Com a Lei Geral de Proteção de Dados – LGPD em vigência há 3 anos, é possível afirmar que muitas empresas já concluíram as etapas iniciais de adequação à lei, como o mapeamento e registro de tratamento de dados pessoais, ajustes aos contratos, elaboração da Política de Privacidade com definição e funcionamento do canal de comunicação para recebimento de solicitações no que diz respeito a proteção de dados. No entanto, após as primeiras etapas do projeto, deve ser dada continuidade ao plano de ação, para manter o Programa de Governança em Privacidade, com monitoramento e reavaliação dos riscos associados ao tratamento de dados para garantir a conformidade contínua para que sejam realizados os ajustes conforme necessários, e assim, cada vez mais aumentar a maturidade da segurança da informação na Organização, estando preparado para auditorias e fiscalizações de clientes, parceiros e até mesmo de fornecedores.
Escrito por Júlia Mayara Medeiros
O Programa de adequação à LGPD, sendo projeto de compliance, utiliza-se o ciclo PDCA (Plan, Do, Check, Act) no qual é uma abordagem eficaz para garantir que as práticas organizacionais estejam em conformidade contínua com as leis, regulamentos e normas aplicáveis, sendo um processo iterativo, e a melhoria e conformidade contínua é uma parte fundamental do gerenciamento de compliance.
A governança envolve as atividades de avaliar o ambiente, os cenários, as alternativas, e os resultados atuais e os almejados, a fim de direcionar a preparação e a coordenação de políticas e de planos, alinhando as funções organizacionais às necessidades das partes interessadas, bem como monitorando os resultados, o desempenho e o cumprimento de políticas e planos de ação, confrontando-os com as metas e indicadores estabelecidos.
E, para que as funções de Governança da Proteção e Privacidade de Dados Pessoais sejam executadas de forma satisfatória, alguns mecanismos devem ser adotados: liderança, estratégia e controle. Abaixo, aprofundar-se-á as estratégias em um programa de compliance, com os pontos essenciais para garantir que uma organização opere de maneira ética, legal e sustentável, promovendo a confiança dos stakeholders e protegendo seu sucesso a longo prazo.
ESTRATÉGIAS PARA UM BOA GOVERNANÇA DE PROTEÇÃO E PRIVACIDADE DE DADOS PESSOAIS
Para promoção e continuidade ao Programa de Compliance que abrange a conformidade contínua com a Lei Geral de Proteção de Dados é de suma importância seguir o plano de ação desenvolvido na etapa inicial do projeto, com a junção das seguintes estratégias abaixo discriminadas, com controles e indicadores de desempenho.
Portanto, aponta-se a implementação das estratégias cruciais:
Estabeleça um modelo de Governança de Proteção de Dados Pessoais adequado à realidade da organização, bem como tenha o apoio da liderança.
Após a fase inicial, deve-se sustentar e controlar a manutenção das ações implementadas na fase de adequação, para construir uma cultura de proteção de dados sólida, garantindo que as medidas incorporadas sejam eficazes à organização e aceitáveis pelos colaboradores na empresa.
O modelo de Governança de Proteção de Dados Pessoais é a representação clara e pública de como deverá funcionar a Organização. O alcance de uma boa governança depende fundamentalmente da definição e da implantação de um modelo de governança adequado ao tamanho, complexidade, negócio e perfil de risco da organização.
É preciso identificar as responsabilidades, recursos necessários, partes interessadas, diretrizes de comunicação e transparência. Após, a liderança deve avaliar o modelo adotado, ajustar e aprová-lo ao contexto e aos objetivos organizacionais, comunicando a todas as partes interessadas. A aplicação do modelo é essencial para garantir a eficiência das políticas, procedimentos e práticas adotadas, garantindo a conformidade continua legal e a o programa vivo.
A liderança, ou seja, aqueles que estão no topo da hierarquia corporativa e carregam um grau de responsabilidade maior do que o pessoal de níveis inferiores, são responsáveis por tomar decisões que protegerão os dados pessoais dentro de sua organização. A liderança deve apoiar o projeto, seguir e respeitar os princípios éticos de privacidade e segurança dos dados a fim de manter o cumprimento da LGPD na Organização. Sem o apoio, é pouco provável que o Programa não seja capaz de se manter e contribuir efetivamente para a mudança cultural.
Ainda, certifique-se de que todas as medidas administrativas e técnicas adotadas na fase inicial estejam alinhadas com os requisitos legais e que estão sendo praticadas e compatíveis com a cultura da organização para garantir a aceitação e a eficácia dessas práticas dentro da empresa. Portanto, analise se as medidas estão alinhadas aos valores e princípios fundamentais da organização, bem como obtenha feedbacks dos colaboradores sobre como percebem as medidas de privacidade adotadas, além disso, verifique se as comunicações sobre privacidade e proteção de dados são transparentes e compreensíveis para todos os membros da organização. A transparência contribui para a confiança e aceitação.
Leia também: Como o uso indevido da IA pode levar a vazamentos de dados
Gerencie os riscos voltados ao Sistema de Gestão da Segurança da Informação – SGSI.
A gestão de riscos serve para identificar, entender os riscos e manter as instâncias responsáveis informadas da segurança da informação da organização, para que as respostas aos riscos sejam apropriadas. Para isso, a organização precisa implantar estrutura de gestão de riscos adequada às suas necessidades, definir o processo de gestão de riscos e integrá-lo à gestão e à tomada de decisão, garantindo a alocação de recursos e a existência dos canais de comunicação necessários.
Importante ressaltar a aplicação da priorização aos riscos, para direcionar recursos e esforços para as áreas mais críticas e maximizar a eficácia das medidas de segurança, a exemplo, priorização de riscos com base na probabilidade de ocorrência e no potencial impacto, cujas aplicações subsidiam o plano de continuidade do negócio, reduzindo substancialmente os riscos de incidentes de segurança que tenham potencial de interromper as atividades da Organização.
Ao adotar uma abordagem holística e considerar múltiplos fatores, a organização pode desenvolver uma estratégia eficaz para priorizar os riscos de segurança da informação e alocar recursos de maneira mais eficiente.
Monitore, revise e aprimore o ambiente organizacional com aplicação de medidas técnicas de segurança
É indispensável para a conformidade contínua da proteção de dados que as estratégias estejam interligadas com a segurança da informação na organização. O Sistema de Gestão da Segurança da Informação – SGSI proporciona uma estrutura mais abrangente para a gestão da segurança da informação, fornecendo à organização uma estrutura mais sólida para abordar aspectos relacionados à segurança da informação, o que é um componente importante e imprescindível para cumprir as exigências da LGPD.
Para o Projeto de adequação à LGPD é essencial a participação do time de Tecnologia da Informação e Comunicação – TIC, com capacitação para a segurança da informação, uma vez que será possível a realização do assessment técnico do ambiente lógico e físico, elaboração de análise de vulnerabilidade do ambiente que poderiam ser exploradas por ameaças e a análise dos riscos conforme os ativos da organização. Portanto e sem dúvidas, para garantir os requisitos de conformidade continua da lei, será necessário o investimento em medidas e controles da segurança da informação.
Controles da segurança da informação, como criptográfica, controle de acesso, monitoramento e gestão de incidentes, são elementos eficazes que podem ser abordados através do SGSI para atender às demandas da LGPD, conforme estabelece em seu art. 50[2]. As medidas visam mitigar riscos de segurança e preservar a confidencialidade, integridade e disponibilidade dos dados pessoais.
Por fim, importante mencionar que não basta apenas implementar as medidas técnicas de segurança, mas monitorar e revisar caso necessário, identificando e mitigando potenciais novas ameaças, bem como para responder proativamente a eventos de segurança. Lembre-se que o ambiente digital é dinâmico, e as ameaças estão em constante evolução.
Tenha um DPO qualificado, bem como um comitê ativo com foco em proteção de dados e segurança da informação.
O DPO, ou também denominado de Encarregado de Dados, terá como uma de suas funções a mediação entre a empresa, os titulares dos dados pessoais (funcionários, fornecedores, clientes e pessoas físicas interessadas ao negócio) e o próprio governo (por meio da Autoridade Nacional de Proteção de Dados – ANPD ou outros órgãos reguladores). Além disso, ele também terá o papel de gerente do Programa de Privacidade, agir e monitorar a análise de risco quanto à proteção de dados desenvolvida, bem como às ações planejadas. O cargo exige um conhecimento multidisciplinar que abrange o Direito à Segurança da Informação, portanto, é importante investir em um DPO qualificado.
Já as pessoas nomeadas para fazer parte da comissão tem participação direta com as pessoas da organização e departamentos dentro da empresa. Portanto, elas vão auxiliar o DPO e atuar com mais eficiência nas ações previstas no plano de ação, auxiliando e acelerando na implantação das medidas técnicas ou administrativas necessárias, bem como realizando o monitoramento do programa de forma mais eficaz e disseminando a cultura na organização, reforçando a proteção de dados como pilar essencial na cultura empresarial e como responsabilidade compartilhada.
Em resumo, o Comitê de Privacidade ou Embaixadores da Privacidade desempenha um papel central na promoção, implementação e monitoramento das práticas de privacidade dentro de uma organização, assegurando conformidade continua, transparência e proteção adequada dos dados pessoais. O Comitê de Privacidade ou Embaixadores da Privacidade pode ser composto por membros de diferentes áreas da organização, representando uma abordagem multidisciplinar para garantir uma gestão abrangente e eficaz da privacidade e proteção de dados, como representantes do departamento jurídico, Profissionais de TI e segurança da informação, Representantes do departamento de marketing e de recursos humanos, presença de membros da alta direção, bem como membros de departamentos que lidam diretamente com dados pessoais, como atendimento ao cliente e vendas ou serviços.
Leia também: Os limites da solicitação de CPF
Monitore as Políticas e Procedimentos implementados em razão do Programa de Adequação à LGPD, bem como monitore as novas Regulamentações da ANPD.
Após a fase inicial, no qual foi preciso implementar políticas, procedimentos e controles voltados a proteção e privacidade dos dados, como a exemplo, Política de Privacidade, atualização na Política de Segurança da Informação, Política de Trabalho Remoto, Procedimento de Tratamento e Descarte de dados pessoais, dentre outros, é o momento de fiscalizar de forma ativa o cumprimento dentro da empresa.
Além disso, em razão da LGPD ter assuntos ainda passíveis de regulamentação pela ANPD órgão responsável por fiscalizar o cumprimento da lei, é fundamental monitorar de forma ativa novas resoluções que possam afetar a Organização e, caso necessário, implementar ações que garantam a conformidade contínua com a LGPD.
Conforme a Agenda Regulatória da ANPD para o biênio 2023-2024, os principais temas a serem discutidos e regulamentados serão:
- Direitos dos titulares de dados pessoais: precisará clarificar e delinear os direitos dos cidadãos relativamente aos seus dados pessoais.
- Comunicação de incidentes: estabelecimento de protocolos para notificação de vazamentos ou outros incidentes relacionados à proteção de dados.
- Transferência internacional de dados pessoais: Diretrizes para empresas e organizações que transferem dados pessoais para fora do Brasil.
- Relatório de impacto à proteção de dados pessoais: Definição de quando e como esses relatórios devem ser elaborados e apresentados.
- Encarregado de proteção de dados: Detalhes sobre o papel e responsabilidades desta figura dentro das organizações.
- Dados pessoais sensíveis: Regulamentação sobre a coleta e
processamento de categorias especiais de dados, como os de organizações religiosas ou dados biométricos.
- Uso de dados pessoais para fins acadêmicos e pesquisa: Diretrizes específicas para ambientes acadêmicos e instituições de pesquisa.
- Anonimização e pseudonimização: Diretrizes sobre os métodos e práticas de anonimização e pseudonimização de dados.
- Tratamento de dados pessoais de crianças e adolescentes: Especial atenção à proteção de dados de menores de idade.
- Inteligência artificial: Como a IA se enquadra nas regulamentações de proteção de dados e quais precauções as organizações devem tomar.
Portanto, essencial estar sempre atento às regulamentações e até mesmo novas legislações que possam vir complementar as diretrizes da LGPD.
Monitore o canal de comunicação adotado e estabeleça processos para lidar com requisições de titulares.
A LGPD concedeu aos titulares dos dados diversos direitos em relação ao tratamento de suas informações pessoais, incluindo o direito de receber informações sobre como seus dados são processados e a capacidade de exercer controle sobre esses dados. Se a organização não cumprir adequadamente os prazos de resposta aos titulares, pode enfrentar várias implicações.
É fundamental criar e manter processos para lidar com as requisições dos titulares de dados e da própria ANPD. Conforme a LGPD é preciso responder de forma clara e completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento no prazo de 15 (quinze) dias contado da data do requerimento do titular.
Se o plano de adequação não contemplou a criação desse fluxo, é preciso criá-lo o mais rápido possível, com atenção especial aos direitos dos titulares de dados, os prazos para resposta, o formato para cada requisição e a possibilidade de recusa.
Caso a empresa não responda no prazo legal é possível ser passível de autuação pela ANPD com aplicação de sanção administrativa, resultante em desgaste significativo na reputação, com perdas de parceiros e clientes por falta de conformidade continua, bem como os titulares podem buscar na Justiça, através de ação judicial, seu direito de reparação por danos causados em decorrência do não cumprimento das disposições da LGPD.
Leia também: Políticas de tratamento de dados: impactos estratégicos e como implantá-las com sucesso
Institua campanhas de treinamento e de conscientização frequentes para os colaboradores
Conscientizar e capacitar os colaboradores é garantir que estejam informados e preparados para lidar com os dados pessoais de forma segura e conforme a legislação, contribuindo para uma cultura mais forte e alinhada com os objetivos da organização. Quando todos estão alinhados em relação à privacidade, cria-se uma cultura de confiança.
Os treinamentos e campanhas de conscientização desempenham um papel crucial na implementação bem-sucedida e na manutenção do cumprimento da LGPD, pois além de garantir que a organização esteja alinhada aos princípios da transparência e da segurança, bem como aos requisitos da LGPD, os colaboradores saberão realizar corretamente o tratamento de dados pessoais, bem como evitar consideravelmente incidentes de segurança como vazamento de informação que envolvam dados pessoais e, por consequência, evitar multas e outras penalidades que podem ser aplicadas às empresas.
A LGPD atua sob a lógica da responsabilidade demonstrada, ou seja, não basta dizer que a empresa está em conformidade, é preciso comprovar a conformidade continua. E, o investimento em treinamento e campanhas de conscientização são essenciais para uma boa prática e uma maneira simples de evidenciar à ANPD e outras partes que tem o poder de fiscalização, conforme dispõe o art. 50 da LGPD quando traz o conceito de ações educativas.
Garanta a due diligencie em Proteção de dados e Segurança da Informação dos fornecedores e parceiros
A due diligence em Proteção de Dados e Segurança da Informação trata-se de uma diligência prévia ao fornecedor e/ou parceiro que irão coletar e manusear dados compartilhados como forma de reduzir riscos, permitindo proteger o controlador através da análise e investigação de riscos.
A LGPD afirma que o controlador e/ou operador, também denominados de agentes de tratamento, em razão do exercício de atvidade de tratamento de dados pessoais, que causar dano patrimonial, moral, individual ou coletivo a outrem em detrimento de violação à legislação de proteção de dados, é obrigado a repará-lo, conforme dispõe o art. 423.da LGPD.
E, mais adiante, fica claro que o controlador responde solidariamente pelos danos causados quando o operador descumprir as obrigações da LGPD, ou seja, é preciso que exista a fiscalização do controlador (cliente) para com o operador (fornecedor/parceiro).
Portanto, essencial a atividade de due diligencie em Proteção de Dados e Segurança da Informação ao Fornecedor ou Parceiro, através de uma Gestão de Terceiros. É uma ferramenta de compliance indispensável para identificar riscos potenciais, conformidade com a LGPD e regulamentos aplicáveis, como a ISO 27001 e ISO 27701, bem como avaliar a credibilidade, buscando o máximo de informações e evidências através de questionários, entrevistas e análises de Políticas e demais documentos, o que, após essas diligências e respostas deverá ser verificado se os terceiros possuem baixo, médio ou alto risco na contratação.
Monitore os resultados e garanta a melhoria contínua
A equipe deve garantir que a execução da estratégia seja periodicamente monitorada, por meio de indicadores de desempeno e rotinas projetadas para aferir o alcance das metas, tratar as metas não alcançadas e relatar de forma transparente às partes interessadas da organização. Demonstrar às partes interessadas que a organização leva a sério a proteção de dados pessoais, construindo assim um ambiente de confiança e respeito à privacidade.
3 Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
- – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
- – os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art.
43 desta Lei.
Os indicadores de desempenho servem para que a empresa possa visualizar a performance do Projeto de Privacidade e Proteção de Dados, como forma de acompanhar os objetivos traçados pelo planejamento estratégico, analisando o que já foi alcançado e o que precisa ser ajustado para atingir as metas. Os índices medem o sucesso do Projeto, permitindo avaliar a efetividade das ações, sendo considerados guias para a tomada de decisões.
Possibilitar o aprimoramento contínuo das práticas de proteção de dados. À medida que a tecnologia, as ameaças e as regulamentações evoluem, é crucial ajustar e melhorar constantemente as políticas e procedimentos para garantir a eficácia e a relevância contínuas.
Conclusão
Ter um projeto contínuo de privacidade e proteção de dados é crucial nos tempos atuais, especialmente com o aumento da digitalização e da coleta massiva de informações.
Manter o Projeto em questão garante a conformidade com as regulamentações em constante evolução, contribui positivamente para a reputação da marca, minimiza os riscos de segurança da informação que podem resultar em perdas de dados, multas substanciais e danos à reputação. Além disso, como todo projeto de compliance, adotar uma abordagem proativa permite a inovação segura, sem comprometer a proteção dos dados pessoais.
A mudança cultural é um processo contínuo que demanda tempo, esforço e resiliência para ser eficaz. Um projeto contínuo de privacidade promove essa mudança cultural voltada para a proteção e respeito aos dados e, conforme dito acima, é necessária uma abordagem estratégica bem desenvolvida que permeiem a missão, visão e valores da empresa.
Ao implementar as estratégias acima descritas de maneira consistente e integrada, as organizações podem construir e fortalecer uma cultura de proteção de dados que seja resiliente e esteja alinhada com as melhores práticas e regulamentações vigentes.
Pertinente deixar claro, por fim, que investir em privacidade desde o início pode ser mais econômico a longo prazo. Evitar violações de dados e possíveis multas, bem como a perda de clientes, contribui para a estabilidade financeira da empresa.
conformidade continua