Entrar em conformidade com a LGPD pode ser mais fácil com a ajuda de uma Solução de Automação da Gestão de Privacidade, como a OneTrust.
A LGPD, Lei Geral de Proteção de Dados, sofre conflitos para entrar em vigor no Brasil na data prevista mais recente: em agosto de 2020, após 2 anos; uma série de alterações e tentativas de novos adiamentos no mês de sua vigência de sua vigência.
Estamos trabalhando arduamente para te manter informado sobre as novidades da LGPD e já criamos dois grandes artigos sobre o tema, no primeiro reunimos tudo sobre a LGPD e no segundo trazemos todas as principais novidades da lei.
Caso não sofra mais nenhuma alteração, a lei entra em vigência com um detalhe importante: A ANPD, Agência Nacional de Proteção de Dados, seu órgão regulamentador, só deve passar a funcionar em 2021, essencialmente para:
- Estabelecimento de padrões técnicos;
- Determinação para a elaboração de Relatórios de Impacto,
- Fiscalização e aplicação de sanções, atividades de difusão e educação sobre a LGPD.
Na prática, isso significa que teríamos uma lei em vigor que não será monitorada por seu principal órgão no primeiro ano de vida, o que não significa que suas regras deverão ser ignoradas, pois outros órgãos competentes, como o Procon (Programa de Proteção e Defesa do Consumidor) podem ser acionados durante uma infração.
Mas note que no caso de um acionamento como o Procon, as mesmas multas e sanções da ANPD, que incluem advertências e o pagamento monetário de 2% do faturamento da empresa até R$50 milhões, por infração; não se aplicam.
Ou seja, durante o primeiro ano da LGPD, as multas e sanções não seriam aplicadas, mas especialistas alertam que os acionamentos por outros órgãos tornaram-se provas para uma reincidência de infrações quando a ANPD passasse a funcionar oficialmente em todo o país.
Por isso, enquanto a lei passa por diversas conflitos de interesse, as empresas não devem esperar para ver o que acontece, pois quanto mais adequadas a lei geral de proteção de dados no momento de sua vigência, menos serão os riscos de multas e denúncias envolvendo o vazamento ou qualquer outra infração de privacidade de dados.
Em nosso programa, “Em Foco” a gente separou te explica os princípios legais da Lei Geral de Proteção de Dados:
Histórico de alterações nas datas de vigência da LGPD
** Nota: Este histórico será constantemente atualizado, nossa última versão conta com informações do dia 23 de setembro de 2020. Caso encontre alguma divergência, entre em contato com a gente.
Atualização 18/09 – A Lei Geral de Proteção de Dados entra em vigor
Após sanção presencial, a LGPD passou a valer no dia 18 de setembro de 2020, dois anos após a primeira versão da lei. A cobrança de multas e atuação da ANPD continuam datadas para agosto de 2021.
Atualização 26/08 – ainda não entrou em vigor
A MP 959/20, que sugeria uma nova data para que a Lei Geral de Proteção de Dados entre em vigor, mas foi barrada pelo Senado. Sendo assim, a LGPD segue com as alterações aprovadas para a sanção presidencial.
Atualização 25/08 – ainda não entrou em vigor
O texto original da MP 959/20 foi alterado e aprovado com sucesso na Câmara, o qual sugere uma nova data para que a Lei Geral de Proteção de Dados entre em vigor. Caso seja aprovado em votação no dia 26/08, a LGPD passará a entrar em vigor somente no dia 31 de dezembro de 2020.
A votação ocorre no dia 26/08 às 16h na TV Senado (horário de brasília) em uma única sessão, e caso aprovada, seguirá para o aceite final e a sanção presidencial. A data sugerida pela nova versão da MP é vista positivamente por especialistas, além de envolver um acordo prévio entre todos os poderes (Executivo, Câmara e Senado).
Atualização 20/08 – ainda não entrou em vigor
Visto como um importante passo na saúde e proteção de dados no país inteiro, o texto original da MP 959/20 foi retirado da pauta do dia e movido para o dia 25/08. E isso é um ótimo exemplo sobre como a lei tem sido menosprezada por aqui.
As mudanças constantes na data de vigência, assim como uma série de lacunas a serem preenchidas pela lei brasileira é resultado de um conflito de interesses muito grande no Brasil.
Atualização 19/08 – ainda não entrou em vigor
Não houve consenso entre os deputados sobre a MP 959 na votação de ontem, 18/08 e a mesma não está planejada para ser abordada nos próximos dias. No entanto, é possível que isso mude e tenha prioridade dada a urgência do tema.
A data limite para que a MP ainda tenha validade e possa ser votada pelas duas autoridades (Câmara e Senado), é dia 26/08.
Atualização 11/08 – ainda não entrou em vigor
O início dos conflitos da LGPD em sua proximidade com a possível aprovação. A lei estava prevista para entrar em vigor neste mesmo mês, mesmo sem ANPD, o que não deve ser reconhecido até que a MP 959, que adia seu lançamento, seja votada.
Note que todas as alterações da LGPD buscam adiá-la sempre que possível, embora exista uma resistência que tente ao menos mantê-la para o final de 2021, independente da abertura da Agência Nacional de Proteção de Dados.
O grande problema dessa facilidade de postergação da lei é a reputação dela frente ao mercado, que perde o poder de impacto cada vez que é adiada, já que muitas empresas podem se achar no direito de também lidar com isso “mais tarde”.
Do ponto de vista prático da história, as empresas que ainda não estão se adequando estão apenas perdendo a valiosa oportunidade de fazer o processo com a calma e planejamento que ele demanda, pois apesar de todas as confusões, não há nenhuma possibilidade de a LGPD não acontecer em algum momento futuro.
Após quase 2 anos desde a primeira data divulgada para a vigência da lei, a LGPD certamente ainda não é perfeita e pode não fazer sentido pra muita gente quando é anunciada antes mesmo do seu órgão regulamentador, mas nessas horas vale recordar sobre a importância de estar em conformidade caso a sua empresa possua relações internacionais com outros países.
Isso porque tanto a GDPR quanto outras leis de proteção de dados especificam que ações como a transferência de dados só poderão ser realizados sob condições específicas, as quais garantam que os dados serão devidamente tratados quando transferidos para o país de destino. Portanto se você não quer ter os negócios afetados, o compliance é importante.
Saiba tudo sobre LGPD em um único lugar
A Compugraf acompanha todas as notícias sobre a Lei Geral de Proteção de Dados desde o início de sua vigência, e sabendo de todas as mudanças que a lei ainda pode sofrer, assim como também na centralização das informações de maneira acessível, criou uma página exclusiva para abordar o tema.
A página que criamos é certamente uma das mais completas da internet e nela reunimos todas as informações atualizadas da LGPD em um acesso multimídia envolvendo textos, podcasts e vídeos ao longo de três temas de extrema importância para entrar em conformidade: o contexto, as consequências, e como entrar em conformidade.
Contextualizando a LGPD
Se mesmo em 2020 você ainda está confuso sobre a existência da Lei Geral de Proteção de Dados, a gente te explica mais uma vez.
A LGPD nasceu como uma resposta direta a leis semelhantes de outros países e sob total influência da recém lançada GDPR. A Lei brasileira nº 13.709 foi bem aceita em em agosto de 2018, mas diversos pontos a serem revisados e as restrições na aprovação de seu órgão regulamentador, a Agência Nacional de Proteção de Dados, fizeram com que sua vigência tivesse a data alterada.
O problema é que essas alterações de data nunca terminam, pois ainda hoje a lei sofre com essa possibilidade, o que gera um mal estar geral na relação do brasileiro com as novas práticas de proteção de dados no país
A intenção da LGPD é genuína e totalmente necessária, buscando criar um cenário de segurança jurídica e a padronização das normas e práticas para garantir a proteção de dados coletados, armazenados e tratados no Brasil, assim como manter a segurança durante uma eventual transferência internacional de dados.
O que sempre foi bem específico em relação a LGPD, foi sua intenção de proteger dados pessoais; assim como a definição do que são dados pessoais e possíveis cenários que os tornam mais ou menos sensíveis, especialmente em relação a informações envolvendo crianças e adolescentes.
As normas e práticas propostas pela LGPD são inerentes ao meio, isso quer dizer que as mesmas se aplicam tanto ao mundo físico, quanto ao virtual, impactando todas as empresas de alguma maneira, especialmente as que operam no modelo B2C, Business-to-consumer, mas não excluindo as que atendem empresas (B2B), pois em todos os casos haverá o armazenamento de dados pessoais (como no cadastro de funcionários)
Outro ponto importante é a titularidade dos dados, que agora possui maior controle e mais responsabilidades em relação a permissão de coleta, armazenamento e tratamento dos dados pessoais, embora ainda sejam limitados. Um usuário pode, por exemplo, solicitar a exclusão de dados que já foram autorizados no passado a qualquer momento; mas não pode evitar que seus dados sejam usados para o cumprimento de ações legais, como as inclusas em contrato.
A LGPD prevê advertências e multa para empresas que cometerem infrações, as quais podem chegar a R$50 milhões, ou valor inferior que represente 3% do valor anual da empresa referente ao exercício do ano anterior, e embora o valor não represente grandes prejuízos para grandes corporações, startups, pequenas e médias empresas devem ser muito prejudicadas pelos valores devidos nesse cenário.
Mas conforme já frisamos em alguns momentos, as multas monetárias são apenas a cereja do bolo se pensarmos sobre como a reputação de uma empresa poderá ser prejudicada a partir do momento em que sofrer penalidades por não cuidar dos dados dos próprios usuários ou até mesmo funcionários, o que pode cair muito mal para os negócios.
Uma empresa pode ser multada múltiplas vezes, sendo que o valor é referente a cada infração cometida, e a constância dessa série de ocasiões pode resultar na proibição de operação da empresa no país, sendo a consequência mais séria dentro da proposta de lei.
Para fazer toda essa gestão e implementação de soluções em segurança da informação e privacidade, a LGPD, inspirada na lei europeia, prevê um profissional específico: o DPO, Data Protection Officer – que terá o papel de garantir que a empresa mantenha as melhores práticas e que todos os setores estejam em conformidade com a lei.
Antes mesmo de a lei ser aprovada, muitos já se perguntaram o que vai acontecer com suas empresas quando a data chegasse. Em nosso “CyberTalks” conversamos com a Carla Manso sobre como isso deve impactar as organizações daqui pra frente.
10 Principais Pontos da LGPD
Dentre tantas informações disponíveis sobre a LGPD, fica difícil definir as informações mais relevantes para quem está começando a se informar agora, além das multas e sanções, pois as mudanças constantes na lei também atrapalham nessa priorização de informações, além de todo o misto de informações desatualizadas que pode confundir as pessoas que não estão tão próximos do que acontece no desenvolvimento da lei.
Em geral, é importante entender que ela veio pra somar e melhorar a nossa relação com os dados pessoais, embora possam trazer desafios iniciais em conceitos como Big Data, Marketing, Data Mining e a Análise de Dados.
Essas melhoras no relacionamento com dados pessoais não é aleatória, afinal, hoje já é comum ouvir que os dados pessoais são as informações mais importantes da internet, já são considerados o “petróleo do século XXI”.
Plataformas e aplicativos sempre usaram e abusaram de informações pessoais e se beneficiaram do uso dessas informações com a possibilidade de utilizar anúncios com base no que foi aprendido, mas isso é uma das coisas que deve mudar com essa nova relação do uso de dados.
Os vazamentos de dados nos últimos anos, não foram poucos e não afetaram somente pequenas empresas, e grandes incidentes a até mesmo guerras cibernéticas, a gente sempre busca manter você informado sobre o que acontece no mundo em relação ao mundo da segurança da informação e privacidade de dados.
Embora soe como algo muito recente, a preocupação com a privacidade como um direito é algo histórico. Existem relatos que associam o fato aos final dos anos 1800, logo após o final da Segunda Guerra Mundial. Mas o evento mais direto a isso vem de 1970, quando surgiram os primeiros computadores.
Na época, as pessoas estavam empolgadas na mesma medida em que estavam assustadas com a possibilidade que essa nova máquina estaria trazendo para suas vidas.
Seria uma ferramenta de espionagem do FBI? Pois é, dúvidas assim não eram nada incomuns.
Na década de 80 surgiu na Europa a Convenção de 108 do Conselho da Europa para a Proteção das Pessoas Singulares, o que era uma associação ao respeito ao tratamento de automatizado de dados pessoais e em 1995 a Diretiva 95/46/EC do Parlamento Europeu e do Conselho, foi adotado.
E tudo isso tem preparado o cenário para o que vivemos hoje, seja através das histórias sobre a GDPR e outras leis de proteção de dados pessoas ao redor do mundo, como nas próprias experiências no Brasil, que remetem aos primeiros momentos do brasileiro com uma lei que é especificamente sobre isso.
- Qual o objetivo da lei de proteção de dados
O objetivo da Lei Geral de Proteção de Dados é o de regulamentar o tratamento de dados pessoais por empresas, pessoas ou entidades do setor público, em todos os meios possíveis (desde anotações informais em papéis, até o que está armazenado nos arquivos do computador).
Essas regras aplicam-se a todos os dados no Brasil, mas também influenciam nos dados que são transferidos de ou para o país, com leis requisitos para tornar o processo possível e seguro.
A lei é válida para todo o Brasil, e nas ocasiões em que tenha como objetivo a oferta ou fornecimento de bens ou serviços a pessoas que residem no país, ou de pessoas que tenham dados coletados aqui.
- O que são dados pessoais e os dados pessoais sensíveis?
Dada a amplitude dos dados recolhidos pelas mais diversas plataformas e empresas, uma questão importante diz respeito aos tipos de dados abrangidos pela LGPD. Basicamente, a LGPD regula o tratamento de dados pessoais e dados pessoais sensíveis.
Dados pessoais são informações relacionadas ao titular. O titular pode ser uma pessoa física identificada ou identificável, incluindo nome, endereço, e-mail, idade obtida através de qualquer forma de suporte (papel, eletrônico, computador, etc.) , Estado civil e situação patrimonial), som e imagem, etc.).
A LGPD escolheu um conceito amplo que abrange dados pessoais sem uma lista exaustiva, o que dá à lei uma vida útil mais longa e deixa a definição de seu escopo para suas autoridades regulamentadoras.
Dados pessoais relacionados à raça ou origem étnica, crenças religiosas, opiniões políticas, filiação a um sindicato ou organização de natureza religiosa, filosófica ou política, dados relacionados à saúde ou vida sexual são considerados informações confidenciais, assim genes ou dados biométricos associados a pessoas físicas .
A Lei Geral de Proteção de Dados trata esses dados de forma mais estrita e proíbe o processamento, exceto em circunstâncias especiais estabelecidas pela lei.
- O que compõe um tratamento de dados na LGPD?
LGPD se aplica a quaisquer operações sobre dados pessoais, como coleta, produção e recepção. Os dados da entidade são inseridos em todo o estágio permanente, até finalmente sair da transmissão, difusão ou extração anterior (ou seja, cobertura ponta a ponta).
Para as pessoas jurídicas, estão excluídos da abrangência da LGPD os tratamentos para fins jornalísticos e artísticos, assim como documentos acadêmicos, de segurança pública, defesa nacional, segurança nacional ou atividades de investigação.
Excluem-se também os casos em que os dados estejam no Brasil de maneira transitória, ou seja, esse cenário não implica na aplicação da LGPD em dados pessoais de fora do território do país quando estão em trânsito e não são objetos de troca ou compartilhado com os agentes de tratamento de dados no Brasil. Isso também ocorre em outros países, que aplicam regras diferentes.
- Quem são as pessoas visadas pela LGPD?
Em primeiro lugar, é importante entender se é cidadão brasileiro ou não, a depender de como é comprovado como o titular desfruta de seu rico direito informacional à autodeterminação e titularidade de seus dados pessoais.
De acordo com a lei, as pessoas que processam os dados são classificadas como agentes de processamento, sendo os principais os controladores, que podem ser pessoas físicas ou jurídicas..
Além do controlador, que geralmente é o agente que se comunica diretamente com o titular, também existem atividades terceirizadas de processamento de dados realizadas por um agente denominado operador. O agente pode ser uma pessoa física ou jurídica, uma empresa privada ou do governo e é responsável pelo processamento.
De forma semelhante ao GDPR, embora suas capacidades e responsabilidades sejam inferiores às do DPO (Data Protection Officer) na lei europeia, a legislação brasileira define um responsável nomeado como encarregado, atuando como um canal de comunicação entre controladores, detentores e as autoridades nacionais.
- Quais empresas serão afetadas pela LGPD?
A nova lei de proteção de dados não afeta apenas as empresas de tecnologia, mas também abrange todas as empresas que processam dados pessoais de alguma forma.
Como a lei não restringe os dados pessoais armazenados digitalmente, de fato, quase todas as empresas registram algum tipo de informação pessoal, como dados de funcionários, contato com fornecedores (como nome, telefone, e-mail e endereço), dentre outros.
Dessa forma, quem se cadastrar em apartamentos ou grandes redes sociais e possuir centenas de informações sobre seus titulares estará protegido por lei.
Dessa forma, quem se cadastrar em apartamentos ou grandes redes sociais e possuir centenas de informações sobre seus titulares estará protegido por lei.
- Quais são os direitos dos titulares dos dados?
Dessa forma, quem se cadastrar em apartamentos ou grandes redes sociais e possuir centenas de informações sobre seus titulares estará protegido por lei.
Portanto, o titular dos dados deve ser informado da finalidade, forma e duração do processamento de dados, quem será o controlador, o compartilhamento de dados, as responsabilidades da entidade que detém os dados, e os direitos do titular dos dados devem ser disponibilizados de forma clara, adequada e ostensiva.
Além disso, os titulares dos dados pessoais podem obter do controlador
- Confirmação do tratamento;
- Acesso os dados em até 15 dias após a aplicação;
- Correção de dados;
- Anonimizar, bloquear ou excluir dados desnecessários, excessivos ou não processados;
- Portabilidade de dados;
- Eliminação dados, mesmo com consentimento prévio; Informações de compartilhamento de dados;
- Informações sobre a possibilidade de não consentimento e suas consequências;
- Retirar consentimento;
- Revisar as decisões tomadas exclusivamente com base no processamento automatizado, incluindo definições pessoais, profissionais, de consumidor, de crédito ou de personalidade.
Se o titular dos dados pessoais for uma criança, o tratamento só pode ser realizado com o consentimento expresso de pelo menos um dos pais ou tutor legal. A exceção a essa regra é quando você precisa entrar em contato com um dos pais ou responsável legal, apenas uma vez e sem qualquer uso, ou quando você deve entrar em contato com outras pessoas para protegê-los.
Exceto nas condições estritamente necessárias, a participação em jogos e aplicativos da Internet não pode mais ser sujeita ao fornecimento de dados pessoais.
- Quais as situações em que o tratamento de dados pessoais é possível
Embora a lei pareça limitar as possibilidades de processamento de dados em grande medida, muitos processamentos de dados ainda podem ser realizados legalmente.
Nesse caso, a LGPD estipula que o agente de processamento pode processar os dados pessoais, principalmente com o consentimento do titular;
Mas a LGPD prevê outras possibilidades que permitem o tratamento, mesmo quando não obtido o consentimento do titular, como nos seguintes casos:
- Cumprimento das obrigações legais do responsável pelo tratamento;
- Na administração pública, tratamento e uso compartilhado para a implementação de políticas públicas;
- Pesquisas realizadas por instituições de pesquisa, mas devem ser anônimas;
- Para proteger a vida ou segurança pessoal do titular ou de terceiros;
- Para a proteção da saúde, mas deve ser realizado por profissionais da indústria;
- Assinatura ou pré-assinatura de um contrato com o titular;
- Reclamações em processos judiciais, administrativos ou arbitrais;
- Desde que os legítimos interesses do responsável pelo tratamento não afetem os direitos e liberdades básicos;
- Proteção de crédito.
Para dados pessoais confidenciais, a regra geral é proibir o processamento, a menos que o titular execute o processamento para uma finalidade específica com consentimento claro e proeminente; sem consentimento quando for algo de extrema necessidade:
- O controlador cumpre obrigações legais;
- O departamento da administração pública que implementa as políticas públicas;
- As instituições de pesquisa conduzem pesquisas anonimamente;
- Exercer regularmente direitos em processos contratuais, judiciais, administrativos ou arbitrais;
- Proteger a vida ou a segurança pessoal do titular ou de terceiros;
- Supervisão de saúde, mas apenas por profissionais da área; ou
- Garantir a prevenção de fraudes e a segurança do titular.
- Como obter o consentimento da maneira correta?
O consentimento deve ser obtido para um fim específico, não pode ser um consentimento geral, mas pode ser executado por qualquer meio que comprove a execução da vontade do titular, desde que evidente a necessidade.
Além do mais, após manifestação expressa do titular, o consentimento pode ser revogado a qualquer momento por meio de procedimento livre e conveniente.
O controlador do processamento de dados também terá o ônus de provar que o consentimento foi obtido, portanto, a cadeia de custódia e a autorização devem ser mantidas com muito rigor.
No entanto, se o titular divulgar explicitamente os dados, ele dará o consentimento.
No contrato de encomenda, o tratamento de dados pessoais pode ser uma condição para o fornecimento de produtos ou serviços, mas a premissa é que o titular dos dados seja notificado sobre o assunto.
Por último, se for possível celebrar um contrato com ou sem dados pessoais, o titular deve ser informado das consequências da utilização não autorizada dos seus dados, como seja a restrição dos serviços prestados ou a exibição de anúncios.
- Como deve ser feita a transferência de dados para o exterior?
Os dados pessoais podem ser transferidos para o exterior e, de acordo com os regulamentos LGPD, a transferência é permitida nas seguintes circunstâncias:
- os países a serem transferidos possuam grau de proteção de dados pessoais compatível com a lei brasileira;
- o controlador comprovar as mesmas garantias previstas na lei de proteção de dados, por meio de: a) cláusulas contratuais específicas para uma determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos;
- quando for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução;
- quando for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; (v) a autoridade nacional autorizar a transferência;
- quando for decorrente de acordo de cooperação internacional;
- quando for necessária para execução de política pública ou atribuição legal do serviço público;
- o titular tiver fornecido o seu consentimento específico e em destaque; ou
- necessário para cumprimento de obrigação legal, execução de um contrato ou exercício regular de um direito em processos.
- Quais são as penalidades em casos de descumprimento da LGPD?
Quem descumprir a lei estará sujeito a penalidades administrativas, que vão de advertências a 2% (dois por cento) do valor do faturamento da empresa, até 50 milhões de reais por cada infração, além da infração tornar-se pública e possível bloqueio ou eliminação de dados .
Embora a LGPD não defina o GDPR como duas faixas de multa, ele segue diretrizes semelhantes em termos de valor e vinculação com a receita da empresa infratora.
O responsável pelo tratamento que causou danos patrimoniais, espirituais, pessoais ou coletivos deve ser reparado e, quando diretamente envolvido no processamento, o ônus da prova continua invertido, o que beneficia o titular dos dados e ampara o operador.
Quando o operador não cumprir as obrigações das leis de proteção de dados ou não seguir as instruções legais do controlador, o operador será solidariamente responsável pelos danos causados pelo processamento.
A fim de isentar a responsabilidade pelo processamento, a empresa deve provar que:
- não processou os dados pessoais que lhes são atribuídos;
- mesmo que tenha processado os regulamentos de proteção de dados, não violou os regulamentos;
- o dano é devido totalmente aos dados do titular ou de terceiro.
Tal como acontece com a legislação anticorrupção, se uma empresa provar que implementou um plano de governança de privacidade de acordo com as boas práticas de segurança da informação e programas, políticas e procedimentos de treinamento confiáveis, pode mitigar as penalidades impostas à empresa para proteger os dados pessoais envolvendo todos os funcionários da empresa.
Por que a conformidade com a LGPD deve ser feita com o auxílio de uma ferramenta
O uso de uma ferramenta para o auxílio na conformidade com a LGPD vai além de um simples commodity, pois estamos falando aqui de uma lei que está sofrendo alterações a todo instante e exigirá ações rápidas por partes das organizações e um sistema de gerenciamento altamente eficaz para dar conta disso.
Especialmente para empresas que já existem há algum tempo, e que ao longo da existência tiveram uma relação irregular com o uso de dados, seja pela falta de cuidado ou pelo uso compulsivo sem autorizações específicas, entrar em conformidade com a LGPD será um grande desafio, ainda mais se não for possível contar com alguma tecnologia.
Pensando em todos os benefícios que uma Solução de Automação da Gestão de Privacidade como a OneTrust pode oferecer, preparamos um material para falar sobre 7 dos mais requisitados pelos usuários. Confira a seguir:
O que é Mapeamento de Dados
O processo de mapeamento de dados, também conhecido como data mapping, é considerado uma das fases mais importantes para que ocorra a gerência de dados de maneira eficiente.
O documento de mapeamento de dados (ou planilha) deve refletir o caminho percorrido pelos dados pessoais internos da empresa, incluindo os processos e procedimentos pelos quais os dados são movimentados. Por outras palavras, qual é a sua fonte (como são captados?), A base jurídica para apoiar o tratamento destes dados pessoais, o nível de segurança da base de dados a que pertencem os dados e outras informações necessárias para analisar lacunas técnicas e jurídicas. .
Com a entrada em vigor das leis de proteção de dados (como o GDPR), o mapeamento de dados se tornou cada vez mais popular.
No Brasil, para atender aos requisitos de adequação da LGPD, é importante realizar o mapeamento dos dados, pois este documento nos dará uma visão geral de como a empresa lida com as questões de privacidade e segurança da informação.
Quais são os principais objetivos do mapeamento de dados?
Um dos principais objetivos do mapeamento de dados é diagnosticar como a empresa lida com a privacidade e a segurança das informações de seus clientes, funcionários e parceiros terceirizados para atender aos requisitos técnicos. O artigo 37 da LGPD estipula que os controladores e operadores devem registrar as operações de processamento de dados pessoais que realizam.
Neste caso, é válido lembrar que embora existam soluções, como a OneTrust que podem ser bastante úteis no processo, o mapeamento de dados é abrangente e requer análises humanas mais aprofundadas. Além disso, os dados físicos também precisam ser mapeados, um dos principais pontos não cobertos por essas ferramentas.
Como elaborar um mapeamento de dados?
Vários departamentos da empresa devem preparar o mapeamento de dados com assistência técnica e jurídica para analisar possíveis vulnerabilidades descobertas.
Estes são alguns dos pontos importantes que devem constar em um mapeamento de dados.
- Tema
Do que se tratam os dados.
- Item
O tipo de dado que está sendo mantido ou solicitado.
- Tipo de Dados
Categoria de dados de transações neste fluxo (por exemplo, registro, transação, especial, sensível, manual, etc.)
- Volume de Dados
A quantidade de dados e a frequência do tráfego neste fluxo (por exemplo diário, semanal, mensal, etc.)
- Etapas do fluxo de dados
Descrição das etapas do processo: coleta, armazenamento, saneamento, concentração, processamento, segmentação, inferência, transferência e descarte.
- Tecnologias
Aponte a principal tecnologia usada neste fluxo de dados. (Por exemplo: sistema, aplicativo, processo de suporte de banco de dados, etc.)
- Locais de Armazenamento
Indica onde os dados são coletados, armazenados, processados ou processados. Nesse momento, você deve indicar se é interno ou externo.
- Origem dos Dados
Indique as principais fontes de dados (entrada) e canais de captura de dados (por exemplo, sites, aplicativos, entidades, SAC, parceiros, empresas relacionadas, etc.)
- Campanhas de Marketing
Informe como lidar com dados pessoais em atividades de marketing. Especifique que tipo de dados pessoais são usados.
- Compartilhamento de dados com parceiros
Indique os principais parceiros com os quais os dados são compartilhados – parceiros de negócios ou parceiros de tecnologia / dados (por exemplo, fornecedores, escritórios de contabilidade terceirizados, emissores de NFe, etc.)
- Empresas coligadas
Indica as empresas afiliadas do grupo econômico cujos dados são compartilhados entre si.
- Localidades do tratamento
Especifique o país, estado e região onde a empresa opera.
- Transferência Internacional de dados
Plataformas de cloud (ex: amazon aws, microsoft azure, google cloud);
Data centers terceirizados;
Software terceirizados;
Transferência de dados pessoais para a sede da empresa no exterior.
- Base legal
Indique a base legal para o processamento dos dados relativos ao processo.
- Política de Privacidade
A política de privacidade do processo descrito foi atualizada e está em conformidade com os requisitos LGPD? Pode ser usada em todas as etapas da coleta de dados?
- Dados de menores de idade
Determine se os dados pessoais de menores (18 anos) são coletados durante o processo de análise. Verifique se todos os registros têm uma data de nascimento válida e informada.
- Retenção e extinção de dados
Determine estratégias de retenção e extinção (descarte) de dados. Caso contrário, avalie as boas práticas do setor empresarial por categoria de dados.
- Segurança da Informação
Determinar as principais medidas de controle de segurança da informação estabelecidas para proteger os dados coletados, armazenados, processados, compartilhados e transmitidos.
- Direito dos Titulares
O processo de avaliação permite que os proprietários de dados pessoais processados exerçam seus direitos de acordo com as regras de proteção de dados.
Gerenciamento de Riscos
As empresas precisam entender melhor as principais tendências em gestão de riscos em projetos com armazenamento de dados e práticas de segurança para serviços legados e baseados em nuvem.
Atualmente, os dados são reconhecidos como um dos elementos mais importantes em uma organização, seja para melhorar a experiência do usuário, inovar, fornecer produtos customizados ou construir relacionamentos mais próximos com os clientes.
Relacionado a isso está que, no Brasil, a Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em 2020, tem suscitado debates entre empresas que buscam entender como se adaptar a essa nova situação.
Relacionado a isso está que, no Brasil, a Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em 2020, tem suscitado debates entre empresas que buscam entender como se adaptar a essa nova situação.
O que é o gerenciamento de riscos?
Segundo dados da pesquisa do " Global Cloud Data Security Study" de 2018, encomendado pelo Ponemon Institute (Gemalto) e publicado na revista Convergência Digital, a partir das conclusões de entrevistas com 3.200 profissionais de segurança de TI, as empresas brasileiras são as menos Uma das empresas prudentes compartilha dados confidenciais com terceiros.
Embora 77% das organizações em todo o mundo reconheçam a importância de melhorar a eficácia das medidas de segurança (como soluções de criptografia), a grande maioria (75%) acredita que é difícil cumprir os requisitos regulamentares relativos à privacidade e proteção de dados. Ambiente digital.
Quando se trata de dados, há dois significados para o item, incluindo dados pessoais ou dados confidenciais: privacidade e proteção. Em relação à privacidade, a LGPD estabeleceu uma série de requisitos para que as empresas possam obter, processar, armazenar e divulgar dados de forma a cumprir a legislação.
Em relação à proteção, ou seja, à segurança da informação, todo projeto envolvendo dados deve ter a preocupação de como proteger essas informações durante o armazenamento ou a transmissão.
Portanto, é necessário garantir que as informações sejam completas, ou seja, não tenham sido modificadas de nenhuma forma, sejam confidenciais e que somente o responsável pela visualização das informações possa acessá-las e utilizá-las quando apropriado.
Nesse caso, ainda é necessário contemplar a qualidade dos dados e garantir que apenas as informações relevantes sejam utilizadas no plano estratégico da operação.
A gestão de riscos do projeto inclui a análise do objetivo final de usar dados para evitar danos à reputação da empresa e à gestão financeira.
Deve ser baseado em uma estratégia de recuperação de desastres, mas deve ser exigido antes que algo aconteça. O plano está diretamente relacionado ao conhecimento, compreensão dos riscos e ameaças enfrentados pelo ambiente de TI, suas vulnerabilidades e o impacto na organização.
Quais riscos são relacionados com a armazenagem de dados?
O ambiente de TI enfrenta muitas ameaças internas ou externas, que podem afetar direta ou indiretamente a integridade e o armazenamento de dados. A perda pode ser:
- Vazamento de informações e impacto social na reputação de indivíduos e empresas;
- Perda de dados, devido à parada do processo ou até mesmo o término da operação.
Os dados armazenados em discos rígidos ou servidores antigos são muito vulneráveis a ataques e podem ser afetados pelos seguintes fatores:
- mau funcionamento de hardware;
- espaço de armazenamento insuficiente faz com que os arquivos sejam sobrescritos;
- falha de eletricidade;
- roubo;
- acidentes (incêndios, clima severo, desastres naturais – não podem ser evitados pela espontaneidade, mas afetarão gravemente a infraestrutura da empresa);
- ataque de vírus ou malware;
- exclusão acidental de arquivos, etc.
Portanto, as empresas precisam não só adotar um plano de recuperação de desastres, mas também adotar todo o escopo, visando ganhar a capacidade de assumir efetivamente os eventos e tomar medidas preventivas.
Por outro lado, a solução fornecida pela nuvem para os usuários prioriza a disponibilidade e integridade dos dados – no servidor nuvem, eles podem ser armazenados, visualizados, editados e recuperados quando necessário.
O que não significa que não estão imunes a outros riscos.
Por exemplo, os provedores de serviços de armazenamento em nuvem se recusam a assumir qualquer responsabilidade pelos dados que armazenam em seus data centers. Portanto, os usuários devem:
- Mantenha uma cópia de segurança;
- Informações criptografadas;
- Se o serviço estiver temporariamente ou permanentemente indisponível, mantenha um estado de emergência.
Além das vulnerabilidades relacionadas a ataques de rede e ataques de hackers ou situações em que os usuários não podem acessar nenhum de seus serviços ou informações armazenadas, existe a possibilidade de alguns provedores terem de fechar seus negócios.
Como evitar riscos no gerenciamento de projetos
Os gerentes de TI precisam trabalhar muito para garantir que os dados permaneçam seguros e fáceis de recuperar em caso de falha. Para garantir a segurança da informação, é importante incluir rotinas diárias de backup nessa estratégia.
Essa é a premissa mais básica para minimizar os riscos de armazenamento local e é extremamente importante garantir que todos os funcionários cumpram rigorosamente esta política.
Empresas que optam por serviços em nuvem normalmente atuam em três frentes:
- Criptografia de todos os dados armazenados;
- Realizar réplicas dos buckups em outros servidores;
- Compreender o SLA (Service Level Agreement) estabelecido com o provedor de serviços em nuvem.
Além disso, é necessário garantir que os funcionários não armazenem dados privados em serviços em nuvem, ou que muitos profissionais tenham acesso irrestrito às informações da empresa – por esse motivo, políticas rígidas de identidade e acesso devem ser implementadas.
Como gerenciar dados para garantir a sua melhor utilização?
Primeiramente, é necessário mapear os dados que fazem parte do projeto e classificar os dados por tipo e nível crítico, ou seja, pelo impacto que a perda de dados pode causar.
Também deve-se fazer a identificação de riscos, e existem duas camadas para isso:
- security by design;
- privacy by design.
As empresas que podem aplicar esses dois processos garantirão que os riscos foram identificados e resolvidos para evitar qualquer dano à sua segurança. Boas práticas de segurança também devem ser seguidas, tais como:
- frameworks — COBIT, por exemplo;
- normas de padrão internacional, como a Norma Internacional de Gestão de Segurança da Informação — ISO/IEC 27001;
- políticas internas, com controles específicos dos sistemas e restrição de acesso;
- treinamentos, que podem ser efetivados para que o manuseio do dado seja adequado.
Também é importante prestar atenção à conformidade com o LGPD do Brasil e o GDPR (Regulamentações gerais de proteção de dados) da UE para que o uso de dados esteja em conformidade com as leis daquele país.
Recomenda-se usar o gerenciamento de riscos para governança de dados corporativos na estrutura diária da empresa e usar as estratégias de tecnologia e arquitetura disponíveis para big data e análise.
Você também deve tomar decisões informadas com base nos dados coletados, porque se a empresa não sabe como usar as informações, não é suficiente obter muitas informações.
Consentimento de Cookies
Seu site usa cookies? São muito comuns na Internet, e esses pequenos arquivos são responsáveis por armazenar os dados dos usuários que visitam suas páginas da web.
Eles personalizam a experiência do usuário e facilitam o transporte de informações entre páginas do seu domínio (como por exemplo: manter os produtos selecionados no carrinho em lojas online ou guardar preenchimentos de formulários).
Se o seu site usa esse tipo de ferramenta, lembre-se de que é necessário gerenciar os cookies de forma adequada para que sua empresa cumpra a Lei Geral de Proteção de Dados (LGPD).
A lei entrará em vigor em agosto de 2020 e empresas inadequadas podem enfrentar multa de até 2% do faturamento anual ou 50 milhões de reais.
A permissão de cookies é realmente necessária para a LGPD?
Os cookies permitem que o seu site acesse informações sobre o visitante, o que pode configurar uma violação da privacidade destes usuários.
Portanto, de acordo com a Lei Geral de Proteção de Dados, cada usuário deve conhecer os cookies utilizados pelo site e poder escolher se autoriza o seu uso ao entrar no site.
Com essa permissão, a comunicação entre a empresa e os usuários ficará mais clara, e os clientes saberão, por exemplo, por que veem os anúncios de seu negócio nas redes sociais após a visita ao site, afinal, tais anúncios exigem cookies.
O usuário também terá ciência de que o histórico e o comportamento de uso serão acessíveis para a empresa.
Antes de pensar em não usar esta ferramenta, por favor, entenda que os cookies são muito importantes para melhorar a experiência do visitante, o que pode economizar tempo.
Além disso, assim que tiver essas informações, você terá os dados necessários para o marketing digital, principalmente dados sobre visitas a sites.
Você será capaz de compreender o tempo gasto em cada página e dados importantes sobre a origem da visita.
Portanto, a melhor forma é aproveitar ao máximo os cookies com o consentimento do usuário e uma boa comunicação.
Faça seus visitantes compreenderem a importância dessas informações e ter a certeza de que elas são seguras para sua empresa.
Além disso, fornecer aos usuários uma forma de permitir apenas os cookies exigidos pelo site e também saber como excluir esses dados de navegação.
Gestão de Consentimento de Uso de Dados
O consentimento de dados foi um dos impactos mais notáveis das leis da proteção de dados, desde a aprovação da GDPR. Isso porque desde então, a internet como um todo passou a se preocupar e a solicitar o consentimento de uso de dados nos sites, incluindo aqueles que não faziam parte da união européia.
Mas especialistas afirmam que essa solicitação de consentimento inicial é feita da maneira errada, isso porque para evitar penalidades, o consentimento deve ser dado durante toda a vida daqueles dados na organização, especialmente no tratamento de dados.
Até porque muitas ações exigem consentimentos diferentes para serem executadas.
A Lei Geral de Proteção de Dados prevê uma série de requisitos que as empresas brasileiras devem cumprir, sendo que o principal é o consentimento para o processamento dos dados e estabelecendo a possibilidade de:
concessão,
permissão para armazenamento,
permissão para tratamento
Nessas duas leis, a coleta e o uso de dados pessoais devem seguir as regras de processamento. Portanto, a empresa necessita de uma base legal para esse processamento e, na maioria das vezes, a forma é através da obtenção do consentimento livre, específico, informado e explícito do usuário.
No caso de sites, por exemplo:
Considerando que alguns sites recebem milhões de visitantes todos os dias, a necessidade de gerenciar esse processo é fundamental, pois facilita o processo de obtenção de consentimento e garante o cumprimento das mais rígidas leis de proteção de dados LGPD e GDPR.
A empresa pode sentir a necessidade de implementar um departamento (ou mesmo um encarregado) para gerenciar o consentimento para processamento de dados. Além disso, uma série de atualizações deve ser feita na política de privacidade.
O que a LGPD diz sobre consentimento para tratamento de dados?
De acordo com a lei, os titulares dos dados devem expressar o seu consentimento para o tratamento dos dados com uma declaração espontânea, informada e clara – o titular dos dados concorda com o tratamento dos seus dados pessoais para um fim específico.
Nessa autorização, ele também o informou sobre os dados para tratamento autorizado.
Deve ficar claro para que a empresa usará os dados, ou seja, se o usuário fornecer dados pessoais para criar um cadastro em uma loja virtual e os dados forem reutilizados por outros departamentos (como marketing) para promover a oferta, essas reutilizações devem ser consentidas.
Além disso, a lei estabelece que se os usuários mudarem de ideia, eles podem solicitar a exclusão de seus dados a qualquer momento – essa pode ser uma das principais mudanças que acompanham a LGPD.
Dados anônimos não precisam de consentimento
Agora, um detalhe importante sobre esse processo é o fato de que dados que não servem para identificar pessoas (anonimizados) não necessitam de consentimento, pois não são mais respaldados pela LGPD, já que perdem tudo o que os configuraria como dado pessoal.
Um dado só é considerado anônimo quando não pode, em nenhuma circunstância, servir para identificar o titular ou passar por algum processo de reversão.
O que é uma Plataforma de Gestão de Consentimento?
Com todas essas novas responsabilidades em relação ao consentimento de dados, a ação manual do processo tornou-se obsoleta, sendo que isso gerou uma grande necessidade no mercado, o que gerou a oportunidade para a criação de diversas soluções e plataformas que propõem a gestão de consentimento de dados.
A plataforma de gestão de consentimento, também conhecida como CMP, é uma ferramenta para gerir o consentimento de milhões de usuários, assim garantindo que a empresa possa utilizar os dados para os seus fins (explícitos no consentimento).
O CMP pode usar as informações da política de uso de dados do site para criar uma janela pop-up personalizada para que os usuários concordem com o uso de cookies; fornecer uma interface para que os usuários escolham como usar seus dados e possam acessar as informações aprendidas no endereço; além de organizar o processo de forma otimizada para que a empresa cumpra suas obrigações com a LGPD.
É necessária a contratação de uma CMP?
Não, assim como a LGPD não está condicionada a uma plataforma, mas ao mesmo tempo é inimaginável para empresas que lidam com um grande volume de dados o gerenciamento humano, ao não ser que isso envolva um grande número de pessoas envolvidas no processo.
E é por isso que soluções como a OneTrust estão preparadas para atender essa demanda, pois é um dos recursos mais desejados e importantes para toda organização que quer estar em conformidade com a Lei Geral de Proteção de Dados.
Integrações
Em um mundo globalizado e especialmente em uma área concorrida com a área de tecnologia, as empresas são privilegiadas com uma série de alternativas quando o assunto envolve solução para problemas.
E para atender as demandas na velocidade e com a qualidade necessária, os gestores devem optar pelas melhores soluções para seu cenário, assim como avaliar uma série de fatores como o investimento necessário para obtenção de determinado software.
Isso resulta em um cenário vastamente comum: as empresas possuem soluções de diferentes fabricantes para atender suas diferentes soluções, pois aqui o que vale é a qualidade e a melhor oferta, tornando a praticidade da integração entre ferramentas de um mesmo fornecedor um ponto secundário neste cenário.
Mas embora isso represente números melhores para a empresa, também pode significar menos produtividade e mais estresse de operação quando uma empresa possui soluções que precisam funcionar de maneira integrada mas que simplesmente não combinam.
E essa necessidade multiplataforma é totalmente responsável por escolhas convenientes de um mesmo fornecedor por uma série de soluções relacionadas, sendo aqui menos sobre as vantagens macro da organização e mais sobre a redução de problemas, o dia a dia do uso de algumas ferramentas.
Porém essa falta de poder de escolha certamente não é uma característica desejada por nenhum gestor.
Com o crescimento de startups e até mesmo novas soluções de grandes corporações, o interesse geral passou a ser o benefício pioneiro de algumas dessas ferramentas, mas também os fabricantes já aprenderam a valorizar o poder de integração como um feature.
A demanda por profissionais capacitados para manipular essa associação entre recursos também cresceu. Sob o título de “Analista de Integrador de Sistemas”, o profissional é capaz de criar pontes para que as empresas recuperem esse poder de escolha e possam ter a interface dos sonhos ao aproveitar recursos de diferentes fabricantes.
O que é importante para uma integração de sistemas segura e funcional?
Para realizar a integração segura do sistema, alguns requisitos são necessários para ajudar a atender às necessidades da empresa.
Escalabilidade de memória
Conforme o número de transações aumenta, também aumenta a quantidade de dados.
Portanto, a melhor maneira de garantir um alto nível de desempenho e confiabilidade é usar uma arquitetura de computação in-memory (dados na memória do computador), que distribui o processamento por vários núcleos com memória dedicada e maior poder de processamento.
Dessa forma, se um núcleo falhar, o sistema integrado irá alternar automaticamente o processamento para o outro núcleo para evitar perda de dados. Conforme os requisitos de processamento aumentam, o sistema precisa de mais núcleos e escalas conforme necessário.
Monitoramento em tempo real e registro dados fixo
Devido à grande quantidade de informações que passam pelo sistema, as empresas precisam ser capazes de monitorar seus processos e transações em tempo real.
Aqueles que usam uma plataforma integrada e podem restaurar a capacidade de executar vários processos em paralelo e automaticamente terão menos problemas porque gargalos e erros podem ser eliminados eletronicamente.
No entanto, essas plataformas integradas também precisam ter um banco de dados operacional completo (ODS) que pode registrar dados e metadados para revisão futura por auditores e agências regulatórias.
Segurança na integração
Todos os cuidados devem ser tomados para manter a privacidade, confidencialidade e segurança das informações, pois as ameaças podem vir de todos os lados, incluindo concorrentes, funcionários decepcionados (atuais ou antigos), governos estrangeiros e hackers.
Portanto, os sistemas integrados devem estar em conformidade com as melhores práticas em relação à segurança e integridade dos dados. A função de segurança, a função de criptografia e o suporte ao protocolo TLS (Transport Layer Security Protocol) para atender aos padrões de autenticação e autoridade do usuário são requisitos essenciais.
Funcionalidades customizáveis
O sistema integrado precisa ter funções bem projetadas e personalizáveis, para que possa se conectar a vários sistemas, manipular várias nuvens e gerenciar dados de acordo com o fluxo de trabalho do usuário e as necessidades da empresa da organização.
Isso pode promover e acelerar a conclusão de projetos de integração, reduzir altos custos de mão de obra e profissionais e aumentar o retorno sobre o investimento da plataforma.
Por meio da integração de sistemas para conectar informações de forma mais rápida e eficaz, as empresas compartilharão mais facilmente as informações com funcionários, fornecedores, parceiros e clientes.
Além disso, terá mais capacidade para superar os desafios impostos pela legislação relativa a este segmento de mercado e aumentar a sua competitividade no mercado.
Direitos dos Titulares de Dados
Resolveremos as questões delicadas relacionadas ao uso de dados do usuário na nova legislação. Os direitos do usuário são protegidos por esta lei, e os pontos-chave relevantes que a empresa precisa se antecipar a fim de proteger os direitos dos usuários são apresentados, evitando assim possíveis dores e seus clientes avancem juntos.
Titular de dados
É a pessoa física, identificada ou identificável, a quem os dados se referem.E portanto, seja direta ou indiretamente, pode portar o certificado de identidade de seu titular.
Anonimização
Utilizar os meios técnicos razoáveis e disponíveis no processo de tratamento para fazer com que os dados percam a possibilidade de se relacionarem direta ou indiretamente com o indivíduo.
Os titulares dos dados têm os direitos básicos de liberdade, intimidade e privacidade, mas lembre-se que o STF (Supremo Tribunal Federal) reconheceu recentemente o direito básico de proteção de dados pessoais.
Esses direitos foram estipulados em nossa Constituição Federal e até mesmo em outra legislação, como a Lei Civil, a Lei de Defesa do Consumidor e a Lei Geral de Proteção de Dados (LGPD). Essas leis reforçam esses direitos fundamentais e acervos de dados relativos às suas informações Alguém.
Um exemplo importante nos últimos meses é a regulamentação do Banco Central do Open Banking por meio da circular 4.015 / 20, que estipula o consentimento dos clientes envolvidos na utilização de seus dados.
Este é apenas um exemplo, ilustra o diálogo entre diferentes fontes dentro do mesmo ordenamento jurídico, na verdade, o titular dos dados é a pessoa autorizada quanto à utilização dos dados.
Voltando ao nosso tema principal, o titular dos dados tem o direito de acessar livremente as informações.
Esse acesso gratuito está relacionado ao princípio da qualidade (ou seja, a veracidade dos dados pessoais). Portanto, os titulares dos dados podem solicitar alterações, correções e atualizações em seus dados pessoais.
No que diz respeito ao consentimento, o consentimento do titular dos dados em relação aos seus dados deve ser claro, proeminente e baseado no objetivo declarado, nomeadamente uma simples “caixa de verificação” no ecrã, que utiliza os termos e condições da política de privacidade.
Não, para o titular dos dados, deve ser objetivo e exigir consentimento. É importante ressaltar que o titular deve ser informado da recusa de consentimento.
Se ele pode levantar uma objeção, se ele recusa certos consentimentos para certos fins, então os fatos de sua recusa em fornecer esse consentimento também devem ser esclarecidos.
A retirada do consentimento deve ser facultada da mesma forma que o consentimento, ou seja, cómodo e gratuito, para que o titular dos dados tenha as informações para seu uso imediatamente após o acesso.
A revogação entrará em vigor a partir do momento em que o utilizador elimine o seu consentimento, a menos que o titular dos dados solicite a eliminação das informações dos dados pessoais da base de dados.
Mas atente-se!
É importante falar sobre o vício. O vício por consentimento ocorre quando o titular dos dados é enganado, enganado, vitimado por fraude ou induzido em erro por publicidade.
Nessas situações específicas, as capacidades do titular dos dados foram comprometidas porque os cenários que ele enfrentou não correspondem aos fatos.
Nessas circunstâncias específicas, o controlador deve ter muito cuidado para fornecer e coletar o consentimento específico do titular para cada finalidade estabelecida, pois o ônus da prova cabe a ele.
Em outras palavras, você é obrigado a provar que não usa a autorização geral do titular para clicar no item e dar o consentimento sem realmente ler o conteúdo escrito, pois para todos os efeitos, a LGPD considera estas autorizações gerais vazias.
Um importante direito estabelecido no LGPD é estritamente respeitado por controladores e processadores, e sua finalidade é processar os dados pessoais coletados.
Seja no contrato, nos termos de uso ou na política de privacidade, o titular dos dados deve indicar claramente a finalidade da coleta de seus dados pessoais.
A portabilidade de dados é um direito que vem previsto pela LGPD a respeito do titular de dados que deseja migrar os seus dados pessoais.
Assim, quer esteja a deslocar-se por insatisfação com o serviço quer porque a nova empresa lhe proporcionará outras vantagens, goza da garantia desse direito.
A anonimização (uma tecnologia que separa os dados de um determinado titular dos dados) de que tratamos anteriormente também é direito do titular dos dados, assim como o titular dos dados tem o direito de solicitar o bloqueio ou mesmo a exclusão dos seus dados pessoais.
Em suma, o titular dos dados tem direito ao livre acesso, à portabilidade dos dados e à retirada do consentimento. O titular dos dados tem o direito de não dar o consentimento, caso não concorde, deve ser informado das consequências da sua recusa.
Respostas a Incidentes
A LGPD, Lei Geral de Proteção de Dados não traz uma definição específica do que seria um incidente de segurança, contudo, a GDPR, General Data Protection Regulation da União Europeia, a define como:
“Destruição (acidental ou não), transmissão, perda, alteração, divulgação ou acesso não autorizado a dados pessoais causado por qualquer outro tipo de processamento causado por violação dos regulamentos de segurança”.
Portanto, este é um evento que pode acontecer de várias maneiras. Além da óbvia violação de privacidade, existem possíveis consequências, que podem até ameaçar vidas, dependendo de quem tem acesso aos dados vazados ou de quem tem acesso As informações às quais eles têm acesso.
Por essas razões, LGPD e GDPR têm regulamentos específicos de prevenção e resposta quando tais incidentes ocorrem.
Como a LGPD nos ajuda na prevenção de incidentes de segurança
Segundo trecho do artigo 46, da LGPD:
“O agente de processamento deve tomar medidas de segurança, técnicas e de gestão para proteger os dados pessoais de acesso não autorizado e destruição acidental ou ilegal, perda, alteração, comunicação ou qualquer forma de tratamento impróprio ou ilegal.”
Embora a lei não defina claramente o que é um incidente de segurança, ela afirma claramente que os agentes de processamento (controladores e operadores) devem tomar medidas para proteger os dados pessoais que processam. Na verdade, de acordo com a única passagem do art. 44, se o controlador e / ou o operador não tomar as medidas de segurança previstas na técnica, eles podem ser responsabilizados pela perda causada pela violação da segurança dos dados, o que é previsto no art. 46.
De acordo com o art. 47, a obrigação de garantir a segurança das informações prestadas pelo agente de processamento também se estende a outras pessoas que intervêm em determinadas etapas do processamento de dados.
E o mesmo é reforçado no art. 49: “Os sistemas de processamento de dados pessoais devem ser construídos para atender aos requisitos de segurança, padrões de boas práticas e governança e princípios gerais estabelecidos nesta lei e outros padrões regulamentares”.
Esses outros padrões regulatórios podem ser aprimorados ao longo do tempo pela Autoridade Nacional de Proteção de Dados.
A ANPD poderá “analisar e assim definir os padrões mínimos de segurança para que todos os itens da LGPD sejam cumpridos”, então é esperado que sejam criadas normas mais específicas a longo prazo.
O art. 50 da LGPD incentiva os controladores e operadores a:
“formular os padrões de boas práticas e governança de dados para que seja possível manter um bom nível de organização, o modo de isso ser feito, todasas etapas; incluindo imprevistos como reclamações e pedidos de titulares, mudanças nas normas de segurança e todas as obrigações técnicas que podem chegar no decorrer da vigência da lei, sempre pensando no que é melhor para manter os dados pessoais seguros”.
Algo de extrema importância dentro das práticas de medidas preventivas, é a criação do DPIA (Data Protection Impact Assement na GDPR*), um relatório de impacto à proteção de dados pessoais.
Na LGPD, esse relatório representa um documento do controlador em que ele pode descrever todos os processos implementados no tratamento de dados, e porque eles são importantes para proteger os dados pessoais ou aos seus titulares de maneira direta ou indireta. Atualmente, esse documento só é mandatório quando solicitado.
O que fazer diante de um vazamento de dados
Se um incidente de segurança for identificado, as providências a serem tomadas são muito importantes para não agravar a situação.
O artigo 48 da LGPD diz que: “O responsável pelo tratamento deve comunicar à autoridade nacional competente e ao titular os incidentes de segurança que possa representar um risco ou dano significativo ao titular.”
De acordo com o mesmo artigo, a comunicação deve ser realizada “em prazo razoável, de acordo com o que for definido pela autoridade nacional” – o que no momento ainda não foi estipulado na lei brasileira.
Além disso, é necessário mencionar as seguintes informações sobre o que aconteceu:
- Descreva a natureza dos dados pessoais afetados;
- Informações sobre o titular;
- Apontar a tecnologia e as medidas de segurança utilizadas para proteger os dados e observar os segredos comerciais e industriais;
- Riscos relacionados ao incidente;
- Se a comunicação não for imediata, o motivo do atraso; e
- Medidas que foram ou serão tomadas para reverter ou mitigar o impacto das perdas.
Portanto, de acordo com o art. 48. A autoridade nacional competente irá verificar a gravidade do incidente e pode decidir tomar certas medidas, como: “Divulgar amplamente os fatos na mídia” e “tomar medidas para reverter ou mitigar o impacto do incidente”.
A Lei nº 8.078, de 11 de setembro de 1990 (“Código de Defesa do Consumidor”) determina que:
“Depois de entrar no mercado consumidor, os fornecedores de produtos e serviços que estão cientes dos perigos que existem, devem notificar imediatamente as autoridades competentes e os consumidores através de anúncios.”
Portanto, em caso de incidente de segurança, os consumidores devem ser informados que, dependendo da situação, a segurança dessas pessoas pode estar em perigo.
Conforme mencionado anteriormente, além de outros padrões, os sistemas usados para processar dados pessoais devem atender aos requisitos de segurança, padrões de boas práticas e governança e aos princípios gerais especificados na LGPD.
Quando a autoridade nacional investiga a gravidade do incidente, ela considerará o nível de segurança fornecido para o processamento de dados para determinar se as penalidades serão impostas.
Após os procedimentos administrativos das autoridades nacionais, se o agente de tratamento determinar a responsabilidade, podem ser impostas sanções de acordo com o artigo 52. da LGPD.
Conforme já mencionamos, as sanções incluem advertências (indicando prazos para tomada de ações corretivas), multas diárias, multas únicas de até R$50 milhões, publicação de infrações e bloqueio de dados pessoais relacionados a crimes até que seja legalizado e os dados pessoais mencionados no crime sejam apagados.
Portanto, é possível perceber que este problema é muito grave, não só pelas possíveis consequências de um incidente de segurança, mas também pela possível aplicação de sanções.
A melhor maneira de evitar incidentes é notificar a si mesmo, lembrar as responsabilidades que você precisa assumir ao processar dados e colocar os requisitos mínimos de segurança da informação em prática:
- Demonstrar o compromisso do controlador em adotar processos e políticas internas para garantir a total conformidade com as regras e boas práticas relacionadas à proteção de dados pessoais;
- Não importa como você os coleta, a lei se aplica a todo o conjunto de dados pessoais sob seu controle;
- Adapte-se à estrutura, escala e quantidade de suas operações e à sensibilidade dos dados processados;
- Formular políticas adequadas e medidas de salvaguarda com base em uma avaliação sistemática dos impactos e riscos da privacidade;
- Visa estabelecer uma relação de confiança com o titular por meio de ações transparentes e garantir o mecanismo de participação do titular;
- Integrar-se à sua estrutura de governança geral e estabelecer e aplicar mecanismos de monitoramento interno e externo;
- Conte com a resposta a incidentes e planos de remediação; e
- Ele é atualizado continuamente com base nas informações obtidas no monitoramento contínuo e na avaliação regular.
Suporte Especializado
Com o avanço da tecnologia, é quase impossível encontrar uma empresa que não utilize soluções técnicas em seus processos.
Para que essas ferramentas funcionem bem e não se perca o investimento na área, é fundamental contar com um suporte de TI eficaz.
Ainda existem pessoas que pensam que investir em TI é caro e, portanto, apenas grandes organizações podem fazê-lo.
No entanto, um bom suporte depende mais de planos e estratégias do que de grandes investimentos.
Por que é importante ter um suporte de segurança da informação?
A equipe de suporte é responsável por garantir que as demais equipes da organização tenham sempre as ferramentas e os sistemas de TI em pleno funcionamento.
Deve também ajudar a estabelecer as melhores práticas para o uso dessas ferramentas e estabelecer processos eficazes e seguros.
Confira quatro das atribuições dessa área:
- Resolver problemas de infraestrutura – servidores, estações de trabalho, recuperação de dados, configuração de rede, planos de backup, etc.;
- Garantir a qualidade e segurança do ambiente de TI, realizar monitoramento e outras operações necessárias;
- Garantir a qualidade e segurança do ambiente de TI, realizar monitoramento e outras operações necessárias;
- Garantir a disponibilidade, estabilidade e atualização constante do ambiente de aplicação, software, hardware e equipamentos da região.
Dessa forma, o suporte de TI pode ajudar as organizações a continuar funcionando sem problemas e garantir que os funcionários possam executar as tarefas sem problemas.
Além disso, ajuda a evitar erros que afetam seu funcionamento e resultados.
Quais erros podem ser evitados?
Além disso, ajuda a evitar erros que afetam seu funcionamento e resultados.
Sem profissionais qualificados, a empresa terá que entrar em contato com um terceiro e aguardar a resolução da falha.
A equipe também garante que os funcionários não utilizem as licenças de forma errada, o que pode gerar problemas jurídicos para a organização, como o uso de softwares piratas.
Por fim, a equipe de suporte evitará a baixa produtividade dos profissionais por não conhecerem os sistemas e plataformas utilizadas no workflow. Isso ocorre porque eles fornecem treinamento e informações para educar os funcionários.
Quais as vantagens de terceirizar o suporte de segurança da informação?
Empresa pode focar na estratégia
Ao terceirizar o suporte de TI, a área técnica pode se concentrar em questões estratégicas de negócios, como o desenvolvimento de soluções internas. Não é mais necessário cuidar das atividades operacionais que os profissionais despendem.
Equipe em constante treinamento
Como dissemos, um bom suporte deve ter profissionais bem treinados. São essenciais para resolver os mais diversos problemas e dúvidas dos colaboradores de forma ágil e eficiente. Ao contratar uma empresa especializada em suporte, você deve garantir que essa seja a informação de todos os seus operadores.
Gestão de desempenho
As empresas de terceirização geralmente têm SLAs definidos que a empresa pode rastrear. Dessa forma, é fácil avaliar os dados de desempenho do suporte contratado.
Amplitude e atualização tecnológica
Outro benefício que essas empresas oferecem é o acesso a tendências e inovações tecnológicas que podem melhorar os processos de TI.
Menos custos
Com a terceirização ocorre a eliminação de várias despesas da organização, como com recrutamento e seleção, contratação, treinamento, taxas, licenças, férias, estações de trabalho e equipamentos. Essas despesas tornam-se despesas da empresa contratada.
Investimento fixo
Além de reduzir custos, o investimento em suporte também é previsível. Isso é importante para manter um bom controle das despesas organizacionais.
Segurança da Informação gera valor para o negócio
Por fim, a terceirização garante que a área será de qualidade e eficiente.
Portanto, ao invés de gastar mais dinheiro, deve passar a criar valor para a empresa e seus colaboradores, garantindo que eles tenham sempre as melhores ferramentas disponíveis para o seu trabalho.
Ter um bom suporte em segurança da informação é essencial para o sucesso de qualquer negócio. Por isso, é necessário entender a importância desse campo e encontrar formas de otimizá-lo.
Conte com a Compugraf na segurança e privacidade de sua empresa
O que falta para sua empresa estar segura, e em que momento de conformidade com a LGPD vocês se encontram? Seja qual for os seus principais desafios, a Compugraf possui uma equipe especialista no assunto para auxiliar a sua empresa nessa importante transformação de processos.
Conte com a gente!