Blog

LGPD: O que é considerado violação?

No universo digital cada vez mais interconectado, a proteção dos dados pessoais tornou-se uma prioridade essencial. No Brasil, a Lei Geral de Proteção de Dados (LGPD) emerge como um divisor de águas, estabelecendo diretrizes e responsabilidades claras no tratamento das informações pessoais dos cidadãos. Nesse cenário, compreender o que é considerado uma violação à LGPD é crucial para empresas e organizações que buscam manter a confiança de seus usuários e evitar implicações legais.

 

Violações Previstas pela LGPD

Aquisição não Consentida de Dados Pessoais

A LGPD estabelece que a coleta de dados pessoais deve ser realizada de forma transparente e com o consentimento do titular. Qualquer forma de coleta não autorizada, seja por meio de métodos enganosos ou sem o devido consentimento, é considerada uma violação grave. As empresas devem ser diligentes ao solicitar e obter permissão para coletar e processar informações pessoais, garantindo a legitimidade de suas práticas.

 

Exposição de Dados Confidenciais

Um dos cenários mais temidos no universo digital é o vazamento de dados. A LGPD estipula que as organizações são responsáveis por garantir a segurança dos dados pessoais que coletam e processam. Caso ocorra um vazamento, a empresa deve notificar imediatamente os titulares afetados e as autoridades competentes. Ignorar ou negligenciar essa responsabilidade pode resultar em sérias penalidades.

 

Divulgação Indevida de Informações

O compartilhamento de dados pessoais deve ser feito de maneira cuidadosa e respeitar as finalidades para as quais o titular deu seu consentimento. Qualquer prática de compartilhamento que não esteja em conformidade com as disposições da LGPD é considerada uma violação. As empresas devem garantir que as informações sejam compartilhadas apenas com terceiros confiáveis e para fins específicos autorizados pelos titulares.

 

Falta de medidas de segurança adequadas

A LGPD exige que as organizações adotem medidas de segurança adequadas para proteger os dados pessoais contra acessos não autorizados, perdas ou vazamentos. A falta de protocolos de segurança robustos é considerada uma violação direta da legislação. É crucial implementar práticas como criptografia, controle de acesso e monitoramento constante para mitigar os riscos de incidentes de segurança.

 

Armazenamento Inapropriado de Dados

A retenção de dados deve estar alinhada com as finalidades para as quais foram coletados. Manter informações pessoais por um período além do necessário é uma violação da LGPD. As organizações devem definir políticas claras de retenção de dados e garantir a exclusão ou anonimização adequada quando não forem mais necessários para os fins originais.

 

O que eu devo fazer se acontecer uma violação a LGPD?

Para garantir o cumprimento dos requisitos estabelecidos pela Lei Geral de Proteção de Dados (LGPD), foi instituída a Agência Nacional de Proteção dos Dados (ANPD), responsável por monitorar e autuar empresas que violam as normativas vigentes. A ANPD detém autoridade para realizar auditorias sem aviso prévio e iniciar investigações com base em denúncias dos consumidores.

Em casos de identificação de violações, as penalidades impostas pela ANPD podem alcançar até R$ 50 milhões ou 20% do faturamento anual da empresa, o que quer que seja maior. Além das repercussões financeiras diretas, há também impactos indiretos significativos, uma vez que a ANPD torna públicas as violações, potencialmente prejudicando a reputação do negócio.

Ao lidar com incidentes de segurança de dados pessoais, a ANPD estabelece diretrizes específicas para os agentes de tratamento, incluindo:

 

  1. Avaliação interna do incidente, considerando a natureza, categoria e quantidade de titulares de dados afetados, bem como os tipos e volumes de dados comprometidos, juntamente com as consequências concretas e prováveis.
  2. Comunicação imediata ao encarregado, conforme estabelecido no Artigo 5.º, VIII da LGPD.
  3. Se o agente de tratamento for um operador, a comunicação ao controlador nos termos da LGPD.
  4. Comunicação à ANPD e ao titular de dados em caso de risco ou dano relevante aos titulares, conforme o Artigo 48 da LGPD.
  5. Elaboração de documentação abrangente, incluindo a avaliação interna do incidente, as medidas tomadas e a análise de risco, em conformidade com o princípio de responsabilização e prestação de contas, conforme o Artigo 6º, X da LGPD.

 

A ANPD enfatiza a importância de comunicar todos os incidentes de segurança que possam acarretar risco ou dano relevante aos titulares. Sendo destacado que a probabilidade de risco ou dano relevante aumenta em casos que envolvem dados pessoais sensíveis, indivíduos em situação de vulnerabilidade, danos materiais ou morais, grande volume de dados, quantidade expressiva de indivíduos afetados, boa-fé dos terceiros envolvidos, e facilidade de identificação por terceiros não autorizados após o incidente.

 

Ler Mais

IMPORTÂNCIA DO FIREWALL PARA LGPD

O firewall desempenha um papel crucial na conformidade com a Lei Geral de Proteção de Dados (LGPD) no Brasil, que estabelece diretrizes para o tratamento e proteção de dados pessoais. Podendo destacar alguns aspectos que destacam a importância do firewall em relação à LGPD:

 

  1. Proteção contra Acessos Não Autorizados:
    • A LGPD enfatiza a necessidade de proteger os dados pessoais contra acessos não autorizados. O firewall atua como uma barreira que controla e monitora o tráfego de dados, impedindo acessos indevidos e protegendo informações sensíveis.
  2. Controle de Tráfego e Políticas de Segurança:
    • O firewall permite que as empresas implementem políticas de segurança específicas para controlar o tráfego de dados. Isso inclui restrições de acesso, filtragem de conteúdo e outras medidas que contribuem para o cumprimento das políticas de privacidade estabelecidas pela LGPD.
  3. Segurança da Rede e Proteção contra Ataques:
    • A LGPD exige que as organizações implementem medidas de segurança adequadas para proteger os dados pessoais. O firewall desempenha um papel fundamental na segurança da rede, prevenindo ataques cibernéticos, intrusões e outras ameaças que possam comprometer a integridade dos dados.
  4. Monitoramento e Registro de Atividades:
    • O firewall registra as atividades de rede, o que é importante para o monitoramento contínuo e a identificação de possíveis violações de segurança. Esses registros são valiosos para a conformidade com a LGPD, que exige a capacidade de rastrear e relatar incidentes de segurança.
  5. Proteção contra Vazamentos de Dados:
    • O firewall desempenha um papel crucial na prevenção de vazamentos de dados. Ao controlar o tráfego de saída, ele pode bloquear ou monitorar cuidadosamente a transferência de dados sensíveis para fora da rede da empresa, evitando vazamentos não autorizados.
  6. Conformidade com Normas e Padrões:
    • Muitas normas e padrões de segurança, incluindo a LGPD, exigem a implementação de medidas de controle de acesso e proteção de dados. O firewall é uma ferramenta essencial para garantir a conformidade com essas diretrizes.
  7. Segurança em Redes sem Fio (Wi-Fi):
    • Caso a empresa utilize redes sem fio, o firewall é essencial para garantir a segurança dessas comunicações. Ele protege contra acessos não autorizados e contribui para a segurança de dados transmitidos por redes sem fio.
  8. Educação e Conscientização dos Usuários:
    • A LGPD destaca a importância da conscientização dos usuários sobre práticas seguras de tratamento de dados. O firewall, ao implementar restrições e políticas, pode ser parte de uma estratégia mais ampla para educar os usuários sobre a importância da segurança da informação.

 

Em resumo, o firewall desempenha um papel vital na proteção dos dados pessoais, ajudando as empresas a cumprir as disposições da LGPD e a construir uma postura robusta de segurança da informação em relação ao tratamento de dados pessoais.

Ler Mais

Proteção de dados no Brasil: Cinco anos de LGPD e o caminho pela frente

A Lei Geral de Proteção de Dados (LGPD) completou cinco anos de vigência no Brasil, representando um marco importante na legislação de privacidade e proteção de dados no país. Desde sua implementação em setembro de 2018, a LGPD tem promovido avanços significativos na maneira como as empresas coletam, armazenam e utilizam informações pessoais, bem como na conscientização dos cidadãos sobre seus direitos e no fortalecimento da segurança online. 

 

Elencamos os principais avanços desse cenário:

  • Fortalecimento da conscientização sobre privacidade:

A LGPD trouxe consigo uma maior conscientização sobre a importância da privacidade e da proteção de dados pessoais. As empresas passaram a ser mais transparentes em relação ao tratamento de informações dos usuários, tornando mais acessíveis suas políticas de privacidade. Os indivíduos, por sua vez, estão mais atentos aos seus direitos e têm meios de solicitar informações sobre como suas informações estão sendo usadas.

  • Fortalecimento da segurança de dados:

A LGPD também incentivou empresas a investirem na segurança cibernética. A regulamentação impôs a necessidade de medidas técnicas e administrativas para proteger os dados pessoais, o que levou a uma melhoria geral na proteção de informações sensíveis.

  • Criação da Autoridade Nacional de Proteção de Dados (ANPD):

Em setembro de 2021, a ANPD foi finalmente criada, fortalecendo ainda mais a implementação e fiscalização da LGPD no Brasil. A ANPD tem um papel fundamental na regulação e no cumprimento da legislação, bem como na orientação das empresas e dos cidadãos.

  • Fiscalização e aplicação de penalidades:

A LGPD prevê multas substanciais para empresas que não cumprem as regras de proteção de dados. Nos últimos anos, a ANPD aplicou sanções em algumas organizações que desrespeitaram a lei, demonstrando a seriedade das autoridades em garantir o cumprimento da LGPD.

 

Perspectivas para o Futuro:

À medida que a LGPD amadurece no Brasil, algumas perspectivas se destacam:

  • Aperfeiçoamento da regulação:

Espera-se que a ANPD continue aprimorando e esclarecendo as regulamentações, fornecendo orientações mais detalhadas sobre como as empresas devem cumprir a lei.

  • Maior investimento em proteção de dados digitais:

Com o aumento das ameaças cibernéticas em todo o mundo, as empresas devem continuar investindo em segurança de dados para garantir a conformidade com a LGPD e proteger as informações pessoais dos cidadãos.

  • Maior conscientização pública:

Os cidadãos devem se tornar mais conscientes de seus direitos de privacidade e se envolver ativamente na proteção de seus próprios dados.

  • Cooperação internacional:

À medida que as empresas brasileiras lidam com dados pessoais de cidadãos estrangeiros, a colaboração internacional na regulamentação e proteção de dados será essencial.

 

Em resumo, a LGPD no Brasil tem representado um passo importante na proteção da privacidade e na promoção de uma cultura de proteção de dados. À medida que a lei continua a amadurecer, é fundamental que as empresas e os cidadãos se adaptem às regulamentações e adotem práticas que respeitem a privacidade e a segurança dos dados. Isso não apenas beneficia os indivíduos, mas também fortalece a confiança no ambiente digital e impulsiona o crescimento sustentável da economia digital no Brasil.

Ler Mais

LGPD para micro e pequenas empresas: flexibilização facilita o processo de adequação

A Lei Geral de Proteção de Dados Pessoais (LGPD), criada para promover a proteção aos dados pessoais de todo cidadão que esteja no Brasil, entrou em vigor em 18 de setembro de 2020, com a publicação da lei 14.058/20. Visando facilitar a adequação de pequenos negócios, o Sebrae (Serviço Brasileiro de Apoio às Micro e Pequenas Empresas) e outras entidades realizaram uma parceria com o objetivo de dispensar algumas obrigações e simplificar processos para atender startups, micro e pequenas empresas.

A ANPD (Autoridade Nacional de Proteção de Dados) publicou no Diário Oficial da União a norma 2/2022 com todas as simplificações conquistadas através desta parceria. O texto não exime os pequenos negócios de cumprirem a lei de tratamento de dados. Entretanto, concede a elas diversos benefícios.

O que muda:

  • Simplificação do Registro de Operações de Tratamento (Inventário), de modo que a ANPD fornecerá modelo simplificado;
  • Procedimento simplificado de comunicação de incidentes de segurança, que contará com regulamentação específica a ser publicada pela ANPD;
  • Dispensa da obrigatoriedade de nomeação de uma pessoa como Encarregada de Dados (Data Protection Officer ou DPO), devendo manter apenas canal de comunicação para o exercício dos direitos dos titulares. No entanto, caso a empresa de pequeno porte opte pela nomeação do DPO, a indicação será considerada uma boa prática de governança pela ANPD;
  • Possibilidade de simplificação da Política de Segurança da Informação, contendo apenas os itens essenciais para a proteção de dados pessoais contra incidentes ou violações; 
  • Prazo em dobro para resposta às requisições dos titulares de dados e realização de comunicações em caso de incidentes de segurança, observada a regulamentação própria sobre o tema a ser publicada pela ANPD.

 Quais as penalidades previstas?

Desde 2021, a ANPD passou a ter autorização para aplicação das penalidades da LGPD a todas as empresas que descumprirem qualquer um dos normativos da Lei.

A multa prevista pela LGPD é de 2% do faturamento global anual da empresa, com teto de até R$ 50 milhões (multa máxima), aplicada a violações mais graves.

Além das multas, há a possibilidade de outras penalidades:

  • Advertência com prazo para adoção de medidas;
    Possibilidade de publicização da infração;
    Bloqueio dos dados pessoais até a sua regularização;
    Suspensão parcial por até seis meses do banco de dados envolvido;
    Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

 

Sobre a LGPD:

A lei surgiu para regulamentar as práticas de coleta e tratamento de dados que, muitas vezes, são feitas até mesmo sem o conhecimento do titular.  Desde sua publicação, todos os usuários passam a ter o direito de saber como as organizações coletam, armazenam e utilizam seus dados pessoais.

 

Fonte: www.sebrae.com.br/sites/PortalSebrae

Ler Mais

LGPD contribui para a proteção contra fraudes financeiras, saiba como ela pode evitar prejuízos financeiros a sua empresa

Brasil sofreu 2,8 mil tentativas de golpes por minuto em canais financeiros digitais no primeiro trimestre de 2023

Segundo o levantamento feito pela empresa de prevenção de fraudes e segurança digital CAF, a partir de dados do Banco Central, o mercado brasileiro sofreu 2,8 mil tentativas de fraudes financeiras por minuto nos canais eletrônicos ao longo do primeiro trimestre de 2023.

Dentre as atividades afetadas, os serviços financeiros tiveram o maior índice de tentativas de fraudes, registrando 1,73%. Em seguida, as transações financeiras em aplicativos de mobilidade, como carros de aplicativo e entregas, apresentaram uma taxa de 1,27%. Já o comércio eletrônico teve uma incidência de tentativas de fraude de 0,31% nos pagamentos online.

Além dos prejuízos gerados aos clientes, as empresas também precisam ficar atentas para não sofrer impactos financeiros. A LGPD (Lei Geral de Proteção de Dados) estabelece que todos os negócios possuem responsabilidade pelo tratamento adequado dos dados pessoais dos consumidores, ou seja, que são obrigados a adotar medidas preventivas para proteger essas informações. Isso leva as empresas a investirem em segurança e prevenção de fraudes, se ajustando a LGPD para evitar possíveis consequências legais e danos à sua reputação.

Esta lei foi criada em 2018 e tem como objetivo principal proteger os direitos de privacidade e dados pessoais dos cidadãos. Embora não tenha sido especificamente criada para combater fraudes financeiras em canais eletrônicos, ela estabelece diretrizes e requisitos que podem contribuir indiretamente para a proteção dos consumidores.

Entre as normas que devem ser seguidas estão requisitos específicos como: mapear todas atividades que tratam dados pessoais, bem como, informar claramente o propósito da coleta, armazenamento, compartilhamento, dar finalidade e enquadrar em alguma hipótese legal, também garantir a segurança dessas informações e adotar medidas para evitar o acesso não autorizado a elas.

É importante ressaltar que, o aumento da segurança proporcionado após a implementação da Lei Geral de Proteção de Dados, detecção de fraudes também dependem de outras medidas, como ações das instituições financeiras, monitoramento de atividades suspeitas, políticas internas de segurança, evitar clicar em links que não são confiáveis, entre outros. Além disso, é importante que os consumidores estejam sempre atentos e ao perceber qualquer sinal de problema comunique imediatamente seu banco, registre uma ocorrência policial e procure orientação legal sobre como proceder após ter sido vítima de fraude.

Ler Mais

A LEI GERAL DE PROTEÇÃO DE DADOS SE APLICA A MINHA EMPRESA?

Uma das primeiras dúvidas que as pessoas tem ao se deparar com a Lei Geral de Proteção de Dados Pessoais ou simplesmente LGPD é, a empresa ou organização em que eu trabalho precisa se preocupar com essa lei? Se essa pergunta for dirigida a um especialista na área, ela seria um categórico SIM. Mas quais são as fundamentações legais que sustentam essa resposta?

Destacamos inicialmente o artigo 3º da LGPD, no qual é mencionado que a lei se aplica a pessoas naturais e pessoas jurídicas de direito público ou privado quando estas estiverem realizando tratamento de dados pessoais.

Vamos entender os conceitos destacados neste artigo.

Começamos pela definição de pessoa natural, para isso recorremos ao Código Civil, que nos seus artigos 2º e 6º define que a personalidade civil da pessoa começa com o seu nascimento e que sua existência termina com sua morte, assim a pessoa natural seria uma pessoa física viva.

pessoa jurídica de direito público é mencionada no artigo 23 da LGPD o qual destaca que estas estão definidas no artigo 1º da Lei de Acesso à Informação, que por sua vez define as pessoas jurídicas de direito público como sendo: os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, e Judiciário e do Ministério Público, as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios, ou seja toda organização pública ou de economia mista.

pessoa jurídica de direito privado não tem uma menção explícita na LGPD, para tanto voltamos a recorrer ao Código Civil, o qual no seu artigo 44 define as pessoas jurídicas de direito privado como sendo: as associações, as sociedades, as fundações, as organizações religiosas, os partidos políticos e as empresas individuais de responsabilidade limitada, ou seja toda organização privada.

Precisamos agora entender o que é tratamento de dados pessoais.

O artigo 5º da lei define em seu parágrafo X que tratamento  é toda operação realizada com dados pessoais e para tanto exemplifica vinte atividades diferentes a saber: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, podemos dizer assim que qualquer ação realizada com o dado pessoal é uma atividade de tratamento.

Finalizamos o entendimento dos conceitos por dados pessoais. O artigo 5º da LGPD define no seu parágrafo I que dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável, ou seja, qualquer dado que permita de forma direta ou indireta a identificação de uma pessoa natural.

Importante destacar que a lei não se aplica, conforme o seu artigo 4º para as atividades de tratamento de dados pessoais realizados nas seguintes circunstâncias:

  • Por pessoa natural para fins exclusivamente particulares e não econômicos;
  • Para fins exclusivamente jornalístico, artísticos ou acadêmicos.
  • Para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais realizados por pessoa de direito público.
  • Quando os dados forem coletados fora do território nacional, sendo que a localização do titular é que determina o local da coleta.

Conclusão

Podemos assim dizer que todas as organizações estão sujeitas a Lei Geral de Proteção de Dados, independente da atividade econômica, para isso basta entender que todas as organizações, em maior ou menor grau, utilizam dados pessoais para realizar as suas operações, sejam dados de clientes pessoas físicas, sejam dos seus colaboradores ou até mesmo dados dos representantes de clientes e fornecedores pessoas jurídicas.

Referências

Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei 13.709 de 14 de agosto de 2018.
Código Civil – Lei 10.406 de 10 de janeiro de 2002.
Lei de Acesso à Informação – Lei 12.527 de 18 de novembro de 2011.

Ler Mais

CONTABILISTA, SEU ESCRITÓRIO ESTÁ ADEQUADO À LGPD?

Caro contabilista, se você não conseguiu responder a essa pergunta, seja porque não sabe o que é LGPD, ou porque não tem certeza do que é preciso fazer para se adequar ou ainda porque acreditava que isso não diz respeito ao seu escritório, esse artigo é para você.

O que é LGPD?

Primeiramente precisamos entender o que é a LGPD. Trata-se da lei nº 13.709, aprovada em agosto de 2018 e que trouxe uma série de obrigações a pessoas físicas ou jurídicas, quando estas realizam tratamento de dados pessoais nas suas operações de negócios.

Por dado pessoal a lei define como toda informação que possa de forma direta ou indireta identificar uma pessoa natural, ou seja, informações como nome, CPF, RG, endereço, profissão e até informações não tão obvias, como características físicas, endereço IP do computador, dentre outras.

Por tratamento de dado pessoal a lei define como qualquer atividade que utilize o dado pessoal para ser realizada, nesse ponto ela traz uma relação de vinte verbos que passam pela coleta, armazenamento, processamento, transmissão e a eliminação do dado pessoal.

Elucidado o conceito de tratamento de dados pessoais, fica claro que os escritórios contábeis realizam tratamento de dados pessoais nas suas atividades operacionais, logo as determinações impostas pela lei devem ser observadas e atendidas pelos escritórios.

“A lei foi criada com o intuito de garantir a privacidade das pessoas naturais, determinando que as empresas, ao se utilizarem de dados pessoais prezem pela manutenção dessa privacidade, adotando medidas eficazes de proteção dos dados utilizados.”

Um ponto importante é que a lei quebra um paradigma no que diz respeito a posse dos dados que as empresas utilizam, havia uma falsa percepção de que todos os dados que uma empresa utiliza são seus, porém quando se trata de dados pessoais, a lei deixa muito claro que esses dados não pertencem a organização, foram apenas cedidos pela pessoa ao qual eles se referem para a execução a atividade contratada e a sua utilização deve respeitar os direitos do dono desse dado, que a lei chama de titular de dado pessoal.

A lei propicia o empoderamento do titular de dado pessoal, obrigando a empresa ser o mais transparente possível nas atividades de tratamento de dados pessoais que realiza, sendo que nenhuma atividade de tratamento pode ser executada sem a ciência do titular do dado. Importante destacar que a lei traz dez princípios que devem ser respeitados pelas empresas quando realizarem as atividades de tratamento de dados pessoais e que cada tratamento seja realizado a partir do enquadramento deste em uma das dez hipóteses legais por ela definidos, ou seja, se o tratamento ferir algum dos princípios ou não possuir uma hipótese legal que permita sua realização, esse não deve ser realizado.

Como se adequar?

Uma vez que a gestão do escritório contábil esteja consciente que a lei diz respeito a sua empresa, esta deve buscar a sua adequação, a seguir são listados os principais aspectos a serem observados nesse processo:

Identificação dos titulares

Um escritório contábil trata dados de pelo menos três categorias de titulares de dados pessoais:

  • Colaboradores: os seus funcionários são pessoas naturais e os seus dados são utilizados pelo escritório contábil na relação empregado-empregador, isto desde o momento da sua contratação, passando pelas rotinas mensais de RH e não findando com a sua demissão, uma vez que a empresa deve manter os dados de ex-colaboradores por prazo legal determinado.
  • Clientes pessoas físicas: os clientes pessoas físicas, que contratam o escritório contábil para realização de trabalhos contábeis, como a Declaração do Imposto de Renda tem os seus dados pessoais tratados por essa organização.
  • Clientes pessoas jurídicas: os clientes pessoas jurídicas, por sua vez enviam dados dos seus colaboradores e clientes pessoas físicas para que o escritório contábil possa realizar suas atividades, dessa forma há atividade de tratamento nessa prestação de serviços também.

Mapeamento dos processos

Uma das atividades mais importantes para adequação a LGPD constitui no mapeamento dos processos das atividades que realizam tratamento de dados pessoais. A partir do mapeamento de cada processo, informações importantes são levantadas, como: quais dados pessoais são utilizados, qual o objetivo do tratamento, qual duração do tratamento, quais riscos a privacidade que a atividade incorre e quais são as medidas de segurança adotadas pela empresa.
Importante destacar que a lei obriga a empresa a manter um Registro da Operações de Tratamento de Dados Pessoais, esse registro apoiará a empresa em outras obrigações impostas pela lei.

Gerenciamento dos riscos

Como a lei visa a proteção dos dados pessoais, é importante que seja realizado um gerenciamento eficaz dos riscos que as atividades de tratamento incorrem, para tanto a empresa deve tratar os riscos identificados no mapeamento de processos e implementar respostas adequadas a esses riscos, de tal forma que a privacidade do titular seja assegurada.

Vale destacar aqui que a lei impõe a elaboração de um Relatório de Impacto à Proteção de Dados Pessoais, que demonstra quais são as atividades de tratamento realizadas, quais riscos essas atividades estão sujeitas e quais medidas protetivas a empresa adotou.

Resposta a incidentes

A lei traz algumas obrigações a empresa quando ocorrer algum incidente a segurança da informação, para o atendimento dessas obrigações é importante que a empresa possua um plano de resposta a incidentes previamente definido e treinado, uma vez que o incidente ocorrer a empresa conseguirá responder a esse incidente de forma rápida e eficaz, conforme determina lei.

Direito de resposta dos titulares

Outro ponto importante diz respeito ao atendimento aos direitos dos titulares, a lei define uma série de direitos de solicitações aos titulares, relacionados aos seus dados pessoais que são tratados pela empresa. Para atender a esse ponto a empresa deve estabelecer procedimentos que definam como, quando e por quem os diretos dos titulares serão atendidos.

Encarregado

A lei determina ainda que a empresa nomeie e divulgue um profissional que se tornará o encarregado pelo tratamento de dados pessoais no âmbito da organização. Esse profissional tem como objetivo garantir que a lei está sendo cumprida em toda organização.

Programa de governança em privacidade

Para o pleno atendimento as obrigações e responsabilidades impostas pela LGPD, a empresa deve instituir um programa de governança em privacidade, contemplando:

  • Definição de políticas;
  • Estabelecimento de procedimentos;
  • Atribuição de responsabilidades;
  • Gerenciamento contínuo dos riscos;
  • Realização de treinamentos;
  • Instituição de indicadores de monitoramento;
  • Realização de auditorias.

Um aspecto muito importante da lei está no princípio da responsabilização e da prestação de contas, ou seja, toda organização ao realizar o tratamento de dados pessoais, deve adotar boas práticas de segurança e a adoção dessas práticas deve ser clara e transparente, bem como os resultados da eficácia dessas práticas e isso só é possível por meio de um programa de governança em privacidade.

Referências

Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei 13.709 de 14 de agosto de 2018.

Ler Mais

LGPD: PROGRAMA OU PROJETO?

Quando se trata de adequação a Lei Geral de Proteção de Dados, é comum nos depararmos com a afirmações do tipo “A empresa X está implementando um Programa de Adequação a LGPD” ou “A empresa Y está executando um Projeto de Adequação a LGPD”, mas afinal, a adequação a LGPD é um Programa ou um Projeto.

Para desmistificar essa questão vamos entender primeiramente os conceitos definidos pelo PMBOK:

Projeto – É um esforço temporário empreendido a fim de se obter um resultado, produto ou serviço únicos.

Programa – É um conjunto de projetos, programas subsidiários e atividades de programas, executados coordenadamente para se obter benefícios que não estariam disponíveis se estes fossem realizados separadamente.

Para obter a conformidade com a LGPD, a organização precisa executar um projeto de adequação, partindo de um escopo baseado nas exigências da lei, que será executado dentro de um prazo definido, a custo previamente aprovado. Porém a organização não deve apenas obter a conformidade, mas também mantê-la, dessa forma o projeto de adequação constitui o primeiro grande esforço que a organização deve empreender a fim de obter a conformidade legal. Esse esforço deverá a seu término estabelecer um Programa de Governança em Privacidade, que permitirá a organização executar ações permanentes visando a manutenção da conformidade.

Assim podemos dizer que a adequação inicial é um projeto, porém tendo em mente que este faz parte de algo maior e duradouro que consiste em um programa.

Referência

PMBOK – Project Management Body Of Knowledge 6ª Edição

Ler Mais