Escolar Documentos
Profissional Documentos
Cultura Documentos
Para responder a primeira pergunta, é necessário compreender que a norma: (i) define
como dado pessoal qualquer informação que identifique diretamente ou torne
identificável uma pessoa natural; e (ii) designa como tratamento qualquer operação de
coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou
controle da informação, modificação, comunicação, transferência, difusão ou extração
deste dado.
Quanto ao segundo questionamento, os usuários, por sua vez, têm direito de: (a)
acesso aos dados pessoais que porventura sejam tratados e, consequentemente,
garantia da retificação e atualização destes; (b) tratamento de suas informações
pessoais somente mediante expresso consentimento, sendo realizada de maneira
fácil e gratuita a exclusão dos dados do respectivo banco; e (c) portabilidade,
permitindo que referidos dados possam ser encaminhados a outras empresas que
também performem o seu tratamento.
Com base nas duas respostas acima, tem-se plena certeza de que a nova norma
impactará as operações de inúmeras empresas, nacionais e multinacionais, o que leva ao
terceiro e mais importante questionamento, cuja resposta é o objeto da presente série de
pequenos artigos:
No primeiro Capítulo da Série “LGPD na Prática” ficou claro que a grande maioria das
empresas será afetada, direta ou indiretamente, pela nova regulamentação brasileira em
virtude dos novos direitos dos usuários titulares de dados, o que fez surgir, por
conseguinte, inúmeras obrigações legais a serem respeitadas por essas organizações
dentro do prazo estabelecido, ou seja, até 15 de agosto de 2020.
À primeira vista, o prazo legal para adequação à norma pode até parecer elastecido,
contudo uma análise mais apurada não só dos encargos legais, mas, principalmente, da
realidade das organizações, mostra a necessidade de se iniciar imediatamente um
projeto estruturado para harmonização de suas operações às novas regras.
Após verificar quais são as empresas afetadas pela Lei Geral de Proteção de Dados
(LGDP) e como manter uma estrutura de governança de dados dentro da organização,
temas que foram trabalhados nos dos dois primeiros capítulos dessa série, passo a
abordar como preservar um inventário de dados pessoais e mecanismos de transferência
de dados.
Nos três primeiros capítulos da Série “LGPD na Prática”, esclareci quais são as
empresas afetadas pela Lei Geral de Proteção de Dados (LGDP), como manter uma
estrutura de governança de dados dentro da organização e como preservar um inventário
de dados pessoais e mecanismos de transferência.
No próximo capítulo, irei discorrer sobre como incorporar uma política de privacidade
de dados às suas operações.
Após identificar quais são as empresas afetadas pela Lei Geral de Proteção de Dados
(LGDP), como manter uma estrutura de governança de dados dentro da
organização, como preservar um inventário de dados pessoais e mecanismos de
transferência, como implementar uma política de privacidade de dados e como a nova
regulamentação influenciará nas rotinas, a Série “LGPD na Prática” desembarca no pilar
treinamento e comunicação, capítulo no qual passarei a discorrer sobre a melhor forma
de promover a conformidade com as normas internas e externas por meio da interação
com os colaboradores e parceiros de negócios.
Se em capítulos anteriores foi possível apontar quais são as empresas afetadas pela Lei
Geral de Proteção de Dados (LGDP), qual a melhor forma para implementar e manter
uma estrutura de governança de dados, como preservar um inventário de dados pessoais
e mecanismos de transferência, de que maneira deve-se executar uma política de
privacidade, como a nova regulamentação influenciará nas rotinas e como cumprir um
cronograma interno de treinamento e comunicação, neste sétimo artigo irei explanar de
que modo deve-se gerenciar os riscos relacionados à segurança da informação, ou seja,
como manter um sistema baseado nos requisitos legais e nas principais ameaças as quais
a organização está submetida.
Nesse sentido, cito algumas medidas a serem adotadas para aperfeiçoar ou sofisticar o
gerenciamento dos riscos:
Quando me propus a falar sobre “LGPD na Prática”, não podia imaginar quão complexo
seria o tema.
Muito se fala sobre a nova regulamentação, principalmente sob o aspecto legal, mas a
dificuldade para transportar os direitos dos usuários e as obrigações das empresas para o
dia a dia das organizações é grande. É necessário sair do campo do dever ser, da norma
em si, para entender quais são os impactos da lei nos negócios.
Já identifiquei, em capítulos anteriores, quais são as empresas afetadas pela Lei Geral de
Proteção de Dados (LGDP), como implementar e preservar uma estrutura de
governança de dados, como fazer um inventário de dados pessoais e mecanismos de
transferência, o que é e como adotar uma política de privacidade, a relação entre a nova
regulamentação e as rotinas de várias áreas de uma organização, como treinar e
comunicar e de que maneira deve-se gerenciar os riscos relacionados à segurança da
informação.
1. Fazer uma lista de todas as soluções de terceiro atualmente usadas pela empresa
relacionadas ao tratamento e processamento de dados, fase que deve ser completada
quando do inventário de dados, quando do mapeamento do ciclo de vida destes e dos
caminhos a serem percorridos entre servidores
No nono capítulo desta sequência, meu objetivo principal é discorrer brevemente sobre
algumas medidas para preparar avisos legais e certificar ao usuário o compromisso da
organização para com a privacidade de dados, em consonância com as políticas
corporativas, os requisitos normativos nacionais e internacionais e com uma análise
prévia de riscos.
3. Manter scripts para uso pelos colaboradores, em especial nas organizações que
coletam dados pessoais pelo telefone ou pessoalmente, de modo que os titulares dos
dados possam ser devidamente informados sobre a motivação e destinação das
informações pessoais coletadas.
Nos capítulos anteriores da série “LGPD na Prática” foi possível fazer um overview de
quais empresas são impactadas pela nova regulamentação, como implementar e manter
uma estrutura de governança de dados, qual a melhor maneira de implementar um
processo de inventário de dados pessoais e mecanismos de transferência, como adotar
uma política de privacidade, entender como a nova lei afeta as rotinas da organização,
qual a forma mais eficaz de implantar um cronograma de treinamento e
comunicação, como mapear e gerenciar riscos de segurança da informação e de
terceiros e a aplicação prática dos avisos legais (“disclaimers“).