Webinar LGPD na Prática

No dia 24/07, realizamos o Webinar LGPD na Prática, no qual a DPO da Compugraf, Carla Manso e o Especialista de Produtos, José Aparecido, tiraram as principais dúvidas sobre a implementação, além de esclarecer como a tecnologia pode auxiliar sua empresa a ficar de acordo com a Lei.

Separamos algumas perguntas enviadas durante a inscrição para fazer um material completo para você. Confira:

O tempo está correndo e sua empresa precisa se adequar às normas da LGPD o quanto antes, evitando prejuízos financeiros e de imagem. Fale com os especialistas da Compugraf e conheça a melhor solução para que sua política de segurança de dados fique totalmente regularizada.

Veja mais
No Comments

7 dicas para adequar sua empresa à LGPD

A LGPD vem sendo tema de grande discussão atualmente. Muito se fala sobre o que está envolvido, porém os assuntos são dispersos e o resultado desse conjunto de informações é que as pessoas acabam ficando confusas sobre o que realmente deve ser feito.

Se você tem dúvidas sobre esse tema, segue um conjunto de 7 dicas que vão te fazer enxergar uma luz no fim do túnel.

Entendendo um pouco a lei

Obviamente que o assunto é extenso e requer análise profunda, mas de  forma geral a lei prevê os itens a seguir:

  1. Toda empresa precisa ter uma base legal para manter dados pessoais e a lei prevê 10 bases legais possíveis;
  2. Os dados que sua empresa possui devem se resumir ao mínimo necessário para que estejam adequados às bases definidas;
  3. Sua empresa terá de disponibilizar meios de comunicação para que os titulares dos dados (as pessoas físicas) possam consultar seus dados. Em alguns casos (conforme a base legal), sua empresa terá de fornecer mecanismos para que o titular possa solicitar a revogação do uso dos dados, da portabilidade e até a sua exclusão;
  4. Devem ser definidas medidas de segurança para que os dados sejam protegidos contra o uso indevido;
  5. Sua empresa deve ser capaz de demonstrar que está atendendo aos princípios estabelecidos.

Acompanhe n​​​​o próximo tópico como adequar sua empresa à Lei Geral de Proteção de Dados e manter a privacidade de dados corporativos.

Trilhando a jornada

Dado esse conjunto de requisitos que a lei demanda, percebe-se que o processo de implementação permeia toda a empresa e provavelmente deve endereçar mudanças em vários aspectos: você terá de trilhar uma verdadeira jornada para se tornar e depois se manter aderente.   

Mas com tantas mudanças, por onde começar?

Aqui vão 7 dicas para você implementar a LGPD na sua empresa e ter bons resultados em pouco tempo.

Dica 1: Processo incremental

Você não tem experiência nisso, então não pense que sua primeira ideia será a melhor. Faça o trabalho de forma incremental e interativa, passando por todas as fases necessárias. Isso vai fazer você aprender com o processo, trazer resultados rápidos e indicar para a empresa que está no caminho certo.

Dica 2: Crie um inventário dos seus sistemas e processos

É preciso descobrir onde, de fato, estão os dados pessoais na sua empresa. Em geral estão espalhados em sistemas e documentos diversos – você vai ter muitas surpresas ao fazer isso, mas vai encontrar inúmeras oportunidades de “jogar lixo fora”, aproveite!

Dica 3: Monte um time

Para que você possa seguir com o trabalho de levantamento de dados, será muito importante contar com as pessoas que mais entendem do assunto e estas estão espalhadas pela sua empresa. Você terá de escolher as pessoas fundamentais (de cada processo/sistema) para que elas te ajudem a montar esse inventário.

Dica 4: Recorra a parceiros quando necessário

Se você não conta com especialistas em LGPD, então vale a pena abreviar sua jornada contando com ajuda de pessoas que fazem isso com maestria. Faça uma aliança com um parceiro que possa lhe ajudar nesse assunto, isso mantém o seu foco no que você mais conhece: o seu negócio.

Dica 5: Monte planos de ação

Com ajuda dos parceiros e do time, monte planos de implementação indicando o que será alterado, como, até quando e quem será o responsável. Ao final de cada plano, é preciso deixar claro qual item passará a estar em compliance com a lei.

ALERTA: se você está montando um plano e o resultado dele não ajuda no compliance, então é possível que o esforço seja para outro fim, que não a adequação à LGPD.

Dica 6: Monitore sua operação

Após a implementação dos planos, continue monitorando sua organização para garantir que o resultado possa ser mantido ao longo do tempo. No trabalho de monitoração, você vai gerar novas adequações.

Dica 7: Escolha uma ferramenta

Como gerenciar tudo isso ao mesmo tempo? Essa tarefa pode ser feita com várias ferramentas caseiras (que podem lhe gerar mais dor de cabeça!) ou você pode usar uma plataforma que foi feita exclusivamente para isso: a OneTrust!

Se você quer acertar de primeira, então experimente a ferramenta, faça um piloto e veja como um sistema de privacidade vai definitivamente ser peça central em todo o processo. Veja mais sobre a jornada de implementação e sobre o OneTrust no artigo “A Jornada LGPD”.

É possível implementar a LGPD e o caminho mais ou menos longo para isso está ligado a como sua empresa vai escolher trilhar essa jornada. Siga as 7 dicas para implementação e entre em contato com a Compugraf. Vai ser um grande prazer lhe ajudar nessa transformação.

LGPD é com a Compugraf
Tel: (11) 3323.3200
Email: lgpd@compugraf.com.br

Veja mais
No Comments

A Compugraf e a Privacidade de Dados

A Compugraf é uma integradora com foco em segurança da informação no mercado há mais de 35 anos e uma das suas maiores preocupações é sempre estar a frente das novas tendências do mercado podendo ofertar aos seus clientes a mais alta tecnologia amparada pelos maiores e melhores fabricantes do mercado.

Com o avanço tecnológico dos últimos anos, o uso desenfreado das informações pessoais e os inúmeros eventos de vazamento de dados, fizeram com que a União Europeia criasse a GDPR – General Data Protection Regulation que está em vigor desde maio de 2018.

No cenário brasileiro ainda não havia sido criado uma norma especifica para proteção de dados. O titular dos dados podia se apoiar nas legislações já existentes, como Código de Defesa do Consumidor, Código Civil e Lei do Marco Civil da Internet.

Nesse sentido, em 2018 foi promulgada e sancionada no Brasil a versão tropicalizada da GDPR, a LGPD – Lei Geral de Proteção de Dados – que entrará em vigor em agosto de 2020.

Os três pilares da LGPD

A referida Lei Geral de Proteção de Dados (LGPD) é pautada basicamente em três pilares:

  1. Jurídico/Documentos
  2. Ferramentas
  3. Processos/Pessoas

Para que os clientes possam estar aderentes à LGPD, a Compugraf apresenta sua parceria com a empresa americana OneTrust: um produto (como o nome já diz), que vai proporcionar uma implementação segura e consistente.

A OneTrust é uma plataforma que visa proporcionar um SaaS de privacidade de dados. Por meio da utilização desta ferramenta será possível gerenciar todo o processo de adequação à lei, bem como monitorar continuamente a aderência aos requisitos.

O papel da Compugraf nesse contexto é agregar valor à plataforma, gerando conteúdo adequado ao Brasil e assessorando todo processo de implantação.

Como a lei não é uma simples questão de implantação de uma ferramenta, mas sim de grandes mudanças em seus processos, documentos, cultura e sistemas, as empresas terão de mudar sua forma de pensar, colocando a privacidade como um elemento a ser discutido desde a concepção de seus produtos e serviços. Ou seja, um novo tipo de comportamento terá de ser adotado para estar aderente à lei.

Portanto, estar em conformidade com a LGPD será um desafio no qual cada empresa deverá passar por um processo de reengenharia e para tal terá de reunir suas principais áreas (Jurídico, TI, RH, Marketing, Segurança da Informação, dentre outras), além de contar com parceiros e ferramentas que lhe apoiem devidamente nessa jornada.

A Compugraf apoia a Lei Geral de Proteção de Dados e entende que os dados pessoais são um ativo econômico valioso, por essa razão passou a representar a OneTrust no Brasil, oferecendo um pacote de produtos e serviços para que as empresas possam atender a LGPD.

Pensando em tudo isso é que a Compugraf traz ao mercado uma solução com conteúdo e assessoria adequados a cada cliente. Converse com nossos especialistas, eles ajudarão sua empresa a estar em total conformidade com a LGPD, garantindo a segurança da informação em seu ambiente.

LGPD é com a Compugraf
Tel: (11) 3323.3200
Email: lgpd@compugraf.com.br

Veja mais
No Comments

A Jornada LGPD

A LGPD, Lei Geral de Proteção de Dados, entrará vigor em agosto de 2020.  Esta lei representa o mais significativo marco em termos de conquista de direitos de privacidade do cidadão brasileiro.

Fortemente baseada na legislação europeia, a GDPR em vigor desde maio de 2018, a LGPD representa uma quebra de paradigma em diversos aspectos, contemplando em seus capítulos e artigos desde a definição de forma inequívoca dos direitos da pessoa titular dos dados, do conceito de Privacy by design, das responsabilidades do controlador e operador dos dados até a criação da figura do encarregado pelos dados, sendo esta a pessoa (ou entidade jurídica) responsável por prestar contas junto aos órgãos de fiscalização.

A LGPD está baseada num tripé que se ampara em Jurídico/Documentos, Ferramentas e Processos/Pessoas.

A Jornada para implementação da LGPD

A implementação da LGPD nas organizações pressupõe uma campanha de adequações que contempla praticamente todos os aspectos corporativos, a saber:

  • Processos
  • Sistemas
  • Documentos
  • Cultura
  • Modelo de Negócios

Essa jornada requer um planejamento de forma a ser um processo racional e estruturado, otimizando o uso dos recursos humanos, materiais e sistêmicos da organização.

A definição dos Patrocinadores do projeto dentro da corporação e o estabelecimento de uma equipe multidisciplinar focada na implementação são condições essenciais e inaugurais para o sucesso desta jornada.

A Compugraf propõe uma jornada para aderência à lei baseada em um framework sustentado pela solução de Gerenciamento de Privacidade da OneTrust na qual consideramos 5 principais etapas: Avaliação, Desenho, Implementação, Operação e Monitoração.

Cada uma das etapas no framework contempla entregáveis bem definidos que, em linhas gerais, são explicadas a seguir.

1. Avaliação

O objetivo principal desta etapa é obter o “Gap” de ajustes, ou seja, o que precisa ser alterado, criado ou retirado dos processos/sistemas/documentos para estar em compliance com a lei.

As principais atividades dessa etapa são:

  • Pré-avaliação para definição do nível de maturidade em relação à norma
  • Treinamento dos multiplicadores dentro da organização
  • Definição dos itens de inventário de dados pessoais
    • Levantamento e detalhamento dos Ativos
    • Levantamento e detalhamento dos Processos de Negócios
    • Levantamento dos Sistemas e Terceiros
    • Levantamento dos riscos
    • Criação de Questionários e Avaliações
  • Análise de gap – Obtida com a conclusão do levantamento dos itens de inventário

2. Desenho

Essa fase tem por objetivo elaborar um plano (contendo: “o que”, “como”, “quem” e “quando”) para endereçar o GAP definido na etapa anterior. Neste plano, deve conter:

  • Mudanças necessárias em Processos
  • Mudanças necessárias em Sistemas
  • Adequações Legais e de Governança
  • Treinamentos requeridos

3. Implementação

Nessa etapa o objetivo é colocar o plano em prática. As principais atividades são:

  • Configuração de todo o inventário através do módulo de Registro de Tratamento de Dados (Data Mapping) com as informações coletadas na etapa de Desenho
  • Configuração do módulo de Direitos do Titular
  • Configuração dos módulos de Consentimento
  • Configuração do módulo de Resposta a Incidentes
  • Configuração do módulo de Gestão dos Riscos dos Fornecedores
  • Implementação das Integrações necessárias
  • Realização de treinamentos
  • Estabelecimento de políticas

4. Operação e Monitoração

A partir da etapa de operação, o incremento disponibilizado tem por objetivo trazer conformidade à lei, porém para manter aderência é preciso colocar em prática processos de monitoração constantes, a fim de obter evidências de que esses incrementos disponibilizados continuam em compliance com a lei.

5. Processo Iterativo

Ao invés de considerar um modelo Waterfall (Cascata), a Compugraf recomenda o modelo iterativo, permitindo que o resultado do trabalho possa ser percebido em pouco tempo por meio de entregas constantes e aprendizado (retroalimentação). A aderência à lei é obtida gradativamente.

Solução de Privacidade da OneTrust

A solução de Gerenciamento de Privacidade da OneTrust foi criada especificamente para atender normas de privacidade em todo o mundo. É uma plataforma na qual todas as fases da jornada à privacidade (desde avaliação até monitoração) são controladas e implementadas de forma consistente, gerenciando inclusive o acesso de parceiros que estejam apoiando o processo.

Esta solução chega com elevado grau de maturidade, uma vez que vem sendo utilizada por grandes empresas ao redor do mundo para implementação da GDPR na Europa, da CCPA na Califórnia e agora da LGPD no Brasil. É, portanto, considerada uma ferramenta referência no assunto.

Conforme o último relatório da Forrester, a solução OneTrust se destaca isoladamente como líder em Privacy Management Software.

Apresenta uma plataforma totalmente modular e configurável atendendo a todos os aspectos das legislações pertinentes. Os módulos são:

  • Automatização de Avaliações
  • Maturidade & Benchmarking
  • Registro do Tratamento dos Dados
  • Gestão de Consentimento de Cookies
  • Consentimento
  • Pedidos do Titular de Dados
  • Resposta ao Incidente
  • Gestão de Risco dos Fornecedores

Pelo exposto, depreende-se que a implementação irá permear praticamente todos os setores da organização, entretanto, com especial atenção àqueles que em algum aspecto tratam dados pessoais, tais como:

  • Tecnologia da Informação
    • Infraestrutura
    • Segurança
    • Governança
    • Privacidade
    • Sistemas Internos e Terceiros
  • Recursos Humanos
  • Marketing
  • Jurídico
  • Comercial e Vendas
  • Operações

Portanto como mostrado, a aderência à esta lei implica numa jornada que reúne aspectos processuais, ferramentais e adequado suporte jurídico. Enquanto de um lado há o risco inerente às penalidades devido a uma não conformidade, por outro lado, o aspecto positivo que toda corporação pode obter como produto dessa implementação é a fidelidade dos clientes, a transparência e governança associados à marca, melhores práticas de segurança e o uso mais efetivo dos dados permeando toda a corporação.

O tempo está correndo e sua empresa precisa se adequar às normas da LGPD o quanto antes, evitando prejuízos financeiros e de imagem. Fale com os especialistas da Compugraf e conheça a melhor solução para que sua política de segurança de dados fique totalmente regularizada.

LGPD é com a Compugraf
Tel: (11) 3323.3200
Email: lgpd@compugraf.com.br

 

Veja mais
No Comments

Principal plataforma de gestão de privacidade do mundo, disponível agora no Brasil para LGPD

A Compugraf firmou uma parceria técnica e comercial com a OneTrust, sediada em Atlanta e Londres, para comercializar e implantar a sua plataforma e prover suporte em português para todo o território nacional.

O Brasil enfrenta um importante desafio para se adequar às exigências da nova Lei Geral de Proteção de Dados, que vigorará, a princípio, em agosto de 2020. A plataforma OneTrust assistirá as companhias e os profissionais de TI, Compliance e Jurídico, a obter e manter a conformidade com a LGPD”, comenta Jacques Nasser, CEO da Compugraf, ao explicar porque decidiu apostar nesta importante parceira comercial e tecnológica.

O OneTrust é a maior e mais utilizada plataforma de tecnologia no mundo para operacionalizar privacidade, segurança e gerenciamento de riscos de terceiros. Segundo The Forrester New Wave™: GDPR And Privacy Management Software, Q4 2018, o OneTrust “lidera a concorrência em matéria de visão e de execução”. Além disso, a Fast Company classificou a OneTrust como uma das empresas mais inovadoras do mundo de 2019.

O OneTrust assiste na implementação dos programas de privacidade, segurança e riscos de terceiros, incluindo a manutenção automática dos registros específicos necessários para demonstrar a conformidade com as regulamentações de privacidade da LGPD brasileira, da GDPR europeia, CCPA da Califórnia, e de mais de centenas de leis de privacidade do mundo. Com mais de 700 colaboradores a nível mundial e mais de 2.500 clientes em 100 países, a OneTrust é controlada pela Manhattan Associates e pela VMware.

No mercado de soluções tecnológicas desde 1982, a Compugraf é especializada em segurança digital e comunicação corporativa, oferecendo estratégias inovadoras e larga experiência em projetos de segurança da informação.

A Lei Geral de proteção de Dados já é uma realidade em nosso país e as empresas que não estiverem adequadas às suas normas poderão sofrer prejuízos – financeiros e de imagem.

Não espere nem mais um minuto para que a sua empresa esteja em total conformidade com a LGPD: fale agora mesmo com nossos especialistas e descubra como garantir a privacidade de dados de seu ambiente e a conformidade com a legislação vigente.

 

Veja mais
No Comments

Por que os e-commerces terão que alterar suas políticas de privacidade no próximo ano?

e-commerces terão que alterar suas políticas de privacidade no próximo ano

A Lei Geral de Proteção de Dados Pessoais (LPGD) foi publicada em agosto de 2018 e entrará em vigor após decorridos 18 (dezoito) meses da sua publicação. Por parecer um considerável intervalo para início efetivo dos efeitos da lei, que poderá incluir fiscalização e punição de infratores, o prazo de 18 (dezoito) meses, ao invés de motivar as empresas interessadas e envolvidas na proteção de dados a se alinharem às mudanças de rotina que a Lei irá exigir, trouxe um certo “conforto” à essas empresas, que estão deixando tudo para 2020, o ano em que a Lei estará em vigor.

Contudo, vale a pena o alerta: as empresas não devem cometer o erro de deixar tudo para a última hora! São muitas mudanças que afetam a rotina da empresa, sua cultura e comportamento, bem como ferramentas necessárias para se adequar à LGPD. As novas regras abrangem desde os dados mais sensíveis até os dados de uso diário como questionários, idade, dados cadastrais, tanto para coletar, transmitir ou processar esses dados.

Além disso, os titulares dos dados, protegidos pela Lei, com certeza não vão abrir mão de invocar seus direitos normatizados pela LGPD, tais como: pedir explicações sobre seus dados, solicitar, inclusive, alterações e correções em caso de divergência.

Além de todas as adequações que as empresas deverão buscar durante esse período, bem como ferramentas necessárias para regular proteção dos dados, será necessário informar ao cliente o motivo pelo qual os seus dados serão tratados, não somente fazendo uso do que chamamos de opt-in no e-commerce, ou seja, não será suficiente colher apenas o “OK” do cliente para o efetivo consentimento. Os e-commerces deverão, de maneira clara e detalhada, esclarecer o motivo pelo tratamento dos dados.

E onde os e-commerces poderão detalhar isso, fazendo com que o cliente não apenas dê o consentimento, mas leia e tenha ciência sobre o tratamento de seus dados? Na “Política de Privacidade” ou, como em outros sites, “Termos de Condições de Segurança”.

Além do consentimento mencionado acima, não custa lembrar que muitos lojistas já tratam dados pessoais antes mesmo do cliente ler ou aceitar a Política de Privacidade do site, por meio de cookies ou outras ferramentas tecnológicas, na mera navegação.

A Política de Privacidade da loja é o meio ideal usado para tornar transparente sua relação com o usuário. Lá você informa todos os direitos, garantias, formas de uso, dados recolhidos, processamento e descarte dessas informações pessoais. Atualmente, os e-commerces pedem ao usuário, após preenchimento do seu cadastro, que demonstre expresso consentimento e concordância com esses termos. Isso tudo surgiu, de forma mais expressiva, após a regulação específica do mundo virtual, através do Marco Civil da Internet. Essa lei estabeleceu direitos e garantias aos usuários, além de regulamentar as responsabilidades aos setores públicos e privados.

Contudo, a mera alteração das Políticas de Privacidade não é o suficiente para garantir sua eficácia e adequação à LGPD. É importante se atentar para os aspectos práticos, pois, caso não implementado de forma correta, pode invalidar a sua Política de Privacidade. Sendo assim, destacamos alguns pontos importantes para uma Política de Privacidade adequada:

Consentimento

A Política de Privacidade do e-commerce nada mais é do que os termos de um negócio jurídico estabelecido entre o próprio comerciante com seus usuários. Para que tenha validade e eficácia, deve ser levada ao conhecimento do usuário que, por sua vez, deve manifestar sua aceitação. É nessa linha que se aperfeiçoa o vínculo contratual.

Consentimento Válido

A LGPD apresenta definição em seu artigo 5º, XII: “Para os fins dessa lei, considera-se consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

Essas são as características definidas pela LGPD para consentimento do usuário, que deve ser livre, ou seja, confere ao usuário pleno controle sobre o tratamento de seus dados pessoais. Deve, ainda, poder escolher quais dados fornecer ou não, podendo, inclusive, retirar seu consentimento a qualquer momento. O lojista não pode compelir o usuário a consentir com tratamento de seus dados pessoais para ter acesso a determinada aplicação na internet. Dessa forma, esse consentimento não é considerado livre e pode ser invalidado por ineficácia da aceitação.

Vale incluir uma exceção ao esclarecimento acima, uma vez que existem hipóteses em que o tratamento de dados é essencial ao regular funcionamento da aplicação na internet, sendo justificável que se condicione o acesso à aceitação do tratamento de dados essenciais.

Informações Necessárias

O usuário deve ter informações suficientes sobre o e-commerce e os serviços prestados, bem como sobre o tratamento de seus dados. Isso porque ele deve ter ciência do que está sendo contratado e consentir de forma consciente. Assim, o usuário deve saber a identidade do e-commerce, os responsáveis pelo tratamento de seus dados e as finalidades de destino desse tratamento. É fundamental que os e-commerces sejam transparentes com seus usuários, fornecendo o máximo de informação possível sobre seu modelo de negócio e a finalidade da coleta de dados. Tal finalidade, pela LGPD, deve ser específica e informada na Política de Privacidade, sendo proibido o uso de dados para fins não previstos, sem o consentimento do usuário.

Aceitação do Usuário

Deve haver uma ação do usuário indicando sua aceitação, seja por um clique ou por assinatura eletrônica. O silêncio nunca poderá ser considerado consentimento. Atualmente, muitos e-commerces incluem links para suas Políticas de Privacidade no rodapé do site, não exigindo aceitação do usuário. Além disso, possuem cláusulas de que o mero acesso já é aceitação pelo usuário de tais Políticas. Isso não será mais permitido pela LGPD.

O usuário, de alguma forma, deverá aceitar e consentir de forma expressa com a Política de Privacidade do e-commerce. Não somente isso, em qualquer alteração ou atualização quanto ao modelo de negócio do e-commerce ou ao tratamento de dados dos usuários, o consentimento deve ser renovado, uma vez que o consentimento originalmente fornecido, não será mais válido.

Conclui-se que o ano de 2019 será de muito trabalho para os e-commerces. Desse período até fevereiro de 2020, será o intervalo que permitirá adequação dos e-commerces para receber a LGPD e sua futura Autoridade de Proteção de Dados. Além das muitas mudanças necessárias, podemos observar que nada é tão simples quanto parece. O que as empresas pensam ser apenas mais uma alteração na redação de suas Políticas de Privacidade é o que dá validade ao negócio jurídico do comerciante com o usuário e, se não implementado corretamente, pode tornar qualquer Política inválida, deixando o lojista desprotegido em caso de eventual disputa.

Essa questão é uma dentre muitas questões fundamentais para proteção do e-commerce às altas multas cominadas pela LGPD. Esperar até o Carnaval de 2020 para tomar providências de adequação pode fazer com que o comerciante não tenha tempo hábil não somente para modificar a Política de Privacidade do seu site, mas também de mudar a cultura das áreas de sua empresa, que deverão também obedecer o que será determinado na nova política, após sua remodelagem.


Este artigo foi escrito por:

Ricardo Oliveira
Sócio do COTS Advogados, escritório especializado em Cyberlaw e Direito dos Negócios Digitais com sede em São Paulo.  Atua há quase 10 anos na área jurídica, focando na multidisciplinaridade e interação dos mais diferentes ramos do Direito, sempre com foco em empresas do comércio eletrônico e tecnologia da informação.

Amanda Almeida
Advogada associada do COTS Advogados, escritório especializado em Cyberlaw e Direito dos Negócios Digitais com sede em São Paulo. Possui experiência em contencioso de massa, gestão e controle de contratos, atuando principalmente com empresas do seguimento ecommerce

Veja mais
No Comments