Programa de adequação à Lei Geral de Proteção de Dados

Não obstante a LGPD tenha entrado em vigor em 2020, as empresas ainda buscam se adequar às novas realidades. As medidas administrativas passam a ser aplicadas a partir de primeiro de agosto de 2021, pela recém-criada Agência Nacional de Proteção de dados ANPD). As micro, pequenas e empresas de pequeno porte, além de não poderem contar com um orçamento que agilize a adequação, ainda enfrentam o desafio adicional de aguardar o surgimento de regulamentação especial. Espera-se a edição de normas, orientações e procedimentos simplificados e diferenciados para microempresas, empresas de pequeno porte, de caráter disruptivo, startups e empresas de inovação.

Independentemente do segmento de mercado, tamanho ou natureza, todas as pessoas, físicas ou jurídicas terão que se adequar à nova lei. A legislação diferenciada, para segmentos diferenciados traria facilidades e o ajuste adequado à nova realidade, minimizando os impactos financeiros e evitando o fechamento de muitas dessas empresas, que já sofrem perdas com os abalos da pandemia.

A PS SOLUÇÕES e seu Compliance deram início, no primeiro semestre de 2020, a uma série de ações no sentido de pavimentar um background check de riscos e estudar maneiras eficientes de aplicar os preceitos da nova lei, nas realidades da empresa. Consultoria em segurança digital foi contratada ainda em 2020 para fazer levantamentos de riscos e apresentar soluções tecnológicas para conter ações maliciosas de invasores e hackers, bem como levantar a possibilidade de ocorrência de outros tipos de incidentes nessa linha. No que diz respeito à normatização interna, o Livro azul de Políticas de Integridade da empresa, o Código de ética e Conduta, já previam normas relativas à privacidade, proteção de dados e segurança digital https://www.pssolucoes.com.br/compliance-integridade/. Após estudos, o Compliance, com apoio irrestrito da Diretoria executiva deu início a uma série de ações prévias de conscientização do contingente interno de agentes de dados e criou o que chamamos de PROGRAMA DE ADEQUAÇÃO À LEI GERAL DE PROTEÇÃO DE DADOS.

O volume de dados e as finalidades de tratamento, ainda não justificam a empresa ter um programa de compliance exclusivo para operações de tratamento de dados. Assim acrescentamos na estrutura de compliance, já existente, um conjunto de medidas instrumentais para cumprimento da lei. Prevenção, detecção e resposta continuam sendo as palavras mágicas que ditarão o ritmo das ações de adequação à nova realidade, que alcançará a todos, indistintamente. Animados pelos desafios que a nova lei nos impõe, teremos nessa sexta feira, 16 de julho, um colóquio para todas as equipes: LEI GERAL DE PROTEÇÃO DE DADOS: DIRETRIZES E BASES (OVERVIEW), com observância irrestrita das normas de distanciamento e segurança, que culminará na assinatura do Termo de Consentimento de Tratamento de dados. No que tange às normas referentes à privacidade e proteção de dados, editamos as que se seguem no intuito de alcançar nossos agentes internos e externos de tratamento. Não é um rol exaustivo de diretivas, uma vez que aguardamos a edição de regulamentações da ANPD que tragam equidade no tratamento de empresas do nosso seguimento.

Informamos que a empresa não criou um novo canal de comunicação para Privacidade e Proteção de dados. As comunicações devem ser realizadas no canal de report já existente no site https://www.pssolucoes.com.br/linha-etica-e-comunicacao/.

NORMAS GERAIS

1. Acompanhar e oferecer apoio especializado na implantação de políticas de proteção de dados;
2. Abastecer o registro de tratamento de dados com informações sobre procedimentos, pessoas e fatos (ROPA);
3. Informar ao PS SOLUÇÕES COMPLIANCE sobre eventuais acessos indevidos, vazamentos, cyber ataques, comércio de dados em dark web, exposições de dados em qualquer meio controlado pela empresa ou captura deles;
4. Orientar aos demais agentes internos, terceirizados e intermediários sobre suas responsabilidades ao tratar ou transitar dados cuja empresa é controladora;
5. Cumprir modelo de gestão e governança de dados adotado pela empresa, que por sua vez, é o híbrido, pois centraliza atividades técnicas e determinados procedimentos, de segurança e acesso à Unidade de TI. O controle normativo, comunicação, report, reclamação e aplicação de medidas de proteção e educativas são delegados ao compliance officer e atribuições correlatas às funções de outros agentes que tem acesso a dados, a fim de agilizar a execução de suas atividades, permitindo-lhes o tratamento de informações (RH, financeiro, contabilidade), sendo que qualquer atividade de tratamento (atualização, correção, anonimização, etc.), devem ser comunicadas e registradas no ROPA (registro de tratamento de dados);
6. Nossos modelos são apropriados ao tamanho da empresa e condizentes com o fluxo de tratamento de dados, podendo ser adotada outra estrutura na medida da evolução e aumento dos procedimentos, para tanto, os procedimentos devem ser revisados periodicamente e sempre que houver necessidade;
7. É dever de todos que tratam dados na empresa conhecer os riscos de operação e solicitar apoio da unidade de TI, sempre que houver dúvidas sobre o procedimento de tratamento, ou consultar o Compliance Officer sempre que houver divergência entre o procedimento e a lei;
8. É obrigatória a manutenção dos registros de tratamento de dados (legítimo interesse – art. 37 LGPD);
9. Participar de treinamentos de proteção de dados e disseminar a cultura de registro de tratamento;
10. É obrigatória a observância da LGPD e demais normativas publicadas pela ANPD, em todas as operações de tratamento de dados http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm.
11. O controlador deverá elaborar relatório de impacto contendo a descrição dos dados coletados, metodologia de coleta, medidas de segurança e mitigação dos riscos, caso seja solicitado pela ANPD, observados os segredos comercial e industrial;
12. O operador só poderá atuar e tratar dados dentro dos limites permitidos pelo controlador;
13. Cabe ao controlador indicar publicamente o encarregado/operador de dados e o mesmo pode ser dispensado pela ANPD. Cabe ao encarregado de dados:
    • I – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
    • II – Receber comunicações da autoridade nacional e adotar providências;
    • III – Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
    • IV – Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
14. O controlador ou operador, que em razão de suas atividades causar danos a outrem, será obrigado e repará-los, assegurando indenização ao titular de dados, não afastada a responsabilidade solidária, admitida ação em regresso;

SEGURANÇA E SIGILO DE DADOS

1. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, sendo obrigatórias a adoção dessas medidas da concepção do produto (privacy by design /by default) ou serviço até sua execução. A organização deve garantir que a privacidade seja incorporada ao sistema durante todo o ciclo de vida. Também deve assegurar a segurança das informações de ponta a ponta.
2. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.
3. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
4. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei e às demais normas regulamentares.

 

BOAS PRÁTICAS E GOVERNANÇA

1. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
2. A PS SOLUÇÕES prevê em seu programa de integridade normas gerais sobre proteção de dados e neste ato, políticas específicas de proteção de dados em conformidade com a lei federal:
   • I – Implementa programa de governança em privacidade que, no mínimo:
   • a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
   • b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
   • c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
   • d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
   • e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
   • f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
   • g) conte com planos de resposta a incidentes e remediação;
   • h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
   • i) As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.

Não acreditamos que a falta de normatização específica seja empecilho para não se adequar. Dessa forma, de maneira criativa e econômica, vamos nos adequando à LGPD e tornando nossa empresa segura e confiável. Seguimos trabalhando “Por consciência e Integridade!”. Esperamos caminhar em direção ao futuro de grandes avanços tecnológicos e inovações, pensando em crescimento sustentável, valorizando o ser humano e dando o nosso melhor para continuarmos sendo uma empresa reconhecidamente cumpridora da lei.

 

Andréa M. G. Leandro
Compliance Officer (CPC-A/DPO)