Após receber diversas perguntas sobre Privacidade de Dados e a Lei Geral de Proteção de Dados, a Compugraf preparou um F.A.Q. com os principais questionamentos do tema. O intuito é esclarecer ao máximo os passos e processos de implementação que as empresas deverão passar até Agosto de 2020, data de vigência da Lei.
As perguntas foram separadas por categorias, sendo elas: Prática, Fiscalizações e Sanções, e Processos.
Quer saber se sua dúvida foi resolvida? Confira o material completo abaixo:
PRÁTICA
Qual a data de início de vigência da lei e qual a chance de alteração da data para entrar em vigor?
O início da Lei Geral de Proteção de Dados está previsto para 14 de agosto de 2020. Até o momento, não há indícios nem movimentações políticas que indiquem uma possível alteração da data.
Ainda não tenho nada de acordo com o que a lei pede. Qual o primeiro passo? Devo fechar um time específico para isso?
É importante lembrar que dados pessoais permeiam toda a organização, então, o sucesso desse trabalho vai depender do esforço e envolvimento de todos. Os primeiros passos devem ter a direção da empresa envolvida e consciente da necessidade de entrar em conformidade, designando um sponsor forte, formando assim um time multidisciplinar que envolva várias áreas, como TI, segurança e governança, jurídico e recursos humanos.
O que é um DPO e como é o trabalho na prática?
O DPO (Data Protection Officer), ou como é tratado na LGPD, o Encarregado, será um profissional que conhece de privacidade e segurança para conseguir fazer a gestão dos dados. Ele terá papel fundamental nas decisões estratégicas das organizações e deverá ter autonomia sobre as atividades que envolvam qualquer tipo de tratamento de dados, além de ter contato direto com a direção da empresa, tomando decisões que a deixe de acordo com a lei.
Como a LGPD trata no Artigo 41, o DPO/Encarregado deverá ter as seguintes atribuições:
- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- receber comunicações da autoridade nacional e adotar providências;
- orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Além dessas, a ANPD, Autoridade Nacional de Proteção de Dados, poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado.
Qual o envolvimento da área de TI no projeto?
A participação da área de TI é muito importante no processo de ficar em conformidade, pois ela está envolvida desde apoiar a disponibilidade dos sistemas que sustentam as demandas de privacidade até assegurar que as ferramentas, processos e boas práticas da segurança da informação estão a postos e em conformidade.
Essa área tem uma participação ampla e abrangente já que a Lei deixa claro que as empresas devem adotar medidas técnicas e administrativas para assegurar a proteção dos seus dados pessoais.
O quanto a tecnologia é importante para a implementação da LGPD?
O processo para entrar em conformidade com a LGPD deve passar por pessoas, áreas, processos, sistemas, parceiros jurídicos e de tecnologia. Por conta de todas estas variáveis envolvidas, entendemos que a tecnologia faz sim diferença e é importante, pois, dependendo do tamanho e nível de complexidade de uma organização, gerenciar todas essas entidades de acordo com os requisitos da lei sem uma ferramenta de gestão que consiga agregar, registrar e controlar todas essas demandas pode se tornar um projeto extremamente difícil.
Segundo o Art. 49 da Lei, os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.
FISCALIZAÇÕES E SANÇÕES
Como e quem realizará a fiscalização no Brasil?
A fiscalização do cumprimento da Lei Geral de Proteção de Dados será feita pela ANPD, Autoridade Nacional de Proteção de Dados. O órgão será responsável por fiscalizar, penalizar, se necessário, e orientar as empresas sobre como aplicar as normas dentro de cada contexto. O Art. 29 especifica que a autoridade nacional poderá solicitar, a qualquer momento, a realização de operações de tratamento de dados pessoais, informações específicas sobre a natureza das informações e poderá emitir um parecer técnico.
A Agência será vinculada à Presidência da República, porém tem autonomia de atuação garantida pela Lei.
Ações que infrinjam a lei podem acarretar em multas? A partir de quando?
Sim, ações que infrinjam a Lei podem acarretar em multas de até 2% do faturamento da empresa, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Os tipos de sanções são elencados no Art. 52.
As multas pela ANPD vão ocorrer a partir de 2020, porém, como o sistema jurídico brasileiro é bastante capilarizado e conta com diversos órgãos fiscalizadores, como Ministérios Públicos, PROCON, Idec, algumas empresas já estão sendo fiscalizadas e autuadas, por não estarem de acordo à Lei do Marco Civil da Internet e/ou outras normas vigentes.
PROCESSOS
Como fazer o Mapeamento de Dados?
O Data Mapping consiste em levantar, através da estrutura da organização, recursos próprios ou com uma empresa especializada, todos os itens associados aos dados pessoais. Com essas informações é criado um inventário, que pode ser, basicamente, de quatro tipos:
- Tabelas ativas ou bando de dados inteiros, aplicações que retém dados ou arquivos físicos não eletrônicos;
- Fornecedores de sistemas com os quais dividimos dados pessoais, como pelo CRM na nuvem;
- Processos ou atividades que, de alguma forma, manipulam informações;
- Empresas parceiras também manipulam dados pessoais sob nossa responsabilidade.
Após definir o que será inventariado, o próximo passo é fazer o mapeamento através de um processo iterativo e incremental. Ou seja, é interessante começar a mapear o que é conhecido, pois, desde um primeiro momento, já conseguimos ganhar consciência dos gaps e eventuais riscos envolvidos.
O OneTrust contribui muito nessa fase, pois possui uma estrutura apropriada para a carga das informações e avaliações específicas dos gaps, sendo, eventualmente, útil também como uma ferramenta de Data Discovery.
Como implementar a Gestão de Consentimento?
Dentro da solução OneTrust toda a gestão de consentimento é tratada em um módulo específico. Nele, conseguimos fazer a interação com os mais diversos pontos de coleta, ou seja, todas as formas em que são feitas interações com os titulares de dados que podem consentir ou revogar o consentimento. Isso pode ser feito em uma página web, offline (que depois deve ser disponibilizado no sistema de forma massiva), uma aplicação mobile ou em uma integração com outros sistemas, onde será realizada a coleta de dados.
A gestão desse consentimento é realizado dentro da plataforma que, se integrada, consegue gerir as informações em apenas um sistema, mesmo que os pontos de coleta sejam diversos. A integração pode ser pré-definida com sistemas de mercado ou através de uma API, fornecida pela OneTrust, totalmente documentada.
É possível registrar o consentimento por planilhas ou sistemas. O importante deixar claro qual a finalidade da utilização dessa informação, dando-lhe para isso uma das 10 bases legais previstas na Lei, e por quanto tempo deverá ser mantida essas informações em seu controle.
O termo de consentimento pode ser escrito ou digital? Em caso do digital, tem alguma regra para seguir?
O termo de consentimento pode ser adquirido tanto físico, quanto digital, porém precisa ser, como consta no Art. 8, “por escrito ou por outro meio que demonstre a manifestação de vontade do titular”. Assim como a GDPR, a Lei Geral de Proteção de Dados traz a preocupação em limitar a retenção dos dados apenas àquilo estritamente necessário para seu tratamento.
Na Lei não há um prazo fixo para a retenção dos dados tratados, mas estabelece, em seu Art. 16, que os “dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades”. Observa-se, dessa forma, que o prazo de retenção de dados na LGPD está condicionado à finalidade declarada pelo responsável pelo tratamento, e que, uma vez utilizados, devem ser excluídos de seus servidores.
Quanto aos dados e cadastros para CRM, qual será o impacto?
Uma das grandes vantagens da LGPD para o CRM é que as empresas serão obrigadas a avaliar os dados que possuem, eliminando os registros inválidos, o que certamente gerará maior controle e otimização desse cadastro. A nova lei não é um impedimento, ela apenas impõe mais restrições. O CRM portanto, terá que adaptar as suas atividades para o que a lei de proteção de dados propõe, ficando aderente a uma base legal.
