Nova Lei de Proteção de Dados e o Desafio da Segurança Digital

Com a entrada em vigor da LGPD (Lei Geral de Proteção de Dados), surgiram desafios de toda ordem. Inicialmente, a familiarização das pessoas com a nova linguagem no que se refere à privacidade e proteção de dados pessoais, uma vez que nossa lei tem inspiração na GDPR (General Data Protection) – legislação europeia. O PS SOLUÇÕES COMPLIANCE (programa de integridade da empresa) já previa, em sua concepção, algumas normas gerais sobre data protection, data privacy e cyber security)que não se mostraram suficientes, dadas as especificidades dos temas propostos pela nova lei.

Alguns conceitos são essenciais para a compreensão, aplicação e alcance da lei e aqui os apresentamos de forma sintética, uma vez que teremos oportunidades de aprofundar nos temas, à medida que formos implementando políticas complementares:

DADO PESSOAL: informação relacionada à pessoa natural (identificada ou identificável);

DADO SENSÍVEL: diz respeito à origem racial/étnico, sentimento religioso, sindicalização ou participação política, genética, biometria, sexualidade, estado civil, saúde etc.

BANCO DE DADOS: conjunto estruturado de dados pessoais, estabelecidos em vários sítios, físicos ou digitais;

TITULAR DE DADOS: é a pessoa a quem se referem os dados;

CONTROLADOR: é a pessoa natural ou jurídica, de Direito Público ou privado, a quem competem decisões sobre o tratamento de dados;

OPERADOR: pessoa física ou jurídica, de Direito Público ou Privado que receba a responsabilidade pelo tratamento de dados em nome do controlador

ENCARREGADO DE DADOS: é a pessoa indicada pelo controlador para fazer a gestão de operações de tratamento de dados. É o canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD – Agência Nacional da Proteção de Dados);

TRATAMENTO: é toda operação realizada com dados pessoais – coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle, modificação, comunicação, transparência, difusão ou anonimização;

Cabe ao controlador comunicar à autoridade nacional de proteção de dados, e, ao titular, a ocorrência de incidente de segurança, indicando as medidas adotadas para mitigação e reversão dos danos, resguardados o segredo industrial e comercial. Vivemos o que os especialistas chamam de sociedade da informação. A incorporação de tecnologias ao nosso cotidiano, faz surgir novos negócios com tecnologias disruptivas, baseadas em dados, que passam a ter alto valor financeiro (UBER, ARBNB, LOGGI, I FOOD etc.). Na sociedade de informação, as decisões sobre negócios são tomadas com base em dados.

A evolução da internet é um fator de rápidas transformações nos cenários econômicos e tecnológicos mundiais, lembrando que saímos dos modelos de internet de conteúdo (repositório de informações), seguindo para a internet de pessoas (dados pessoais), avançando para a internet das coisas (outros objetos permitem conexão) até chegarmos à internet de valor (transferência de valores via internet: Cripto moeda e block chain são exemplos).

Apesar de toda evolução tecnológica ainda estamos diante de um cenário que inspira cautela, pois apesar de reputações de pessoas e empresas estarem, paulatinamente, sendo definidas, conforme sua presença digital, estamos falando do mesmo mundo, onde coabitam os excluídos digitais. E ainda de nativos digitais que tem enorme habilidade no uso da tecnologia, mas faltam-lhes educação e ética, que por sua vez, coabitam com a geração que recebeu educação e ética, mas que, no entanto, não tem formação tecnológica.

O barateamento das tecnologias favoreceu mais acessos e a circulação rápida e eficiente de mais informações e com isso, em sentido diametralmente oposto se sofisticaram os abusos. Por isso s importância de normas de proteção de dados e privacidade. A internet não tem fronteiras, então os países têm que se preocupar em criar normas para a circulação segura de dados. Nesse contexto, buscamos nos adequar à nova realidade, complementando nossas normas gerais com políticas específicas, a fim de dar efetividade à Lei Geral de Proteção de Dados, adequando nossos contratos e negócios às novas diretrizes. As políticas que se seguem são de aplicação obrigatória para os nossos agentes interno e a todos que vierem fazer negócios com a PS SOLUÇÕES.

NORMAS GERAIS

    1. Acompanhar e oferecer apoio especializado na implantação de políticas de proteção de dados;
    2. Abastecer o registro de tratamento de dados com informações sobre procedimentos, pessoas e fatos;
    3. Informar ao PS SOLUÇÕES COMPLIANCE sobre eventuais acessos indevidos, vazamentos, cyber ataques, comércio de dados em dark web, exposições de dados em qualquer meio controlado pela empresa ou, captura deles;
    4. Orientar aos demais agentes internos, terceirizados e intermediários sobre suas responsabilidades ao tratar ou transitar dados cuja empresa é controladora;
    5. Cumprir modelo de gestão e governança de dados adotado pela empresa, que por sua vez, é o híbrido, pois centraliza atividades técnicas e determinados procedimentos, de segurança e acesso à Unidade de TI. O controle normativo, comunicação, report, reclamação e aplicação de medidas de proteção e educativas são delegados ao compliance officer e atribuições correlatas às funções de outros agentes que tem acesso a dados, a fim de agilizar a execução de suas atividades, permitindo-lhes o tratamento de informações (RH, financeiro, contabilidade), sendo que qualquer atividade de tratamento (atualização, correção, anonimização etc.), devem ser comunicadas e registradas no ROPA (registro de tratamento de dados);
    6. Nossos modelos são apropriados ao tamanho da empresa e condizentes com o fluxo de tratamento de dados, podendo ser adotada outra estrutura na medida da evolução e aumento dos procedimentos, para tanto, os procedimentos devem ser revisados periodicamente e sempre que houver necessidade;
    7. É dever de todos que tratam dados na empresa conhecer os riscos de operação e solicitar apoio da unidade de TI, sempre que houver dúvidas sobre o procedimento de tratamento, ou consultar o Compliance Officer sempre que houver divergência entre o procedimento e a lei;
    8. É obrigatória a manutenção dos registros de tratamento de dados (legítimo interesse – art. 37 LGPD);
    9. Participar de treinamentos de proteção de dados e disseminar a cultura de registro de tratamento;
    10. É obrigatória a observância da LGPD e demais normativas publicadas pela ANPD, em todas as operações de tratamento de dados http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm.
    11. O controlador deverá elaborar relatório de impacto contendo a descrição dos dados coletados, metodologia de coleta, medidas de segurança e mitigação dos riscos, caso seja solicitado pela ANPD, observados os segredos comercial e industrial;
    12. O operador só poderá atuar e tratar dados dentro dos limites permitidos pelo controlador;
    13. O controlador ou operador, que em razão de suas atividades causar danos a outrem, será obrigado e repará-los, assegurando indenização ao titular de dados, não afastada a responsabilidade solidária, admitida ação em regresso;
    14. Cabe ao controlador indicar publicamente o encarregado/operador de dados e o mesmo pode ser dispensado pela ANPD. Cabe ao encarregado de dados:

I – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – Receber comunicações da autoridade nacional e adotar providências;

III – Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

SEGURANÇA E SIGILO DE DADOS

  1. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, sendo obrigatórias a adoção dessas medidas da concepção do produto ou serviço até sua execução.
  2. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.
  3. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
  4. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei e às demais normas regulamentares.

BOAS PRÁTICAS E GOVERNANÇA

  1. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
  2. A PS SOLUÇÕES prevê em seu programa de integridade normas gerais sobre proteção de dados e neste ato, políticas específicas de proteção de dados em conformidade com a lei federal:

I – Implementa programa de governança em privacidade que, no mínimo:

  • a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
  • b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
  • c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
  • d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
  • e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
  • f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
  • g) conte com planos de resposta a incidentes e remediação;
  • h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
  • i) As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.

Dando efetividade aos princípios da prevenção, transparência, segurança, finalidade, necessidade e adequação, o PS SOLUÇÕES COMPLIANCE vem intensificar seu compromisso com a proteção de dados, explicitando, através dessas políticas, nosso esforço de adequação, tornando de conhecimento público, as bases legais, que ratificam as operações de tratamento de dados. Estamos trabalhando incansavelmente para que o nome PS SOLUÇÕES seja sinônimo de excelência, boas práticas, ética, segurança jurídica e integridade. ESTAMOS JUNTOS!

Andréa M. G. Leandro
Compliance Officer – CPC-A

Compartilhe

Comentários

  1. https://www.pssolucoes.com.br/nova-lei-de-protecao-de-dados-e-o-desafio-da-seguranca-digital/
    Convido a todos a conhecerem um pouco mais sobre o tema e saber quais são as diretrizes mais recentes da empresa em relação a proteção de dados e privacidade. Temos trabalhado incansavelmente para manter nossos marcos regulatórios em qualquer setor. E aqui vai um texto que pode te esclarecer algumas dúvidas e te colocar a par das novas políticas adotadas pela PS SOLUÇÕES. Leia! Comente! Compartilhe! Seu feedback e valioso para nós! Até breve!