, os requisitos de necessidade e proporcionalidade devem ser levados em conta. O grande objetivo do Relatório de Impacto à Proteção de Dados Pessoais é compreender e reduzir os riscos envolvidos no tratamento. Para isso, é necessária uma visão clara de todas as vulnerabilidades do tratamento dos dados pessoais. Esses riscos devem sercatalogados com indicadores de gravidade sobre qualquer impacto negativo sobre os direitos e liberdades individuais. Após a catalogação dos riscos, é necessário identi�car como eles serão controlados, reduzidos ou eliminados. A organização deve de�nir as soluções e ações para mitigar, evitar, transferir ou aceitar os riscos. O objetivo dessa etapa é reduzir ao máximo os impactos negativos. [eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/... 13 of 15 08/02/2021 20:58 7. Assinar e registar os resultados do RIPDP diagnósticos; mapeamento de dados; implantação de controles; ações de conscientização; mudanças culturais corporativa. Após a decisão do processo de tomada dos riscos, é fundamental que um registro dos resultados do relatório de impacto seja criado e assinado pelos responsáveis mencionados. Com isto, o mais indicado é adotar uma abordagem proativa e focada em padronizar os processos da proteção dos dados pessoais. Importante: integre as soluções de proteção de dados ao projeto para garantir que os resultados DPIA, como os controles de segurança, por exemplo, estejam integrados ao seu projeto. Revise e revisite o DPIA quando necessário, especialmente nos casos em que houver uma mudança signi�cativa de projeto. Agora que você já está por dentro do que é a LGPD, seus termos, impactos, benefícios e pontos de atenção, é hora de mãos à obra. Não faltam desa�os para as empresas que precisam cumprir �elmente a lei. Garantir a conformidade com a LGPD passa por incluir o respeito, tanto aos princípios fundamentais da proteção de dados pessoais como aos direitos dos titulares. Em alguns casos, pode ser uma longa jornada, que inclui: Entre outros pontos da LGPD, o Relatório de Impacto à Proteção de Dados Pessoais (RIPDP) se destaca como o instrumento usado pelo controlador em situações onde o tratamento de dados pessoais possa gerar riscos às liberdades civis e aos direitos fundamentais dos titulares. Ou seja, servindo como uma ferramenta para identi�car medidas e demais mecanismos de mitigação de riscos. Conclusão No geral, os critérios de consentimento e utilidade são bases cruciais para não descumprir a lei. Assim sendo, se o um negócio usa táticas escusas, as implicações legais se tornarão um desa�o signi�cativo e permanente com a vigência da lei. Compra ou uso, não autorizados, de mailings e ausência de controle sobre a gestão de dados pessoais dos públicos internos e externos deverão ser evitados. Em outras palavras, se sua empresa acredita que gestão de riscos é exclusividade de grandes empresas, podem existir problemas. Adequar-se dentro do prazo e gerenciar o negócio em conformidade com aquilo que a LGPD exige é complexo, mas viável e alcançável. Para isso, conte com um parceiro especializado que possa auxiliar na transição e na continuidade de uma gestão apropriada. Se sua empresa necessita de suporte, a Daryus Consultoria possui expertise e experiência em Segurança da Informação, Governança e Gestão de Riscos, atributos mais do que oportunos para o contexto atual e para as projeções da Lei Geral de Proteção de Dados. [eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/... 14 of 15 08/02/2021 20:58 E para conseguir garantir tudo que é necessário para �car em conformidade nas áreas de Marketing e Vendas, você pode contar com os recursos do RD Station focados em LGPD. Temos times de Produto e Engenharia focados em mudanças e melhorias relacionadas à privacidade e proteção de dados nos dois produtos: RD Station Marketing e RD Station CRM. Desejamos todo o sucesso nas suas ações! [eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/... 15 of 15 08/02/2021 20:58
Compartilhar