O que é Gestão de Riscos de Privacidade?

A gestão de riscos de privacidade consiste em identificar, analisar, avaliar e tratar os riscos relacionados ao tratamento de dados pessoais, garantindo conformidade com a LGPD e protegendo os direitos dos titulares.

A ISO 31000, norma internacional para gestão de riscos, oferece uma abordagem estruturada que pode ser adaptada a qualquer organização, independentemente do porte ou setor. Outra ferramenta muito útil é o Manual de Gestão de Riscos do TCU complementa essa visão com diretrizes práticas para o setor público e privado no Brasil.

No contexto da LGPD, os riscos de privacidade incluem vazamentos de dados, uso indevido de informações pessoais, multas regulatórias e danos à reputação. Um processo bem implementado não apenas mitiga esses riscos, mas também fortalece a governança corporativa.

Fundamentos do Processo de Gestão de Riscos de Privacidade

A gestão de riscos de privacidade representa um componente estratégico para organizações que buscam conformidade regulatória e proteção efetiva de dados pessoais. Quando estruturada segundo a ISO 31000, o processo de gestão de riscos segue uma estrutura cíclica e contínua, com etapas bem definidas:

1. Comunicação e consulta;
2. Estabelecimento do contexto organizacional;
3. Processo de avaliação de riscos, incluindo:
   • Identificação de riscos;
   • Análise de riscos;
   • Avaliação de riscos;
4. Tratamento dos riscos identificados;
5. Monitoramento e análise crítica;
6. Documentação do processo.

Vamos explorar cada etapa adaptada ao contexto específico da privacidade de dados.

Comunicação e Consulta: Diálogo e Consulta Colaborativa

O primeiro pilar de uma gestão de riscos eficaz é a comunicação transparente. Esta etapa permeia todo o processo e envolve o diálogo contínuo com todos os interessados, incluindo:

• Equipes internas (TI, jurídico, operações);
• Liderança organizacional;
• Parceiros de negócios.

Uma comunicação e consulta eficaz permite capturar perspectivas diversas sobre riscos de privacidade, garantindo que diferentes preocupações sejam consideradas. Recomenda-se desenvolver um plano estruturado de comunicação que defina canais, frequência e responsáveis pelo compartilhamento de informações relevantes, que deve permear todo o processo de gestão de riscos.

Contextualização Organizacional

Antes de identificar riscos específicos, é essencial compreender o ambiente interno e externo em que a organização opera. Esta etapa envolve:

• Mapear quais objetivos ou resultados devem ser alcançados relacionados à privacidade;
• Levantamento dos processos relevantes para o alcance dos objetivos e resultados;
• Identificar os atores envolvidos;
• Análise do ambiente regulatório (LGPD e outras normas aplicáveis);
• Identificação das expectativas dos stakeholders e titulares de dados;
• Levantamento de restrições operacionais e tecnológicas;
• Compreensão da cultura organizacional em relação à privacidade.

A contextualização permite estabelecer parâmetros para as próximas etapas e deve ser documentada de forma clara.

Nesta etapa, importante também que sejam definidos os critérios de risco, como a probabilidade de um vazamento e o impacto financeiro ou reputacional.

A documentação dessa etapa geralmente inclui:

• Uma descrição objetiva e concisa dos propósitos organizacionais, dos elementos cruciais para alcançar o sucesso e uma avaliação detalhada das condições internas e externas do ambiente (como na análise SWOT);
• Uma análise dos grupos de interesse, considerando seus objetivos e preocupações (utilizando ferramentas como a análise de stakeholders, RECI ou matriz de responsabilidades);
• A definição dos principais parâmetros para análise e avaliação dos níveis de risco, englobando escalas de probabilidade e impacto, além de diretrizes para determinar a aceitabilidade ou tolerância ao risco, bem como para priorização e tratamento (ou respostas) relacionados aos riscos identificados.

Processo Tripartite de Avaliação de Riscos

Identificação de Riscos: Mapeando Vulnerabilidades de Privacidade

A identificação de riscos busca descobrir e registrar eventos potenciais que possam comprometer a privacidade dos dados de forma ampla. O objetivo é produzir uma lista abrangente de riscos, incluindo causas, fontes e eventos, que
possam ter um impacto no alcance dos objetivos identificados na etapa anterior.

Métodos eficazes incluem:

• Workshops colaborativos com equipes multidisciplinares;
• Análise de fluxos de dados pessoais na organização;
• Revisão de incidentes anteriores (próprios ou do setor);
• Consulta a especialistas em privacidade;
• Técnicas de brainstorming estruturado.

O resultado deve ser uma lista abrangente de riscos específicos, cada um contendo os seguintes componentes:

1. Descrição do evento de risco;
2. Causas potenciais;
3. Consequências possíveis para a organização e titulares de dados.

A documentação dessa etapa geralmente inclui pelo menos:

1. o escopo do processo, projeto ou atividade coberto pela identificação;
2. os participantes do processo de identificação;
3. a abordagem ou o método utiliza do para identificação dos riscos e as fontes de informação consultadas;
4. o registro dos riscos identificados com seus componentes como acima listado.

Análise de Riscos: Quantificando o Risco de Privacidade

Após identificar os riscos, é necessário analisá-los para determinar seu nível, isto é, sua magnitude.

A análise dos riscos segue os seguintes passos:

1. Avaliar o impacto do risco sobre o objetivo;
2. Avaliar a probabilidade de ocorrência do risco;
3. Definir o nível do risco com base na matriz probabilidade x impacto.

Uma metodologia possível é utilizar escalas para probabilidade (1-15) e impacto (1-5), multiplicando-as para obter um nível de risco inerente. Por exemplo:

Escala de Probabilidade:

Escala de Impacto:

Para cada risco, também se deve avaliar os controles existentes, determinando um nível de confiança que reflita sua eficácia. O risco residual pode então ser calculado, considerando o efeito mitigador destes controles. “Os controles incluem qual quer processo, política, dispositivo, prática ou outras ações e medidas que a gestão adota com o objetivo de modificar o nível de risco” (ISO 31000). Se um controle tem nível de confiança (NC) de 60%, o risco residual será:

NRR = NRI x (1 – NC)
NRR = 40 x (1 – 0,6) = 16 (baixo)

A etapa de análise de riscos é registrada no documento chamado registro de riscos, que normalmente abrange os seguintes itens:

1. O método ou abordagem adotado para a análise, as fontes de informação utilizadas e os participantes envolvidos no processo;
2. Os critérios aplicados para classificar a probabilidade e o impacto dos riscos;
3. A probabilidade de ocorrência de cada evento identificado, a magnitude ou gravidade dos impactos nos objetivos e suas descrições, além de considerações sobre a análise desses aspectos e o resultado de sua combinação, denominado risco inerente;
4. A descrição dos controles existentes, incluindo uma avaliação de sua eficácia, gerando assim o risco de controle;
5. O nível de risco residual, que surge da combinação dos riscos inerente e de controle.

Avaliação de Riscos: Priorizando Ações de Privacidade

A etapa de avaliação compara os níveis de risco obtidos com os critérios estabelecidos durante a contextualização., ou seja, utiliza os níveis de risco calculados para avaliar se eles estão dentro do apetite a risco da organização. Riscos altos exigem ação imediata, enquanto riscos baixos podem ser monitorados.

Esta comparação permite:

• Classificar riscos em categorias (baixo, médio, alto, extremo);
• Determinar quais riscos exigem tratamento imediato;
• Estabelecer prioridades de ação;
• Identificar riscos que podem ser aceitos sem ação adicional.

Uma possível classificação seria:

• Risco Baixo (0-9): Monitoramento periódico, sem ações imediatas;
• Risco Médio (10-39): Atenção gerencial, controles regulares;
• Risco Alto (40-79): Ação necessária, comunicação à alta gestão;
• Risco Extremo (80-100): Resposta imediata, escalação urgente.

Tratamento de Riscos

Com base na avaliação, a organização deve selecionar estratégias apropriadas para modificar o nível de risco, especialmente daqueles com risco significativo. Estas estratégias incluem:

• Evitar: Eliminar a atividade que gera o risco (ex: descontinuar coleta de dados sensíveis desnecessários);
• Mitigar: Implementar controles para reduzir probabilidade ou impacto (ex: anonimização, criptografia);
• Transferir: Compartilhar o risco com terceiros (ex: seguro cibernético, termos contratuais);
• Aceitar: Reconhecer e tolerar o risco sem ação adicional (para riscos baixos ou com mitigação muito custosa).

Escolher a alternativa mais apropriada requer balancear, por um lado, os custos e esforços necessários para sua implementação, e, por outro, os benefícios que ela pode proporcionar. Para cada risco que requer tratamento, deve-se desenvolver um plano que especifique:

1. Ação proposta e os recursos necessários;
2. As razões para sua escolha e o resultado esperado;
3. Responsáveis pela aprovação e implementação
4. Prazo para conclusão;
5. Métrica para medir eficácia;
6. Formas de monitoramento.

Monitoramento e Análise Crítica

O ambiente de privacidade evolui constantemente, com novas ameaças, regulamentações e tecnologias surgindo regularmente. Por isso, a gestão de riscos é um processo contínuo, da mesma forma que seu monitoramento. Monitore os controles, revise os planos e ajuste as estratégias conforme o contexto muda.

O monitoramento contínuo é essencial e deve:

• Verificar a implementação das medidas de tratamento;
• Avaliar a eficácia dos controles existentes;
• Identificar mudanças no contexto que afetam o perfil de risco;
• Detectar novos riscos emergentes;
• Capturar lições aprendidas com incidentes.

Mecanismos eficazes de monitoramento podem incluir:

• Auditorias periódicas de privacidade;
• Indicadores-chave de risco (KRIs);
• Revisões pós-incidente;
• Testes de controles;
• Feedback de titulares de dados.

Documentação e Registro

Por fim, todo o processo de gestão de riscos deve ser adequadamente documentado para:

• Demonstrar conformidade regulatória (accountability);
• Facilitar a revisão e melhoria do processo;
• Permitir a aprendizagem organizacional;
• Apoiar a tomada de decisão;
• Fornecer evidências em caso de questionamentos.

A documentação deve ser clara, concisa e acessível aos responsáveis, incluindo um registro centralizado de riscos que capture todas as informações relevantes sobre cada risco identificado.

Conclusão

Uma abordagem estruturada para gestão de riscos de privacidade, inspirada na ISO 31000, fornece às organizações um método sistemático para proteger dados pessoais e assegurar conformidade regulatória. Mais que uma obrigação legal, esta prática representa uma oportunidade para construir confiança com os titulares de dados e diferenciar-se no mercado.

Ao implementar este processo, as organizações não apenas reduzem o risco de sanções e danos reputacionais, mas também demonstram compromisso genuíno com a privacidade como valor fundamental do negócio.

Este artigo foi elaborado com base nos princípios da norma ISO 31000 e nas melhores práticas de gestão de riscos, adaptados especificamente para o contexto da privacidade de dados e conformidade com a LGPD.

The post Gestão de Riscos de Privacidade appeared first on Avinto.

1. Fundamentos de um Programa de Governança em Privacidade

A governança em privacidade define a direção estratégica de uma organização no que diz respeito à proteção de dados. Ela não se limita à conformidade legal, mas também reflete o compromisso com os objetivos empresariais. Elementos centrais incluem:

• Missão e visão de privacidade: alinhadas aos valores organizacionais.
• Delimitação do escopo: identificando processos e dados regulados.
• Framework de governança: estruturando políticas e práticas específicas.
• Estratégia: definindo a abordagem da organização.
• Engajamento organizacional: estruturação de equipes especializadas.

2. Etapas Essenciais na Criação do Programa de Governança em Privacidade

2.1 Missão e visão organizacional de privacidade

Definir uma visão clara de privacidade e uma missão institucional é o primeiro passo, estabeleecndo-se a base para um programa de privacidade. A visão deve ser aprovada pela liderança executiva e condizente com os objetivos estratégicos da organização, devendo, ainda, ser ajustada conforme necessário para acompanhar mudanças no negócio.

Como exemplo, a visão de privacidade da Apple, em uma tradução livre:

Privacidade é um direito humano fundamental. É também um dos nossos valores essenciais. É por isso que projetamos nossos produtos e serviços para protegê-la. Esse é o tipo de inovação em que acreditamos.

2.2 Delimitação do escopo do programa de governança em privacidade

Para um programa eficaz, a organização deve compreender os seguintes aspectos:

1. Dados coletados e tratados: identifique, ainda que através de uma abordagem menos estruturada nesse momento, os dados pessoais coletados e tratados através de entrevistas ou ferramentas automatizadas;
2. Legislação aplicável: identifique leis relevantes, como a LGPD, GDPR e outras regulamentações eventualmente aplicáveis.

2.3 Estratégia de implementação

A estratégia de privacidade orienta como o programa será implementado e comunicado. Criar uma estratégia de privacidade pode exigir uma transformação cultural e operacional dentro de toda a organização. Entre as melhores práticas estão:

• Engajamento dos stakeholders: alinhe com as lideranças organizacionais e, idealmente, os responsáveis pelas decisões orçamentárias, incluindo os níveis executivos mais altos, quanto à importância estratégica da privacidade para os negócios;
• Documentação contínua: registre as decisões e atividades do programa para auditorias e revisões.

3. Escolhendo um Framework de Privacidade

Frameworks são fundamentais para alinhar práticas organizacionais às exigências legais. Duas abordagens principais incluem:

1. Princípios e padrões globais: Incluem o Privacy by Design, Diretrizes da OCDE e o NIST Privacy Framework;
2. Leis e regulamentações específicas: Como a LGPD, GDPR e PIPEDA.

A escolha do framework depende das necessidades específicas da organização e do mercado.

4. Estruturando a Governança

A estruturação da equipe de privacidade, o qual deve ser adaptado à realidade e ao porte da organização, pode seguir os seguintes modelos:

• Centralizado: Um único departamento lidera todas as iniciativas;
• Descentralizado: Unidades locais assumem a responsabilidade;
• Híbrido: Combina governança central com autonomia local.

Cada modelo deve ser adaptado à realidade e ao porte da organização.

5. Uso de Tecnologias para Garantir Conformidade

Ferramentas tecnológicas ajudam a gerenciar e monitorar os riscos de privacidade. Softwares especializados oferecem suporte em:

• Mapeamento de dados;
• Auditorias de conformidade;
• Respostas à incidentes.

De acordo com a IAPP, o investimento em tecnologia é crucial para atender às demandas regulatórias e mitigar riscos.

Conclusão

Construir um programa de governança em privacidade sólido requer uma abordagem estratégica, alinhada às demandas legais e aos objetivos organizacionais. A adoção de frameworks, o engajamento de stakeholders e o investimento em tecnologia garantem que organizações estejam preparadas para os desafios da privacidade e proteção de dados no mundo atual.

Para mais informações, acesse o Guia de Elaboração de Programa de Governança em Privacidade do Governo Federal e o site da ANPD e da IAPP.

The post Framework do Programa de Governança em Privacidade appeared first on Avinto.

O Papel do Gerente do Programa de Privacidade

O gerente do programa de privacidade é o responsável por liderar a implementação e manutenção do programa de privacidade de uma organização. Mais do que um simples guardião de políticas, esse profissional é um facilitador estratégico, trabalhando para:

• Alinhar o programa de privacidade aos objetivos de negócios, garantindo que ele apoie a organização como um parceiro valioso.
• Promover uma cultura de privacidade na organização, motivando equipes e elevando o “QI de dados” corporativo.
• Mitigar riscos de privacidade, protegendo a empresa, colaboradores, clientes e fornecedores.

Suas responsabilidades abrangem desde a criação de políticas até a gestão de incidentes e a preparação para mudanças regulatórias.

Metas do Gerente e do Programa de Privacidade

O sucesso de um programa de privacidade depende de metas claras e alinhadas tanto com os interesses da organização quanto com as expectativas de stakeholders internos e externos.

Metas do Gerente do Programa de Privacidade

1. Definir obrigações de privacidade: Identificar requisitos legais e melhores práticas aplicáveis.
2. Identificar e mitigar riscos: Mapear processos e identificar vulnerabilidades.
3. Documentar políticas e procedimentos: Revisar e criar documentos que promovam a governança de dados.
4. Implementar práticas positivas: Estabelecer medidas que fomentem o uso responsável de dados pessoais.
5. Promover a cultura de privacidade: Engajar colaboradores para que entendam e valorizem a proteção de dados.

Metas do Programa de Privacidade

1. Demonstrar conformidade: Estabelecer um framework auditável que assegure adesão à LGPD, GDPR ou outras regulamentações aplicáveis.
2. Construir confiança: Provar a clientes e colaboradores que a organização leva a sério a proteção de dados.
3. Responder a incidentes: Implementar planos de resposta eficazes para mitigar danos em caso de violação.
4. Evoluir continuamente: Avaliar e aprimorar a maturidade do programa ao longo do tempo.

Principais Responsabilidades do Gerente do Programa de Privacidade

A seguir, detalhamos algumas das responsabilidades mais relevantes do Gerente do Programa de Privacidade:

1. Políticas e Procedimentos

O gerente é responsável por criar e revisar políticas e avisos de privacidade, garantindo que sejam claros, atualizados e aplicáveis em toda a organização.

2. Conscientização e Treinamento

Promover o entendimento da privacidade por meio de treinamentos específicos e campanhas de conscientização é fundamental para criar uma cultura de privacidade.

3. Resposta à Incidentes

Estar preparado para lidar com violações de dados e coordenar a comunicação com reguladores, titulares de dados, equipe de gestão de incidentes e outras partes interessadas, como conselho e acionistas.

4. Avaliações de Impacto

Realizar testes de balanceamentos, avaliações de impacto à privacidade, relatórios de impacto à proteção de dados pessoais (DPIAs) para identificar e minimizar riscos em novos projetos, produtos e serviços.

5. Governança e Colaboração Interfuncional

Trabalhar com departamentos como jurídico, TI, segurança da informação e marketing para assegurar que a privacidade esteja integrada às operações diárias.

6. Monitoramento e Auditorias

Acompanhar métricas de privacidade e realizar auditorias regulares para medir a eficácia do programa e identificar melhorias.

7. Gestão de Fornecedores

Garantir que terceiros também sigam padrões de privacidade, especialmente em transferências de dados internacionais.

8. Privacy by Design

Implementar a privacidade desde a concepção em novos produtos, garantindo conformidade desde o início.

Por Que a Organização Precisa de um Programa de Privacidade?

A necessidade de um programa de privacidade vai além da simples conformidade legal. Ele é um ativo estratégico que oferece inúmeros benefícios, como:

• Melhoria da marca e da confiança pública: Demonstrar compromisso com a proteção de dados fortalece a reputação da organização.
• Mitigação de riscos: Prevenir e minimizar os impactos de violações de dados e ações legais.
• Vantagem competitiva: Empresas com práticas robustas de privacidade atraem clientes e parceiros de negócios.
• Conformidade regulatória: Estar em conformidade com a LGPD e outras leis evita multas e sanções.

Além disso, a privacidade bem gerida é um diferencial ético, promovendo boas práticas no tratamento de dados pessoais e integrando a ética à tomada de decisões organizacionais.

O Papel dos Embaixadores da Privacidade

A construção de um programa de privacidade robusto não é tarefa exclusiva do gerente ou do diretor de privacidade. Muitos programas criam comitês de privacidade, compostos por representantes de diferentes áreas, chamados de embaixadores da privacidade.

Esses embaixadores desempenham um papel crítico ao levar o conhecimento sobre privacidade para suas equipes, garantindo que os princípios de proteção de dados sejam incorporados ao dia a dia organizacional.

A Importância da Colaboração Interfuncional

O gerente do programa de privacidade precisa trabalhar em conjunto com várias áreas da organização, como:

• Jurídico: Para garantir conformidade regulatória.
• TI e Segurança da Informação: Para implementar controles técnicos que protejam os dados pessoais.
• Marketing: Para alinhar estratégias de coleta e uso de dados com as exigências de privacidade.

Essa abordagem colaborativa é essencial para integrar a privacidade como parte estratégica do negócio.

Conclusão

O gerente do programa de privacidade é mais do que um executor de políticas — é um líder estratégico que impulsiona a organização rumo a uma gestão responsável e eficaz de dados pessoais.

Investir em um programa de privacidade robusto vai além do cumprimento legal. Ele fortalece a marca, reduz riscos, melhora a confiança dos stakeholders e transforma a proteção de dados em um diferencial competitivo.

Se sua organização ainda não possui um programa de privacidade ou precisa aprimorá-lo, consulte especialistas e frameworks de referência, como as diretrizes da ANPD ou da IAPP, para garantir um processo bem-sucedido. Um bom software LGPD também pode lhe auxiliar nesse processo.

Lembre-se: na era digital, a privacidade é um ativo estratégico indispensável.

The post Responsabilidades do Gerente do Programa de Privacidade appeared first on Avinto.

O que é Gestão do Programa de Privacidade?

A gestão do programa de privacidade combina diferentes projetos dentro de um framework e ciclo de vida, garantindo que uma organização proteja adequadamente as informações pessoais e cumpra as leis de privacidade, como a LGPD (Lei Geral de Proteção de Dados). Um programa bem estruturado não apenas assegura a conformidade regulatória, mas também aumenta a confiança de consumidores e parceiros. Ele é baseado em quatro pilares fundamentais: avaliar, proteger, manter e responder.

Avaliar: Diagnóstico e Identificação de Lacunas

A primeira fase do ciclo de vida operacional da gestão do programa de privacidade é a avaliação, onde é realizada uma análise profunda das práticas atuais de privacidade em comparação com as melhores práticas do setor, políticas corporativas e regulamentações aplicáveis (como a LGPD, GDPR ou CCPA). O objetivo é identificar lacunas que possam comprometer a proteção dos dados pessoais ou a conformidade legal da organização.

Nesta etapa, é recomendável utilizar frameworks como o Modelo de Maturidade de Privacidade da AICPA/CICA ou os Generally Accepted Privacy Principles (GAPP), que ajudam a medir o estágio de maturidade de privacidade da organização. Além disso, um conceito importante a ser aplicado desde essa fase é o Privacy by Design, que garante que a privacidade seja integrada ao design de produtos e processos desde o início, em vez de ser um acréscimo posterior.

Uma avaliação eficiente envolve:

• Gerenciamento: Avaliar as práticas de gestão de privacidade e segurança;
• Comunicação: Revisar como as informações sobre privacidade são comunicadas internamente e externamente;
• Consentimento: Analisar as formas de obtenção e registro do consentimento dos titulares;
• Coleta, uso, retenção e descarte de dados: Identificar como os dados são coletados, utilizados, armazenados e descartados;
• Acesso e compartilhamento: Avaliar quem tem acesso aos dados e como são compartilhados com terceiros;
• Segurança: Avaliar as medidas de proteção de dados existentes.
• Qualidade dos dados: Garantir que os dados mantidos sejam íntegros.
• Monitoramento e fiscalização: Verificar a existência de práticas contínuas de fiscalização e auditoria.

Proteger: Implementação de Medidas de Segurança e Privacidade

Após a avaliação, entra-se na fase de proteção, onde são implementados os controles necessários para corrigir as lacunas identificadas. Este é o momento de aplicar políticas e práticas de privacidade alinhadas com os princípios das leis de privacidades e proteção de dados, que é assegurada, em larga escala, pela segurança da informação.

Entre os principais controles relacionados à segurança da informação e cibersegurança, destacam-se aqueles abordados em frameworks amplamente reconhecidos, como:

• Controles CIS (Center for Internet Security): Um conjunto de controles práticos e acionáveis que ajudam a mitigar os riscos cibernéticos, priorizando as melhores práticas de segurança.
• Família ISO 27001: Um padrão internacional que estabelece os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI), garantindo a proteção de informações sensíveis.
• NIST (National Institute of Standards and Technology): Um framework abrangente que fornece diretrizes e controles para proteger infraestruturas de tecnologia da informação e gerenciar riscos de cibersegurança.

Esses frameworks servem como referência para implementar e fortalecer as práticas de segurança da informação nas organizações e aparatam qualquer programa de governança em privacidade. Ressalte-se que essas práticas devem ser dinâmicas e adaptáveis às necessidades e riscos específicos da organização.

Manter: Monitoramento Contínuo e Auditorias Regulares

Manter um programa de privacidade eficaz requer monitoramento contínuo e auditorias periódicas para garantir que as medidas adotadas estejam sendo seguidas corretamente. Esta é a terceira fase do ciclo de vida da privacidade, chamada de manter, e envolve a supervisão ativa dos processos para assegurar a conformidade e a eficácia das políticas de privacidade.

O monitoramento inclui:

• Realizar auditorias internas e externas para identificar possíveis áreas de melhoria;
• Revisar e atualizar as políticas de privacidade à medida que novas leis e regulamentos surgem;
• Monitorar incidentes de segurança e garantir que as medidas corretivas sejam aplicadas.

Aqui, a gestão de riscos se torna crucial. É necessário definir claramente as funções e responsabilidades das equipes envolvidas (privacidade, auditoria, segurança da informação e compliance) e estabelecer canais de comunicação eficientes para a rápida identificação e resolução de problemas.

Responder: Tratamento de Incidentes e Solicitações de Titulares

Por fim, a fase de responder envolve a preparação para responder a incidentes de privacidade e solicitações de titulares de dados. É vital que a organização tenha um plano de resposta a incidentes robusto, que inclua:

• Ação imediata em caso de violações de dados.
• Comunicação com reguladores e titulares afetados.
• Implementação de melhorias para prevenir recorrências.

Na LGPD, o direito dos titulares de dados, como acesso, correção e exclusão de informações, é central. Assim, é fundamental que a organização tenha um processo bem estruturado para responder a essas solicitações em tempo hábil, conforme exigido pela lei. Além disso, a resposta a incidentes deve estar alinhada ao plano de resposta a incidentes, que precisa ser integrado ao programa de privacidade da organização.

Por que Implementar um Programa de Privacidade?

Implementar um programa de privacidade bem estruturado vai além de cumprir exigências regulatórias. Ele traz uma série de benefícios estratégicos que fortalecem a competitividade e a reputação da organização. Entre os principais motivos para adotar um programa de privacidade estão:

1. Melhoria na Marca e Confiança do Público

A gestão responsável dos dados pessoais constrói confiança com clientes, colaboradores e parceiros. Quando uma organização demonstra compromisso com a privacidade, ela se destaca como ética e confiável, o que aumenta a lealdade e a retenção de clientes.

2. Cumprimento das Obrigações Regulatórias

Com a crescente implementação de leis de proteção de dados no mundo (LGPD, GDPR, CCPA), o não cumprimento dessas regulamentações pode resultar em multas pesadas e sanções que comprometem tanto financeiramente quanto reputacionalmente a organização. Um programa de privacidade ajuda a evitar esses riscos.

3. Práticas Éticas de Tratamento de Dados

Empresas que tratam os dados pessoais de forma transparente e responsável estabelecem um padrão ético no mercado. Isso cria uma cultura interna de respeito pela privacidade e promove boas práticas, que acabam influenciando toda a cadeia de fornecedores e parceiros.

4. Possibilidade de Expansão Global

Empresas que operam globalmente ou que desejam expandir para outros países precisam aderir a diferentes regulamentações de privacidade. Um programa de privacidade estruturado permite que a organização opere de forma mais ágil e segura em ambientes regulatórios diversos, facilitando processos como fusões, aquisições e parcerias internacionais.

5. Prevenção e Mitigação de Violações de Dados

As violações de dados não apenas resultam em sanções regulatórias, mas também afetam a reputação e a confiança no mercado. Um programa de privacidade bem implementado minimiza a probabilidade de tais incidentes, e, caso ocorram, garante uma resposta rápida e eficaz.

6. Diferencial Competitivo

Privacidade é um ativo estratégico no mercado atual. Empresas que se destacam por sua capacidade de proteger dados pessoais ganham vantagem competitiva. Clientes e parceiros preferem trabalhar com organizações que demonstram responsabilidade e transparência em relação aos dados.

7. Aumento do Valor e Qualidade dos Dados

Dados bem geridos são um ativo valioso. Um programa de privacidade otimiza o uso de dados, permitindo que sejam tratados de maneira mais eficaz e eficiente. Além disso, promove uma visão de longo prazo sobre a governança de dados e sua utilização estratégica no negócio.

8. Redução do Risco de Ações Legais

A não conformidade com leis de privacidade pode levar a processos judiciais, ações coletivas ou reclamações de consumidores. Um programa de privacidade robusto protege a empresa desses riscos e garante que ela esteja preparada para responder adequadamente a qualquer situação.

9. Boa Cidadania Corporativa

Implementar um programa de privacidade também demonstra uma postura de responsabilidade social. Organizações que respeitam a privacidade e os direitos dos indivíduos promovem um ambiente de negócios mais justo e ético.

10. Integração da Ética de Dados nas Decisões Empresariais

Por fim, a ética de dados precisa ser um componente central na tomada de decisões de uma organização. Um programa de privacidade promove essa visão, garantindo que o uso de dados pessoais seja sempre feito de forma responsável e em conformidade com os valores corporativos e regulamentos.

Conclusão

A gestão do programa de privacidade é essencial para qualquer organização que busca não apenas conformidade regulatória, mas também a construção de um diferencial competitivo, reputação sólida e confiança do público. A implementação de um programa de privacidade eficaz envolve a avaliação, proteção, manutenção e resposta adequadas ao ciclo de vida dos dados pessoais.

Consultores, gerentes e especialistas em privacidade desempenham um papel fundamental na estruturação e manutenção desse programa, ajudando as organizações a navegar com sucesso no complexo cenário da proteção de dados. Ao adotar frameworks como o Privacy by Design e seguir as melhores práticas do setor, sua organização estará bem equipada para enfrentar os desafios da privacidade na era digital.

Para mais informações e referências sobre a LGPD e governança de privacidade, visite o site da Autoridade Nacional de Proteção de Dados (ANPD) e consulte guias práticos e recursos oferecidos por organizações de referência como o IAPP (International Association of Privacy Professionals).

Se você quer descomplicar a jornada rumo à conformidade com a LGPD, conte com a Avinto e suas soluções personalizadas de software, consultoria e documentos para um programa de privacidade robusto e eficiente.

The post Gestão do Programa de Privacidade appeared first on Avinto.

1. Objetivo e Escopo

A Resolução CD/ANPD nº 19/2024 estabelece as regras específicas para a transferência internacional de dados pessoais no Brasil, complementando a Lei Geral de Proteção de Dados (LGPD). Seu objetivo é assegurar que os dados pessoais transferidos para fora do território nacional sejam protegidos de maneira equivalente à proteção garantida pela legislação brasileira. Esta resolução aplica-se a todas as operações de transferência internacional de dados, independentemente do setor de atuação da empresa ou da natureza dos dados tratados.

As transferências internacionais serão consideradas lícitas quando:

• Tiverem como destino país ou organismo internacional considerado adequado pela ANPD;
• Quando forem viabilizadas por instrumentos contratuais adequados, ou seja, mediante cláusula-padrão contratual, cláusula específica e normas corporativas globais; ou
• Encontrarem amparo em outras hipóteses legais previstas no artigo 33 da LGPD.

2. Diretrizes

Para a transferência internacional de dados ser realizada de maneira legal, é necessário observar um conjunto de diretrizes que assegurem a conformidade com a LGPD. Entre as principais diretrizes, destacam-se:

1. Garantia de proteção equivalente: Os países ou organizações internacionais destinatários dos dados devem oferecer um nível de proteção de dados pessoais equivalente ao previsto na legislação nacional, conforme avaliado pela Autoridade Nacional de Proteção de Dados (ANPD).
2. Legalidade e transparência: Todas as operações de transferência devem ser documentadas e comunicadas de forma transparente aos titulares dos dados, garantindo o cumprimento dos princípios da LGPD.
3. Segurança na transferência: Medidas técnicas e organizacionais adequadas devem ser implementadas para garantir a segurança dos dados durante a transferência.

3. Transferência Internacional de Dados

3.1 Requisitos Gerais

A transferência internacional de dados ocorre quando há transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.

Exemplos de situações cotidianas no ambiente empresarial que podem envolver a transferência internacional de dados incluem:

• Utilização de uma plataforma de videoconferência internacional para reuniões empresariais, onde informações sensíveis são trocadas e armazenadas em servidores no exterior;
• Integração de sistemas financeiros entre a sede e suas filiais em diferentes países, onde informações fiscais e contábeis são compartilhadas;
• Armazenamento de arquivos em servidores de backup localizados fora do Brasil, como parte da estratégia de continuidade de negócios;
• Outsourcing de serviços de suporte técnico para uma empresa com sede no exterior, que acessa dados de clientes para resolução de problemas;
• Contratação de um fornecedor de CRM (Customer Relationship Management) baseado em outro país, que gerencia dados de clientes e vendas.

3.2 Caracterização da Transferência Internacional de Dados

A transferência internacional de dados ocorre quando há a transferência de dados pessoais para agente de tratamento localizado em país estrangeiro ou que seja organismo internacional.

Isso inclui, por exemplo, o armazenamento em servidores localizados no exterior ou o compartilhamento de dados com uma filial internacional de uma empresa.

 Atenção
A coleta internacional de dados, assim definida a obtenção direta de dados pessoais do titular por um agente de tratamento situado no exterior, não é considerada transferência internacional de dados. No entanto, essa coleta deve estar em conformidade com as disposições da LGPD, especialmente quando o tratamento for realizado no território nacional, quando o objetivo for oferecer bens ou serviços aos titulares de dados localizados no Brasil ou, ainda, quando os dados coletados dirão respeito a indivíduos no Brasil.

3.3 Aplicação da Legislação Nacional de Proteção de Dados Pessoais

Via de regra, a LGPD aplica-se a qualquer operação de tratamento de dados pessoais realizada em território nacional, independentemente de onde os dados sejam armazenados ou tratados posteriormente. Assim, mesmo em casos de transferência internacional, as exigências da LGPD devem ser rigorosamente seguidas.

3.4 Hipótese Legal e Mecanismo de Transferência

A transferência internacional de dados deve ser conduzida de maneira rigorosa, garantindo que os dados pessoais sejam tratados para fins legítimos, específicos, explícitos e previamente informados ao titular. A continuidade do tratamento deve ser compatível com as finalidades originais, evitando qualquer desvio de propósito. Para que essa transferência ocorra legalmente, é necessário que ela se baseie em uma das hipóteses legais estabelecidas na LGPD e utilize um dos mecanismos de transferência válidos. Esses mecanismos incluem a transferência para países ou organismos internacionais reconhecidos pela ANPD como possuidores de um grau adequado de proteção de dados, a utilização de cláusulas-padrão contratuais, normas corporativas globais, ou outras hipóteses previstas na LGPD. Além disso, a transferência deve ser restrita ao mínimo necessário, assegurando que os dados transferidos sejam pertinentes, proporcionais e não excessivos em relação às finalidades específicas do tratamento.

4. Decisão de Adequação

A decisão de adequação é um instrumento utilizado pela ANPD para reconhecer que um país ou organização internacional possui um nível de proteção de dados pessoais equivalente ao exigido pela LGPD. Os critérios avaliados incluem:

• Normas gerais de proteção de dados: Existência de uma legislação de proteção de dados robusta e abrangente.
• Direitos dos titulares: Garantias legais para que os titulares possam exercer seus direitos de forma efetiva.
• Supervisão independente: Presença de uma autoridade de proteção de dados independente e com poder para aplicar sanções.

Assim, a emissão de uma decisão de adequação pela ANPD permite a transferência de dados pessoais para o país ou organização internacional avaliado, sem necessidade de mecanismos adicionais de proteção. Consultores devem acompanhar as decisões da ANPD para orientar adequadamente seus clientes sobre os países considerados adequados.

5. Cláusulas-Padrão Contratuais

5.1 Medidas de Transparência

As cláusulas-padrão contratuais são cláusulas aprovadas pela ANPD que estabelecem obrigações específicas para as partes envolvidas na transferência de dados, garantindo que os dados sejam tratados de acordo com a LGPD. Entre as medidas de transparência, destacam-se:

• Informações claras: Detalhamento das partes envolvidas, finalidade da transferência e direitos dos titulares.
• Responsabilidades definidas: Estabelecimento das obrigações de cada parte em relação à proteção dos dados.

Minuta de Contrato com Cláusulas-Padrão Contratuais para Transferência Internacional

Para auxiliar os agentes de tratamento no cumprimento das diretrizes estabelecidas pela LGPD, segue minuta de contrato com cláusulas-padrão contratuais para transferência internacional conforme aprovadas pela ANPD que pode ser utilizado e adaptado às necessidades específicas de cada organização:

5.2 Cláusulas-Padrão Contratuais Equivalentes

Além das cláusulas-padrão aprovadas pela ANPD, é possível utilizar cláusulas contratuais equivalentes, desde que elas ofereçam garantias de proteção de dados similares ou superiores. Essas cláusulas devem ser submetidas à aprovação da ANPD.

6. Cláusulas Contratuais Específicas

As cláusulas contratuais específicas são utilizadas para situações onde as cláusulas-padrão não são aplicáveis ou não cobrem todos os aspectos da transferência de dados. Essas cláusulas devem ser desenhadas de forma a garantir que a proteção de dados seja mantida em todas as etapas do processo, e devem ser aprovadas pela ANPD antes de serem implementadas.

7. Das Normas Corporativas Globais

As normas corporativas globais (BCRs – Binding Corporate Rules) são políticas internas de proteção de dados adotadas por grupos empresariais multinacionais. As BCRs garantem que todas as empresas do grupo sigam os mesmos padrões de proteção de dados, independentemente do país onde estão localizadas. A adoção de BCRs pode facilitar a transferência internacional de dados dentro de um grupo empresarial, desde que elas sejam aprovadas pela ANPD.

8. Disposições Comuns às Cláusulas Contratuais Específicas e Normas Corporativas Globais

8.1 Medidas de Transparência

Tanto as cláusulas contratuais específicas quanto as normas corporativas globais devem incluir medidas de transparência, garantindo que os titulares sejam informados sobre como seus dados serão tratados. Isso inclui:

• Comunicação clara e acessível: O controlador deve publicar em seu site um documento em linguagem simples que explique a transferência internacional de dados.
• Informação: O controlador deve fornecer ao titular, mediante solicitação, a íntegra das cláusulas contratuais específicas ou das normas corporativas globais.
• Atualizações regulares: Notificação aos titulares sobre qualquer mudança significativa nas práticas de tratamento de dados.

8.2 Alterações

Qualquer alteração nas cláusulas contratuais específicas ou nas normas corporativas globais deve ser comunicada à ANPD e aos titulares dos dados. É importante que as mudanças não reduzam o nível de proteção originalmente acordado.

Conclusão

A conformidade com as normas de transferência internacional de dados exige atenção cuidadosa às diretrizes e requisitos estabelecidos pela LGPD e pela ANPD. Um bom software LGPD pode auxiliar nessa missão, facilitando a implementação e manutenção da adequação em privacidade e proteção de dados. Para consultores e especialistas em privacidade, é essencial estar atualizado e garantir que as práticas adotadas por seus clientes estejam em conformidade com a legislação, oferecendo proteção adequada aos dados pessoais em todos os momentos.

Referências:

• Lei Geral de Proteção de Dados Pessoais (LGPD)
• Resolução CD/ANPD nº 19/2024

The post Transferência Internacional de Dados appeared first on Avinto.

Quem é o Encarregado pelo Tratamento de Dados Pessoais (DPO)?

O Encarregado pelo Tratamento de Dados Pessoais é o profissional designado pela organização para atuar como ponto de contato entre a empresa, os titulares dos dados e a ANPD. Importante salientar que não é do encarregado a responsabilidade, perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pelo controlador.

Atribuições do Encarregado pelo Tratamento de Dados Pessoais (DPO)

1. Aceitar Reclamações e Comunicações dos Titulares:
   • O encarregado deve receber e responder a reclamações e comunicações dos titulares de dados, prestando os esclarecimentos necessários e tomando as providências cabíveis.
2. Receber Comunicações da ANPD:
   • O encarregado deve receber e responder às comunicações da ANPD, adotando as medidas necessárias para atender às solicitações e fornecer as informações pertinentes.
3. Orientar Funcionários e Contratados:
   • É responsabilidade do encarregado orientar os funcionários e contratados do agente de tratamento sobre as práticas adequadas de proteção de dados pessoais.
4. Executar Outras Atribuições:
   • O encarregado deve executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.

Atribuições Adicionais do Encarregado pelo Tratamento de Dados Pessoais (DPO)

O encarregado deve prestar assistência e orientação ao agente de tratamento nas seguintes áreas:

1. Registro e Comunicação de Incidente de Segurança.
2. Registro das Operações de Tratamento de Dados Pessoais.
3. Relatório de Impacto à Proteção de Dados Pessoais.
4. Supervisão e Mitigação de Riscos.
5. Medidas de Segurança: Técnicas e administrativas para proteger dados pessoais.
6. Políticas Internas: Assegurar o cumprimento da LGPD e regulamentações da ANPD.
7. Instrumentos Contratuais: Relacionados ao tratamento de dados pessoais.
8. Transferências Internacionais de Dados.
9. Regras de Boas Práticas e Governança.
10. Design de Produtos e Serviços: Compatíveis com os princípios da LGPD, incluindo privacidade por padrão e limitação da coleta de dados.
11. Decisões Estratégicas: Relativas ao tratamento de dados pessoais.

Da Indicação do Encarregado pelo Tratamento de Dados Pessoais (DPO)

A indicação do encarregado deve ser formalizada por um documento escrito, datado e assinado pelo agente de tratamento, detalhando suas atividades e formas de atuação. Isso é essencial para assegurar transparência e clareza na designação do encarregado, conforme estabelecido pelo Art. 3º da regulamentação da ANPD. O documento deve estar disponível para apresentação à ANPD quando solicitado.

Qualificações do Encarregado

Embora a LGPD não exija certificações específicas para o encarregado de proteção de dados, é recomendável que ele possua conhecimentos em proteção de dados pessoais, direito digital e segurança da informação. Além disso, habilidades de comunicação e gestão de crises são essenciais para desempenhar adequadamente suas funções.

Ainda, o exercício da atividade de encarregado não pressupõe a inscrição em qualquer entidade de classe ou afins.

O Encarregado e os Agentes de Tratamento

Agentes de Tratamento de Pequeno Porte

Agentes de tratamento de pequeno porte, como microempresas, empresas de pequeno porte e startups, são dispensados da responsabilidade de indicar um encarregado para lidar com a proteção de dados pessoais. Entretanto, tais agentes devem disponibilizar um canal de comunicação com o titular de dados.

De qualquer forma, a nomeação de um encarregado pelo tratamento de dados pessoais representa uma boa prática em termos de medidas organizacionais relativas à um programa de governança em privacidade e pode servir como fator de minoração das sanções aplicadas pela ANPD.

Operadores

Também é facultativa a indicação de encarregado por operadores, isto é, pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador. Entretanto, da mesma forma que ocorre com Agentes de Tratamento de Pequeno Porte, a nomeação de um encarregado pelo tratamento de dados pessoais é considerada política de boas práticas de governança e pode servir como fator de minoração das sanções aplicadas pela ANPD.

Pessoas Jurídicas de Direito Público

No caso de pessoas jurídicas de direito público, a designação do encarregado é obrigatória para garantir a transparência e a conformidade com a LGPD. Esses encarregados têm um papel crucial na implementação e fiscalização das práticas de proteção de dados, sendo responsáveis por atender às demandas dos titulares e da ANPD, devendo recair a indicação, preferencialmente, sobre servidores ou empregados públicos detentores de reputação ilibada.

Da Identidade e das Informações de Contato do Encarregado

A identidade e as informações de contato do encarregado devem ser disponibilizadas publicamente, preferencialmente nos sites das organizações. Se o encarregado for pessoa física, deve-se divulgar o nome completo. Se for pessoa jurídica, a razão social da empresa e o nome completo do responsável devem ser informados. Em ambos os casos, é necessário divulgar os meios de comunicação para que os titulares possam exercer seus direitos e a ANPD possa fazer contato. Isso garante transparência e facilita a comunicação com os titulares de dados pessoais, permitindo-lhes exercer seus direitos garantidos pela LGPD.

A Avinto oferece profissionais experientes para atuarem como DPO as a Service, ajudando empresas a cumprir essas exigências com eficiência e transparência.

Do Conflito de Interesse

É crucial que o encarregado exerça suas funções com independência e sem conflitos de interesse. Isso significa que o encarregado não deve ter outras responsabilidades ou vínculos que possam comprometer sua capacidade de garantir a proteção dos dados pessoais de forma imparcial e eficiente.

Importância do Encarregado pelo Tratamento de Dados Pessoais (DPO) para a Conformidade com a LGPD

A presença de um encarregado bem qualificado é fundamental para garantir que a organização cumpra os requisitos da LGPD. Este profissional atua de forma preventiva, identificando riscos e implementando medidas para mitigar possíveis incidentes de segurança. Ademais, ao promover uma cultura de privacidade, o encarregado ajuda a construir a confiança dos clientes e parceiros, o que pode se traduzir em vantagem competitiva para a empresa.

Conclusão

O encarregado pelo tratamento de dados pessoais (DPO) desempenha um papel vital na conformidade com a LGPD. Sua atuação abrange desde a orientação interna até a comunicação com a ANPD, passando pelo atendimento aos titulares de dados. Para que uma organização esteja realmente em conformidade com a LGPD, a presença de um encarregado bem preparado e proativo é imprescindível.

Ademais, implementar um programa eficaz de governança em privacidade é essencial para cumprir a LGPD e proteger os dados pessoais. Para consultores e empresas de pequeno e médio porte, um bom software de LGPD pode ser uma ferramenta valiosa, simplificando a gestão de dados e garantindo a conformidade com as normas. Além disso, a consultoria especializada pode oferecer orientações e suporte na elaboração e implementação de políticas de privacidade robustas, ajudando as empresas a mitigar riscos e responder adequadamente às demandas regulatórias e dos titulares de dados.

Para mais informações sobre a LGPD e a atuação do encarregado, consulte a Autoridade Nacional de Proteção de Dados (ANPD) e outros sites especializados em proteção de dados.

Fontes:

• Lei Geral de Proteção de Dados – LGPD
• Autoridade Nacional de Proteção de Dados – ANPD
• Documentos e Publicações da ANPD

The post Encarregado pelo Tratamento de Dados Pessoais (DPO) appeared first on Avinto.

Análise de Critérios Gerais e Específicos

A análise de um tratamento de alto risco se dá através de critérios gerais e específicos delineados pela LGPD proporcionam um quadro claro para determinar se um determinado tratamento se enquadra como de alto risco. Os critérios gerais englobam o tratamento em larga escala ou o tratamento que possa afetar significativamente os interesses e direitos fundamentais dos titulares. Por sua vez, os critérios específicos incluem o uso de tecnologias emergentes, vigilância de áreas acessíveis ao público, decisões baseadas em tratamento automatizado de dados pessoais e a utilização de dados sensíveis ou de grupos vulneráveis, como crianças, adolescentes e idosos.

Base Conceitual dos Critérios Gerais

A compreensão dos critérios gerais é fundamental para avaliar o risco envolvido no tratamento de dados pessoais. A noção de larga escala e o impacto sobre os interesses e direitos fundamentais dos titulares são pontos-chave nesse contexto. O conceito de larga escala, especialmente, é relevante em várias situações, desde a definição do tratamento de alto risco até a classificação de infrações graves e a avaliação da gravidade de incidentes de segurança.

Análise Quantitativa e Qualitativa

É crucial ressaltar que a determinação do tratamento de alto risco envolve tanto uma análise quantitativa quanto qualitativa. Enquanto a larga escala é avaliada principalmente quantitativamente, levando em conta o número de titulares envolvidos, o impacto significativo sobre os interesses e direitos fundamentais dos titulares é uma avaliação qualitativa. Isso significa considerar o potencial impacto nas liberdades individuais, no exercício de direitos e na ocorrência de danos materiais ou morais.

Critérios Gerais para Tratamento de Alto Risco

Critério Geral 1: Larga Escala

O termo larga escala se primordialmente ao número significativo de titulares envolvidos. De forma complementar, para a caracterização da larga escala podem ser considerados, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.

Número Significativo

Quanto ao número significativo de titulares, a Autoridade Nacional de Proteção de Dados (ANPD) estabeleceu um valor referencial considerando como número significativo e, portanto, em larga escala, qualquer tratamento que envolva o quantitativo mínimo de 2 (dois) milhões de titulares, o que representa aproximadamente 1% da população brasileira.

Larga Escala: Metodologia para Caracterização

A ANPD propõe uma abordagem multicritério para essa análise, levando em consideração diversos elementos práticos e contextuais do tratamento. Neste artigo, serão detalhadas as seis etapas dessa metodologia, visando proporcionar uma compreensão abrangente do processo de avaliação.

 Para acessar a planilha que traz a Metodologia de Alto Risco para Teste da ANPD, basta clicar aqui.

Etapa 1: Determinação do Número de Titulares e seu Peso Associado

Na primeira etapa, é essencial determinar o número de titulares (NT) cujos dados são tratados e atribuir um peso associado a esse valor. A tabela fornecida pela ANPD estabelece diferentes pesos de acordo com faixas específicas de quantidade de titulares. Esses pesos serão somados aos obtidos nas etapas subsequentes para avaliar a caracterização da larga escala.

Etapa 2: Determinação do Volume de Dados Pessoais e seu Peso Associado

Para obter a volume de dados tratados por titular (VDT), realiza-se a soma dos dados pessoais totais tratados e, em seguida, divide-se esse resultado pelo número total de titulares. O peso correspondente a essa divisão, conforme especificado na tabela abaixo, é então somado aos pesos obtidos nas demais etapas para determinar se o tratamento se caracteriza como sendo de larga escala.

Etapa 3: Determinação do Peso Associado à Duração do Tratamento

A terceira etapa envolve a determinação do valor associado ao período de tempo (T) durante o qual os dados dos titulares são tratados. Novamente, a ANPD fornece uma tabela com valores atribuídos a diferentes faixas de duração do tratamento. Esses valores serão somados aos pesos das etapas anteriores para compor o resultado final da análise.

Etapa 4: Determinação da Frequência do Tratamento e seu Peso Associado

É importante considerar a frequência (F) com que os dados pessoais são tratados e atribuir um peso associado a esse quantitativo. A finalidade do tratamento deve justificar a frequência com que o agente de tratamento o realiza. A ANPD disponibiliza uma tabela com valores para diferentes faixas de frequência de tratamento, os quais serão somados aos pesos das etapas anteriores.

Etapa 5: Determinação da Extensão Geográfica do Tratamento

Nesta etapa, avalia-se a extensão geográfica (EG) na qual os dados pessoais são tratados e atribui-se um peso associado a essa dimensão. A ANPD estabelece valores para diferentes faixas de extensão geográfica, desde municipal até internacional. O peso atribuído será somado aos obtidos nas etapas anteriores.

Etapa 6: Definição do Valor Total da Análise de Larga Escala e Tomada de Decisão

Na última etapa, soma-se o valor total da análise de larga escala. Esse valor serve como parâmetro para a tomada de decisão sobre a caracterização do tratamento como de larga escala. A ANPD estabelece um limite mínimo para essa caracterização e sugere avaliação adicional para resultados próximos a esse limite.

Estabeleceu-se como limite máximo para não ser considerado larga escala um resultado inferior a 25. Qualquer resultado que for superior a 25 pontos no somatório, a ANPD sugere que seja considerado como larga escala.
Para resultados do somatório entre 23,5 e 25, a recomendação é que o agente de tratamento avalie o caso concreto para decidir se é larga escala.

Critério Geral 2: Afetar Significativamente Interesses e Direitos Fundamentais

O art. 4º, §2º, da Resolução nº 2/2022 da LGPD enumera exemplos do que pode constituir tal afetação, incluindo a possibilidade de impedir o exercício de direitos, a utilização de serviços ou causar danos materiais ou morais aos titulares. Esses danos podem incluir discriminação, violação à integridade física, direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

É necessário, então, considerar três elementos centrais para caracterização de afetar significativamente os direitos e interesses dos titulares de dados. São eles:

1. impedir o exercício de direitos;
2. impedir a utilização de um serviço; ou
3. puder ocasionar danos materiais ou morais aos titulares, tais como:
   • discriminação;
   • violação à integridade física;
   • ao direito à imagem e à reputação;
   • fraudes financeiras; ou
   • roubo de identidade.

O rol acima não é taxativo, podendo haver outras situações que acarretam danos morais ou materiais além das listadas.

Critérios Específicos para Tratamento de Alto Risco

Uso de Tecnologias Emergentes ou Inovadoras

Tecnologias emergentes são aquelas em desenvolvimento, capazes de alterar ou redefinir modelos de negócio, e com potencial para exercer uma influência substancial sobre a economia. Essas inovações representam avanços práticos com um alto grau de relevância empresarial, destacando-se pelo potencial de crescimento rápido e impacto na sociedade, embora seus riscos ainda não estejam totalmente compreendidos, especialmente no que diz respeito às práticas de privacidade e proteção de dados. Exemplos dessas tecnologias incluem Inteligência Artificial (IA), Sistemas de Reconhecimento Facial e Veículos Autônomos.

Vigilância ou Controle de Zonas Acessíveis ao Público

Esse critério se aplica a situações em que ocorre o tratamento de dados pessoais com o propósito de monitorar ou controlar a presença e movimentação de pessoas em áreas de acesso público, como ruas, praças, estações de metrô, aeroportos, estádios e shopping centers. É importante ressaltar que o uso exclusivo em ambientes domésticos, onde não há captação de imagens dessas áreas mencionadas, não se enquadra nesse critério. Exemplos de ferramentas utilizadas para tal vigilância ou controle incluem câmeras de segurança, drones de monitoramento e dispositivos de rastreamento via GPS.

Decisões Tomadas Unicamente com Base em Tratamento Automatizado de Dados Pessoais

Essas decisões se referem ao uso de sistemas computacionais e algoritmos para realizar operações ou tomar decisões relacionadas a informações pessoais. Isso pode envolver a classificação, avaliação, aprovação ou rejeição de dados pessoais com base em critérios previamente estabelecidos. Assim, esse critério se aplica a situações em que algoritmos ou outras tecnologias são empregados para o tratamento automatizado de dados de forma significativa.

Utilização de Dados Pessoais Sensíveis ou de Dados Pessoais de Crianças, Adolescentes e Idosos

Por fim, a utilização de dados sensíveis ou pertencentes a grupos classificados como vulneráveis requer uma atenção especial. Esse critério específico abrange situações em que são manipulados dados sensíveis ou dados de grupos vulneráveis, como crianças, adolescentes e idosos, exigindo um grau maior de proteção.

Conclusão

Em conclusão, a determinação de um tratamento como de alto risco na LGPD é baseada na combinação de critérios gerais e específicos. Ao atender a um dos critérios gerais e, cumulativamente, a um dos critérios específicos, um tratamento é considerado de alto risco. Portanto, a análise criteriosa desses critérios é essencial para garantir a conformidade com as regulamentações de proteção de dados e para proteger os direitos fundamentais dos titulares de dados. Ao seguir as metodologias de análise e compreender os diferentes elementos envolvidos, as organizações podem garantir uma abordagem responsável e eficaz no tratamento de dados pessoais, promovendo a segurança e a privacidade dos indivíduos.

Para garantir a conformidade de suas atividades com a LGPD, o auxílio de um software especializado em LGPD ou uma consultoria especializada em proteção de dados podem amparar na implementação de um programa de governança em privacidade robusto, contribuindo assim para a proteção dos direitos dos titulares e para a conformidade legal.

The post Tratamento de Alto Risco appeared first on Avinto.

É importante ressaltar que o controlador não deve realizar o tratamento com base na hipótese legal do legítimo interesse caso o teste de balanceamento conclua pela prevalência dos direitos e liberdades fundamentais e legítimas expectativas dos titulares.

Não existe uma abordagem única para o teste de balanceamento. Em algumas circunstâncias, o teste pode ser breve ou simplificado, como nos casos em que é claramente identificada a existência de baixo impacto aos direitos dos titulares. Em outras situações, tal avaliação poderá demandar maior detalhamento e robustez, como, por exemplo, no caso de uso de novas tecnologias baseadas em quantidades massivas de dados pessoais.

3 Fases do Teste de Balanceamento

Fase 1: Finalidade

Nesta fase inicial do teste de balanceamento de legítimo interesse, é fundamental analisar o contexto da realização do tratamento, com foco sobre os benefícios gerados e as finalidades que se pretende alcançar. Para tanto, a primeira providência a ser adotada é a verificação da natureza dos dados pessoais, considerando que o legítimo interesse não é aplicável ao tratamento de dados pessoais sensíveis. Além disso, caso o tratamento envolva dados pessoais de crianças e adolescentes, devem ser adotadas as medidas adequadas visando à observância e à prevalência de seu melhor interesse.

Também nesta fase, é crucial identificar e descrever o interesse que justifica o tratamento, seja do controlador ou de terceiros, avaliando-se a sua legitimidade, sua compatibilidade com o ordenamento jurídico, seu embasamento em situações concretas e sua vinculação a finalidades legítimas, específicas e explícitas.

Fase 2: Necessidade

A segunda fase do teste é fundamentada na LGPD, especialmente no art. 7º, IX, que utiliza a expressão “quando necessário”, e no art. 10, §1º, que estabelece que “quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados”.

Neste ponto, cabe ao controlador identificar se o tratamento baseado no legítimo interesse é realmente necessário para atingir os objetivos definidos na fase anterior, além de estabelecer medidas de minimização do uso de dados para alcançar a finalidade pretendida. É essencial privilegiar formas menos intrusivas para atingir a finalidade, analisando se é possível alcançá-la de uma forma menos onerosa e com menores riscos ao titular.

Fase 3: Balanceamento e Salvaguardas

A terceira e última fase do teste de balanceamento consiste na etapa de realização da ponderação entre os interesses do controlador ou de terceiros e os direitos e liberdades fundamentais do titular. Neste ponto, será necessário avaliar o potencial risco e os impactos sobre os titulares dos dados com base nos interesses e nas finalidades identificados nas fases anteriores, balanceando esses riscos com as salvaguardas a serem adotadas e com o acesso claro e preciso aos titulares acerca das informações relativas ao tratamento de seus dados.

É fundamental adotar a perspectiva do titular nesta fase, garantindo que suas legítimas expectativas, direitos e liberdades fundamentais sejam respeitados. Quando os dados pessoais tratados se referirem a crianças ou adolescentes, também deve-se avaliar a prevalência de seu melhor interesse.

Cabe destacar que a existência de um possível risco ou impacto negativo sobre os titulares dos dados não afasta, por si só, a possibilidade de tratamento dos dados pessoais com base no legítimo interesse. O que a LGPD exige não é o impacto zero, mas sim que eventuais impactos sejam minimizados e levados em consideração na adoção de salvaguardas, garantindo que, no caso concreto, os interesses que justificam a realização do tratamento sejam compatíveis com o respeito aos direitos e às liberdades fundamentais do titular.

Prevenção à Fraude e à Segurança: Teste de Balanceamento

A LGPD autorização para o tratamento de dados sensíveis em prol da prevenção à fraude e segurança do titular, especialmente em processos de identificação e autenticação em sistemas eletrônicos. Embora essa autorização seja específica, sua aplicação requer uma análise semelhante à do legítimo interesse para que assim o controlador garanta que, no caso concreto, os direitos fundamentais do titular sejam protegidos, conforme estabelecido na própria legislação.

Modelo de Teste de Balanceamento de Legítimo Interesse

Para auxiliar os controladores no cumprimento das diretrizes estabelecidas pela LGPD e na realização do teste de balanceamento de legítimo interesse, apresentamos a seguir um modelo que pode ser utilizado e adaptado às necessidades específicas de cada organização:

Este modelo de teste de balanceamento pode ser utilizado como um guia inicial para auxiliar as organizações na avaliação da conformidade da escolha da hipótese de tratamento com a LGPD e na proteção dos direitos dos titulares dos dados. No entanto, é importante ressaltar que cada situação deve ser analisada individualmente, levando em consideração o contexto específico do tratamento de dados e os princípios estabelecidos pela legislação de proteção de dados.

Em resumo, o teste de balanceamento de legítimo interesse na LGPD é uma ferramenta crucial para garantir a conformidade legal e proteger os direitos dos titulares dos dados, promovendo uma cultura de privacidade e segurança da informação no ambiente digital. Ao seguir as diretrizes e as melhores práticas estabelecidas pela legislação, os controladores podem conduzir suas atividades de tratamento de dados de forma ética, transparente e responsável, fortalecendo a confiança dos usuários e contribuindo para o desenvolvimento de uma sociedade digital mais justa e equitativa.

Diante da complexidade e das exigências da LGPD, tanto em termos de conformidade legal quanto de proteção eficaz dos dados pessoais, contar com ferramentas e expertise especializada torna-se essencial para as organizações. Neste contexto, tanto um software especializado em LGPD quanto um consultor com conhecimento profundo da legislação desempenham papéis fundamentais.

Referências

• L13709compilado (planalto.gov.br)
• Guia Orientativo Hipóteses Legais de Tratamento de Dados Pessoais – Legítimo Interesse (www.gov.br)

The post 3 Fases do Teste de Balanceamento de Legítimo Interesse appeared first on Avinto.

Entendendo a LGPD

A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, é a legislação brasileira que visa proteger a privacidade e a segurança dos dados pessoais. Ela entrou em vigor em setembro de 2020 e se aplica a todas as organizações que coletam, processam ou armazenam dados pessoais de cidadãos brasileiros. A LGPD foi criada com o objetivo de dar aos cidadãos o controle sobre seus próprios dados, bem como estabelecer regras rígidas para as empresas que lidam com esses dados.

Introdução à Conformidade com a LGPD

Para garantir a adequação à LGPD, as organizações precisam tomar medidas específicas. A conformidade não é apenas uma questão de evitar penalidades financeiras, mas também de construir a confiança dos clientes e demonstrar responsabilidade corporativa. A seguir, exploramos os princípios fundamentais da conformidade com a LGPD.

Princípios Fundamentais da Adequação à LGPD

A adequação à LGPD é baseada em alguns princípios-chave:

1. Finalidade: Os dados pessoais devem ser coletados para finalidades específicas, legítimas e informadas aos titulares.
2. Adequação: Deve haver compatibilidade do tratamento com as finalidades informadas ao titular.
3. Necessidade: Deve haver uma necessidade legítima para o tratamento dos dados pessoais, evitando a coleta excessiva de informações.
4. Livre Acesso: A consulta dos titulares sobre a forma e duração do tratamento deve ser fácil e gratuita.
5. Transparência: As organizações devem ser transparentes quanto ao tratamento de dados, informando os titulares de forma clara, precisa e fácil sobre como suas informações serão usadas.
6. Segurança: Medidas de segurança adequadas devem ser implementadas para proteger os dados pessoais contra acesso não autorizado e vazamentos.
7. Não Discriminação: O tratamento de dados pessoais não pode ser utilizado para fins discriminatórios, ilícitos ou abusivos.

Principais Passos para a Adequação à LGPD

Comprometimento da Alta Gestão

O primeiro passo é o comprometimento da alta gestão. É essencial que a liderança da organização esteja alinhada com os princípios da LGPD e entenda a importância de sua implementação, apoiando as práticas necessárias para o compliance, como, por exemplo:

• Analisar e priorizar as ações mais urgentes.
• Projetar ou refinar uma estratégia de privacidade.
• Guiar o estabelecimento da cultura de proteção de dados na instituição.

Criação de Comitê de Privacidade e Nomeação de DPO

A formação de um Comitê de Privacidade é crucial, uma vez que esse comitê será responsável por supervisionar a implantação e conformidade com a LGPD. Além disso, é necessário nomear um Encarregado de Proteção de Dados (DPO), uma figura-chave para garantir a observância da lei, uma vez que é o ponto focal de interlocução entre o titular dos dados, a Autoridade Nacional de Proteção de Dados (ANPD) e os agentes de tratamento.

Avaliação das Atividades de Tratamento de Dados da Organização e Fundamentos Legais

A organização deve realizar um mapeamento minucioso de suas atividades de tratamento de dados. Isso envolve identificar quais dados são coletados, como são processados, até mesmo como são descartados e com base em quais fundamentos legais. Nessa etapa, de alta importância a correta documentação e avaliação das seguintes informações:

• Agentes de tratamento
• Finalidade
• Dados pessoais tratados
• Categorias dos titulares dos dados pessoais
• Compartilhamento dados pessoais
• Encarregado
• Bases legais para tratamento
• Tempo de retenção
• Transferência internacional

Fazer download planilha de mapeamento de dados (modelo para registro das atividades de tratamento) clicando aqui.

Implementação de Medidas e Políticas de Proteção de Dados

Com base na análise anterior, é essencial implementar medidas técnicas de segurança da informação (como por exemplo, controles de acesso, segurança dos dados pessoais armazenados, segurança das comunicações) e políticas necessárias à proteção de dados. Isso inclui política de privacidade, política de segurança da informação, protocolos de criptografia e outras salvaguardas.

Avaliação dos Riscos e Impactos na Privacidade e Proteção de Dados

As organizações também devem conduzir avaliações de impacto à privacidade (Relatório de Impacto à Proteção de Dados Pessoais – RIPD ou DPIAs) para descrever os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Isso é fundamental para garantir a segurança dos dados.

Adequação de Contratos, Obtenção de Consentimento e Gerenciamento dos Direitos dos Titulares de Dados

Os contratos com terceiros que têm acesso aos dados pessoais devem ser revisados e atualizados para garantir a conformidade com a LGPD. Deverá ser avaliada a necessidade de novas cláusulas conforme os princípios da LGPD:

• Responsabilidades do controlador e operador;
• Forma da coleta e o tratamento de dados;
• Forma de armazenamento de dados;
• Garantia dos direitos dos titulares;
• O detalhamento de quem tem acesso aos dados, o responsável por seu uso e tratamento;
• As particularidades de possíveis auditorias;
• As medidas de proteção e segurança dos dados tratados pela contratada.

Além disso, obter o consentimento dos titulares de dados é uma prática obrigatória para os tratamentos cuja base legal seja o consentimento, conforme identificado durante o mapeamento.

Garantia da Segurança dos Dados e Notificação de Violações

As empresas devem investir na segurança dos dados, adotando tecnologias e práticas que protejam as informações pessoais. Além disso, em caso de violações de dados, a LGPD exige a notificação imediata às autoridades e aos titulares dos dados afetados.

Treinamento e Educação dos Colaboradores

A conscientização é fundamental. Todos os funcionários devem ser treinados para entender a LGPD e seu papel na proteção dos dados pessoais. O treinamento e a conscientização de colaboradores é o que garante que a privacidade seja implementada desde a concepção de produtos e serviços.

Manutenção da Adequação à LGPD e Monitoramento Contínuo

A conformidade com a LGPD não é um evento único, mas um processo contínuo. É essencial manter-se atualizado com as mudanças na legislação e monitorar constantemente a eficácia das medidas de proteção de dados. A partir da implementação, é que é feita a gestão de incidentes, a análise dos resultados e a demonstração da evolução das ações e
dos resultados obtidos.

Conte com uma Consultoria LGPD

A conformidade com a LGPD pode ser desafiadora, dada a complexidade das regulamentações e a necessidade de adaptação constante. Nesse contexto, contar com uma consultoria especializada em LGPD pode ser uma estratégia inteligente. Fale conosco e veja como podemos ajudar.

Referências:

1. Lei Geral de Proteção de Dados (LGPD)
2. Autoridade Nacional de Proteção de Dados (ANPD)

A adequação à LGPD é uma obrigação legal e uma oportunidade para fortalecer a confiança do público em sua organização. Não apenas assegura a conformidade com a lei, mas também demonstra um compromisso com a proteção da privacidade e a segurança dos dados pessoais. Portanto, inicie sua jornada em direção à conformidade com a LGPD hoje e proteja os dados que você coleta e processa, beneficiando não apenas sua organização, mas também seus clientes e parceiros.

The post Adequação à LGPD: O Caminho da Conformidade appeared first on Avinto.

Você sabe como prestar uma boa consultoria em projetos de adequação e conformidade com a LGPD (Lei Geral de Proteção de Dados)? Na Avinto, nossa experiência em ajudar advogados e consultores LGPD a alcançar a conformidade é inigualável. Neste post, compartilharemos os 5 passos essenciais que você precisa seguir para prestar uma consultoria em adequação à LGPD de sucesso, assegurando que seus clientes estejam protegidos e em conformidade com a lei.

Passo 1: Preparação

O primeiro passo é o mais crítico. Antes de qualquer coisa, você precisa entender profundamente a LGPD e suas implicações. Investigue como ela afeta o setor de seus clientes. Atualize-se com as últimas regulamentações, inclusive do setor de seu cliente, e esteja apto a comunicar essas informações de forma clara e compreensível.

Colabore com seus clientes para mapear todos os dados pessoais que eles processam, identificando os pontos fracos e os riscos. Desenvolva o plano de ação para adequação à LGPD, estabelecendo um programa de treinamento. Por fim, crie o Comitê de Privacidade.

Passo 2: Organização

A organização é a base da conformidade, bem como o compromisso da gerência da empresa de seu cliente com o programa de privacidade e proteção de dados. Com o apoio da alta gestão assegurado, nomeie um Encarregado pelo Tratamento de Dados Pessoais (DPO). Mantenha a comunicação regular para problemas e o compromisso com a privacidade e proteção de dados pessoais. Implemente e opere um software LGPD de privacidade e proteção de dados pessoais.

Passo 3: Desenvolvimento e Implementação

Com uma base sólida em organização, é hora de avançar para o desenvolvimento e implementação de medidas de conformidade. Isso inclui a criação de políticas, além de registros ds atividades de processamento, a revisão e aprimoramento dos contratos e a implementação de medidas técnicas e organizacionais para proteger os dados. Nesta etapa o plano de treinamento em privacidade e proteção de dados é executado.

Passo 4: Governança

Governança contínua é essencial. Sendo assim, auxilie seus clientes a gerir adequadamente as requisições dos titulares de dados pessoais e garanta que seus direitos estão sendo observados. Certifique-se de seu cliente esteja acompanhando e avaliando regularmente as práticas de privacidade e proteção de dados e faça ajustes conforme necessário.

Passo 5: Avaliação e Melhoria

Nenhum programa de conformidade está completo sem uma avaliação contínua e melhoria constante. Ajude seus clientes a conduzirem auditorias regulares, avaliações de risco e impacto à proteção de dados pessoais para garantir que todos na organização estejam comprometidos com a LGPD. Assim, utilize os resultados dessas avaliações para documentação e aprimoramento contínuo do programa.

Na Avinto, temos uma vasta experiência em orientar advogados e consultores LGPD a conduzirem seus clientes pelo processo de conformidade com a LGPD. Nosso software profissional e nosso conhecimento especializado estão à sua disposição para tornar esse processo mais suave e eficaz. Em nosso software, quebramos esses 5 passos essenciais para adequação à LGPD de sucesso em ações fáceis para descomplicar ainda mais sua consultoria LGPD.

Quando se trata de conformidade com a LGPD, não deixe nada ao acaso. Conte com a Avinto para ajudá-lo a seguir esses cinco passos essenciais e garantir que seus clientes estejam protegidos e em conformidade. Fale conosco hoje mesmo e saiba como podemos fazer a diferença em sua consultoria de adequação à LGPD.

The post Adequação à LGPD: 5 Passos Essenciais para o Sucesso appeared first on Avinto.