O que é Gestão de Riscos de Privacidade?

A gestão de riscos de privacidade consiste em identificar, analisar, avaliar e tratar os riscos relacionados ao tratamento de dados pessoais, garantindo conformidade com a LGPD e protegendo os direitos dos titulares.

A ISO 31000, norma internacional para gestão de riscos, oferece uma abordagem estruturada que pode ser adaptada a qualquer organização, independentemente do porte ou setor. Outra ferramenta muito útil é o Manual de Gestão de Riscos do TCU complementa essa visão com diretrizes práticas para o setor público e privado no Brasil.

No contexto da LGPD, os riscos de privacidade incluem vazamentos de dados, uso indevido de informações pessoais, multas regulatórias e danos à reputação. Um processo bem implementado não apenas mitiga esses riscos, mas também fortalece a governança corporativa.

Fundamentos do Processo de Gestão de Riscos de Privacidade

A gestão de riscos de privacidade representa um componente estratégico para organizações que buscam conformidade regulatória e proteção efetiva de dados pessoais. Quando estruturada segundo a ISO 31000, o processo de gestão de riscos segue uma estrutura cíclica e contínua, com etapas bem definidas:

1. Comunicação e consulta;
2. Estabelecimento do contexto organizacional;
3. Processo de avaliação de riscos, incluindo:
   • Identificação de riscos;
   • Análise de riscos;
   • Avaliação de riscos;
4. Tratamento dos riscos identificados;
5. Monitoramento e análise crítica;
6. Documentação do processo.

Vamos explorar cada etapa adaptada ao contexto específico da privacidade de dados.

Comunicação e Consulta: Diálogo e Consulta Colaborativa

O primeiro pilar de uma gestão de riscos eficaz é a comunicação transparente. Esta etapa permeia todo o processo e envolve o diálogo contínuo com todos os interessados, incluindo:

• Equipes internas (TI, jurídico, operações);
• Liderança organizacional;
• Parceiros de negócios.

Uma comunicação e consulta eficaz permite capturar perspectivas diversas sobre riscos de privacidade, garantindo que diferentes preocupações sejam consideradas. Recomenda-se desenvolver um plano estruturado de comunicação que defina canais, frequência e responsáveis pelo compartilhamento de informações relevantes, que deve permear todo o processo de gestão de riscos.

Contextualização Organizacional

Antes de identificar riscos específicos, é essencial compreender o ambiente interno e externo em que a organização opera. Esta etapa envolve:

• Mapear quais objetivos ou resultados devem ser alcançados relacionados à privacidade;
• Levantamento dos processos relevantes para o alcance dos objetivos e resultados;
• Identificar os atores envolvidos;
• Análise do ambiente regulatório (LGPD e outras normas aplicáveis);
• Identificação das expectativas dos stakeholders e titulares de dados;
• Levantamento de restrições operacionais e tecnológicas;
• Compreensão da cultura organizacional em relação à privacidade.

A contextualização permite estabelecer parâmetros para as próximas etapas e deve ser documentada de forma clara.

Nesta etapa, importante também que sejam definidos os critérios de risco, como a probabilidade de um vazamento e o impacto financeiro ou reputacional.

A documentação dessa etapa geralmente inclui:

• Uma descrição objetiva e concisa dos propósitos organizacionais, dos elementos cruciais para alcançar o sucesso e uma avaliação detalhada das condições internas e externas do ambiente (como na análise SWOT);
• Uma análise dos grupos de interesse, considerando seus objetivos e preocupações (utilizando ferramentas como a análise de stakeholders, RECI ou matriz de responsabilidades);
• A definição dos principais parâmetros para análise e avaliação dos níveis de risco, englobando escalas de probabilidade e impacto, além de diretrizes para determinar a aceitabilidade ou tolerância ao risco, bem como para priorização e tratamento (ou respostas) relacionados aos riscos identificados.

Processo Tripartite de Avaliação de Riscos

Identificação de Riscos: Mapeando Vulnerabilidades de Privacidade

A identificação de riscos busca descobrir e registrar eventos potenciais que possam comprometer a privacidade dos dados de forma ampla. O objetivo é produzir uma lista abrangente de riscos, incluindo causas, fontes e eventos, que
possam ter um impacto no alcance dos objetivos identificados na etapa anterior.

Métodos eficazes incluem:

• Workshops colaborativos com equipes multidisciplinares;
• Análise de fluxos de dados pessoais na organização;
• Revisão de incidentes anteriores (próprios ou do setor);
• Consulta a especialistas em privacidade;
• Técnicas de brainstorming estruturado.

O resultado deve ser uma lista abrangente de riscos específicos, cada um contendo os seguintes componentes:

1. Descrição do evento de risco;
2. Causas potenciais;
3. Consequências possíveis para a organização e titulares de dados.

A documentação dessa etapa geralmente inclui pelo menos:

1. o escopo do processo, projeto ou atividade coberto pela identificação;
2. os participantes do processo de identificação;
3. a abordagem ou o método utiliza do para identificação dos riscos e as fontes de informação consultadas;
4. o registro dos riscos identificados com seus componentes como acima listado.

Análise de Riscos: Quantificando o Risco de Privacidade

Após identificar os riscos, é necessário analisá-los para determinar seu nível, isto é, sua magnitude.

A análise dos riscos segue os seguintes passos:

1. Avaliar o impacto do risco sobre o objetivo;
2. Avaliar a probabilidade de ocorrência do risco;
3. Definir o nível do risco com base na matriz probabilidade x impacto.

Uma metodologia possível é utilizar escalas para probabilidade (1-15) e impacto (1-5), multiplicando-as para obter um nível de risco inerente. Por exemplo:

Escala de Probabilidade:

Escala de Impacto:

Para cada risco, também se deve avaliar os controles existentes, determinando um nível de confiança que reflita sua eficácia. O risco residual pode então ser calculado, considerando o efeito mitigador destes controles. “Os controles incluem qual quer processo, política, dispositivo, prática ou outras ações e medidas que a gestão adota com o objetivo de modificar o nível de risco” (ISO 31000). Se um controle tem nível de confiança (NC) de 60%, o risco residual será:

NRR = NRI x (1 – NC)
NRR = 40 x (1 – 0,6) = 16 (baixo)

A etapa de análise de riscos é registrada no documento chamado registro de riscos, que normalmente abrange os seguintes itens:

1. O método ou abordagem adotado para a análise, as fontes de informação utilizadas e os participantes envolvidos no processo;
2. Os critérios aplicados para classificar a probabilidade e o impacto dos riscos;
3. A probabilidade de ocorrência de cada evento identificado, a magnitude ou gravidade dos impactos nos objetivos e suas descrições, além de considerações sobre a análise desses aspectos e o resultado de sua combinação, denominado risco inerente;
4. A descrição dos controles existentes, incluindo uma avaliação de sua eficácia, gerando assim o risco de controle;
5. O nível de risco residual, que surge da combinação dos riscos inerente e de controle.

Avaliação de Riscos: Priorizando Ações de Privacidade

A etapa de avaliação compara os níveis de risco obtidos com os critérios estabelecidos durante a contextualização., ou seja, utiliza os níveis de risco calculados para avaliar se eles estão dentro do apetite a risco da organização. Riscos altos exigem ação imediata, enquanto riscos baixos podem ser monitorados.

Esta comparação permite:

• Classificar riscos em categorias (baixo, médio, alto, extremo);
• Determinar quais riscos exigem tratamento imediato;
• Estabelecer prioridades de ação;
• Identificar riscos que podem ser aceitos sem ação adicional.

Uma possível classificação seria:

• Risco Baixo (0-9): Monitoramento periódico, sem ações imediatas;
• Risco Médio (10-39): Atenção gerencial, controles regulares;
• Risco Alto (40-79): Ação necessária, comunicação à alta gestão;
• Risco Extremo (80-100): Resposta imediata, escalação urgente.

Tratamento de Riscos

Com base na avaliação, a organização deve selecionar estratégias apropriadas para modificar o nível de risco, especialmente daqueles com risco significativo. Estas estratégias incluem:

• Evitar: Eliminar a atividade que gera o risco (ex: descontinuar coleta de dados sensíveis desnecessários);
• Mitigar: Implementar controles para reduzir probabilidade ou impacto (ex: anonimização, criptografia);
• Transferir: Compartilhar o risco com terceiros (ex: seguro cibernético, termos contratuais);
• Aceitar: Reconhecer e tolerar o risco sem ação adicional (para riscos baixos ou com mitigação muito custosa).

Escolher a alternativa mais apropriada requer balancear, por um lado, os custos e esforços necessários para sua implementação, e, por outro, os benefícios que ela pode proporcionar. Para cada risco que requer tratamento, deve-se desenvolver um plano que especifique:

1. Ação proposta e os recursos necessários;
2. As razões para sua escolha e o resultado esperado;
3. Responsáveis pela aprovação e implementação
4. Prazo para conclusão;
5. Métrica para medir eficácia;
6. Formas de monitoramento.

Monitoramento e Análise Crítica

O ambiente de privacidade evolui constantemente, com novas ameaças, regulamentações e tecnologias surgindo regularmente. Por isso, a gestão de riscos é um processo contínuo, da mesma forma que seu monitoramento. Monitore os controles, revise os planos e ajuste as estratégias conforme o contexto muda.

O monitoramento contínuo é essencial e deve:

• Verificar a implementação das medidas de tratamento;
• Avaliar a eficácia dos controles existentes;
• Identificar mudanças no contexto que afetam o perfil de risco;
• Detectar novos riscos emergentes;
• Capturar lições aprendidas com incidentes.

Mecanismos eficazes de monitoramento podem incluir:

• Auditorias periódicas de privacidade;
• Indicadores-chave de risco (KRIs);
• Revisões pós-incidente;
• Testes de controles;
• Feedback de titulares de dados.

Documentação e Registro

Por fim, todo o processo de gestão de riscos deve ser adequadamente documentado para:

• Demonstrar conformidade regulatória (accountability);
• Facilitar a revisão e melhoria do processo;
• Permitir a aprendizagem organizacional;
• Apoiar a tomada de decisão;
• Fornecer evidências em caso de questionamentos.

A documentação deve ser clara, concisa e acessível aos responsáveis, incluindo um registro centralizado de riscos que capture todas as informações relevantes sobre cada risco identificado.

Conclusão

Uma abordagem estruturada para gestão de riscos de privacidade, inspirada na ISO 31000, fornece às organizações um método sistemático para proteger dados pessoais e assegurar conformidade regulatória. Mais que uma obrigação legal, esta prática representa uma oportunidade para construir confiança com os titulares de dados e diferenciar-se no mercado.

Ao implementar este processo, as organizações não apenas reduzem o risco de sanções e danos reputacionais, mas também demonstram compromisso genuíno com a privacidade como valor fundamental do negócio.

Este artigo foi elaborado com base nos princípios da norma ISO 31000 e nas melhores práticas de gestão de riscos, adaptados especificamente para o contexto da privacidade de dados e conformidade com a LGPD.

The post Gestão de Riscos de Privacidade appeared first on Avinto.

1. Fundamentos de um Programa de Governança em Privacidade

A governança em privacidade define a direção estratégica de uma organização no que diz respeito à proteção de dados. Ela não se limita à conformidade legal, mas também reflete o compromisso com os objetivos empresariais. Elementos centrais incluem:

• Missão e visão de privacidade: alinhadas aos valores organizacionais.
• Delimitação do escopo: identificando processos e dados regulados.
• Framework de governança: estruturando políticas e práticas específicas.
• Estratégia: definindo a abordagem da organização.
• Engajamento organizacional: estruturação de equipes especializadas.

2. Etapas Essenciais na Criação do Programa de Governança em Privacidade

2.1 Missão e visão organizacional de privacidade

Definir uma visão clara de privacidade e uma missão institucional é o primeiro passo, estabeleecndo-se a base para um programa de privacidade. A visão deve ser aprovada pela liderança executiva e condizente com os objetivos estratégicos da organização, devendo, ainda, ser ajustada conforme necessário para acompanhar mudanças no negócio.

Como exemplo, a visão de privacidade da Apple, em uma tradução livre:

Privacidade é um direito humano fundamental. É também um dos nossos valores essenciais. É por isso que projetamos nossos produtos e serviços para protegê-la. Esse é o tipo de inovação em que acreditamos.

2.2 Delimitação do escopo do programa de governança em privacidade

Para um programa eficaz, a organização deve compreender os seguintes aspectos:

1. Dados coletados e tratados: identifique, ainda que através de uma abordagem menos estruturada nesse momento, os dados pessoais coletados e tratados através de entrevistas ou ferramentas automatizadas;
2. Legislação aplicável: identifique leis relevantes, como a LGPD, GDPR e outras regulamentações eventualmente aplicáveis.

2.3 Estratégia de implementação

A estratégia de privacidade orienta como o programa será implementado e comunicado. Criar uma estratégia de privacidade pode exigir uma transformação cultural e operacional dentro de toda a organização. Entre as melhores práticas estão:

• Engajamento dos stakeholders: alinhe com as lideranças organizacionais e, idealmente, os responsáveis pelas decisões orçamentárias, incluindo os níveis executivos mais altos, quanto à importância estratégica da privacidade para os negócios;
• Documentação contínua: registre as decisões e atividades do programa para auditorias e revisões.

3. Escolhendo um Framework de Privacidade

Frameworks são fundamentais para alinhar práticas organizacionais às exigências legais. Duas abordagens principais incluem:

1. Princípios e padrões globais: Incluem o Privacy by Design, Diretrizes da OCDE e o NIST Privacy Framework;
2. Leis e regulamentações específicas: Como a LGPD, GDPR e PIPEDA.

A escolha do framework depende das necessidades específicas da organização e do mercado.

4. Estruturando a Governança

A estruturação da equipe de privacidade, o qual deve ser adaptado à realidade e ao porte da organização, pode seguir os seguintes modelos:

• Centralizado: Um único departamento lidera todas as iniciativas;
• Descentralizado: Unidades locais assumem a responsabilidade;
• Híbrido: Combina governança central com autonomia local.

Cada modelo deve ser adaptado à realidade e ao porte da organização.

5. Uso de Tecnologias para Garantir Conformidade

Ferramentas tecnológicas ajudam a gerenciar e monitorar os riscos de privacidade. Softwares especializados oferecem suporte em:

• Mapeamento de dados;
• Auditorias de conformidade;
• Respostas à incidentes.

De acordo com a IAPP, o investimento em tecnologia é crucial para atender às demandas regulatórias e mitigar riscos.

Conclusão

Construir um programa de governança em privacidade sólido requer uma abordagem estratégica, alinhada às demandas legais e aos objetivos organizacionais. A adoção de frameworks, o engajamento de stakeholders e o investimento em tecnologia garantem que organizações estejam preparadas para os desafios da privacidade e proteção de dados no mundo atual.

Para mais informações, acesse o Guia de Elaboração de Programa de Governança em Privacidade do Governo Federal e o site da ANPD e da IAPP.

The post Framework do Programa de Governança em Privacidade appeared first on Avinto.

O Papel do Gerente do Programa de Privacidade

O gerente do programa de privacidade é o responsável por liderar a implementação e manutenção do programa de privacidade de uma organização. Mais do que um simples guardião de políticas, esse profissional é um facilitador estratégico, trabalhando para:

• Alinhar o programa de privacidade aos objetivos de negócios, garantindo que ele apoie a organização como um parceiro valioso.
• Promover uma cultura de privacidade na organização, motivando equipes e elevando o “QI de dados” corporativo.
• Mitigar riscos de privacidade, protegendo a empresa, colaboradores, clientes e fornecedores.

Suas responsabilidades abrangem desde a criação de políticas até a gestão de incidentes e a preparação para mudanças regulatórias.

Metas do Gerente e do Programa de Privacidade

O sucesso de um programa de privacidade depende de metas claras e alinhadas tanto com os interesses da organização quanto com as expectativas de stakeholders internos e externos.

Metas do Gerente do Programa de Privacidade

1. Definir obrigações de privacidade: Identificar requisitos legais e melhores práticas aplicáveis.
2. Identificar e mitigar riscos: Mapear processos e identificar vulnerabilidades.
3. Documentar políticas e procedimentos: Revisar e criar documentos que promovam a governança de dados.
4. Implementar práticas positivas: Estabelecer medidas que fomentem o uso responsável de dados pessoais.
5. Promover a cultura de privacidade: Engajar colaboradores para que entendam e valorizem a proteção de dados.

Metas do Programa de Privacidade

1. Demonstrar conformidade: Estabelecer um framework auditável que assegure adesão à LGPD, GDPR ou outras regulamentações aplicáveis.
2. Construir confiança: Provar a clientes e colaboradores que a organização leva a sério a proteção de dados.
3. Responder a incidentes: Implementar planos de resposta eficazes para mitigar danos em caso de violação.
4. Evoluir continuamente: Avaliar e aprimorar a maturidade do programa ao longo do tempo.

Principais Responsabilidades do Gerente do Programa de Privacidade

A seguir, detalhamos algumas das responsabilidades mais relevantes do Gerente do Programa de Privacidade:

1. Políticas e Procedimentos

O gerente é responsável por criar e revisar políticas e avisos de privacidade, garantindo que sejam claros, atualizados e aplicáveis em toda a organização.

2. Conscientização e Treinamento

Promover o entendimento da privacidade por meio de treinamentos específicos e campanhas de conscientização é fundamental para criar uma cultura de privacidade.

3. Resposta à Incidentes

Estar preparado para lidar com violações de dados e coordenar a comunicação com reguladores, titulares de dados, equipe de gestão de incidentes e outras partes interessadas, como conselho e acionistas.

4. Avaliações de Impacto

Realizar testes de balanceamentos, avaliações de impacto à privacidade, relatórios de impacto à proteção de dados pessoais (DPIAs) para identificar e minimizar riscos em novos projetos, produtos e serviços.

5. Governança e Colaboração Interfuncional

Trabalhar com departamentos como jurídico, TI, segurança da informação e marketing para assegurar que a privacidade esteja integrada às operações diárias.

6. Monitoramento e Auditorias

Acompanhar métricas de privacidade e realizar auditorias regulares para medir a eficácia do programa e identificar melhorias.

7. Gestão de Fornecedores

Garantir que terceiros também sigam padrões de privacidade, especialmente em transferências de dados internacionais.

8. Privacy by Design

Implementar a privacidade desde a concepção em novos produtos, garantindo conformidade desde o início.

Por Que a Organização Precisa de um Programa de Privacidade?

A necessidade de um programa de privacidade vai além da simples conformidade legal. Ele é um ativo estratégico que oferece inúmeros benefícios, como:

• Melhoria da marca e da confiança pública: Demonstrar compromisso com a proteção de dados fortalece a reputação da organização.
• Mitigação de riscos: Prevenir e minimizar os impactos de violações de dados e ações legais.
• Vantagem competitiva: Empresas com práticas robustas de privacidade atraem clientes e parceiros de negócios.
• Conformidade regulatória: Estar em conformidade com a LGPD e outras leis evita multas e sanções.

Além disso, a privacidade bem gerida é um diferencial ético, promovendo boas práticas no tratamento de dados pessoais e integrando a ética à tomada de decisões organizacionais.

O Papel dos Embaixadores da Privacidade

A construção de um programa de privacidade robusto não é tarefa exclusiva do gerente ou do diretor de privacidade. Muitos programas criam comitês de privacidade, compostos por representantes de diferentes áreas, chamados de embaixadores da privacidade.

Esses embaixadores desempenham um papel crítico ao levar o conhecimento sobre privacidade para suas equipes, garantindo que os princípios de proteção de dados sejam incorporados ao dia a dia organizacional.

A Importância da Colaboração Interfuncional

O gerente do programa de privacidade precisa trabalhar em conjunto com várias áreas da organização, como:

• Jurídico: Para garantir conformidade regulatória.
• TI e Segurança da Informação: Para implementar controles técnicos que protejam os dados pessoais.
• Marketing: Para alinhar estratégias de coleta e uso de dados com as exigências de privacidade.

Essa abordagem colaborativa é essencial para integrar a privacidade como parte estratégica do negócio.

Conclusão

O gerente do programa de privacidade é mais do que um executor de políticas — é um líder estratégico que impulsiona a organização rumo a uma gestão responsável e eficaz de dados pessoais.

Investir em um programa de privacidade robusto vai além do cumprimento legal. Ele fortalece a marca, reduz riscos, melhora a confiança dos stakeholders e transforma a proteção de dados em um diferencial competitivo.

Se sua organização ainda não possui um programa de privacidade ou precisa aprimorá-lo, consulte especialistas e frameworks de referência, como as diretrizes da ANPD ou da IAPP, para garantir um processo bem-sucedido. Um bom software LGPD também pode lhe auxiliar nesse processo.

Lembre-se: na era digital, a privacidade é um ativo estratégico indispensável.

The post Responsabilidades do Gerente do Programa de Privacidade appeared first on Avinto.

O que é Gestão do Programa de Privacidade?

A gestão do programa de privacidade combina diferentes projetos dentro de um framework e ciclo de vida, garantindo que uma organização proteja adequadamente as informações pessoais e cumpra as leis de privacidade, como a LGPD (Lei Geral de Proteção de Dados). Um programa bem estruturado não apenas assegura a conformidade regulatória, mas também aumenta a confiança de consumidores e parceiros. Ele é baseado em quatro pilares fundamentais: avaliar, proteger, manter e responder.

Avaliar: Diagnóstico e Identificação de Lacunas

A primeira fase do ciclo de vida operacional da gestão do programa de privacidade é a avaliação, onde é realizada uma análise profunda das práticas atuais de privacidade em comparação com as melhores práticas do setor, políticas corporativas e regulamentações aplicáveis (como a LGPD, GDPR ou CCPA). O objetivo é identificar lacunas que possam comprometer a proteção dos dados pessoais ou a conformidade legal da organização.

Nesta etapa, é recomendável utilizar frameworks como o Modelo de Maturidade de Privacidade da AICPA/CICA ou os Generally Accepted Privacy Principles (GAPP), que ajudam a medir o estágio de maturidade de privacidade da organização. Além disso, um conceito importante a ser aplicado desde essa fase é o Privacy by Design, que garante que a privacidade seja integrada ao design de produtos e processos desde o início, em vez de ser um acréscimo posterior.

Uma avaliação eficiente envolve:

• Gerenciamento: Avaliar as práticas de gestão de privacidade e segurança;
• Comunicação: Revisar como as informações sobre privacidade são comunicadas internamente e externamente;
• Consentimento: Analisar as formas de obtenção e registro do consentimento dos titulares;
• Coleta, uso, retenção e descarte de dados: Identificar como os dados são coletados, utilizados, armazenados e descartados;
• Acesso e compartilhamento: Avaliar quem tem acesso aos dados e como são compartilhados com terceiros;
• Segurança: Avaliar as medidas de proteção de dados existentes.
• Qualidade dos dados: Garantir que os dados mantidos sejam íntegros.
• Monitoramento e fiscalização: Verificar a existência de práticas contínuas de fiscalização e auditoria.

Proteger: Implementação de Medidas de Segurança e Privacidade

Após a avaliação, entra-se na fase de proteção, onde são implementados os controles necessários para corrigir as lacunas identificadas. Este é o momento de aplicar políticas e práticas de privacidade alinhadas com os princípios das leis de privacidades e proteção de dados, que é assegurada, em larga escala, pela segurança da informação.

Entre os principais controles relacionados à segurança da informação e cibersegurança, destacam-se aqueles abordados em frameworks amplamente reconhecidos, como:

• Controles CIS (Center for Internet Security): Um conjunto de controles práticos e acionáveis que ajudam a mitigar os riscos cibernéticos, priorizando as melhores práticas de segurança.
• Família ISO 27001: Um padrão internacional que estabelece os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI), garantindo a proteção de informações sensíveis.
• NIST (National Institute of Standards and Technology): Um framework abrangente que fornece diretrizes e controles para proteger infraestruturas de tecnologia da informação e gerenciar riscos de cibersegurança.

Esses frameworks servem como referência para implementar e fortalecer as práticas de segurança da informação nas organizações e aparatam qualquer programa de governança em privacidade. Ressalte-se que essas práticas devem ser dinâmicas e adaptáveis às necessidades e riscos específicos da organização.

Manter: Monitoramento Contínuo e Auditorias Regulares

Manter um programa de privacidade eficaz requer monitoramento contínuo e auditorias periódicas para garantir que as medidas adotadas estejam sendo seguidas corretamente. Esta é a terceira fase do ciclo de vida da privacidade, chamada de manter, e envolve a supervisão ativa dos processos para assegurar a conformidade e a eficácia das políticas de privacidade.

O monitoramento inclui:

• Realizar auditorias internas e externas para identificar possíveis áreas de melhoria;
• Revisar e atualizar as políticas de privacidade à medida que novas leis e regulamentos surgem;
• Monitorar incidentes de segurança e garantir que as medidas corretivas sejam aplicadas.

Aqui, a gestão de riscos se torna crucial. É necessário definir claramente as funções e responsabilidades das equipes envolvidas (privacidade, auditoria, segurança da informação e compliance) e estabelecer canais de comunicação eficientes para a rápida identificação e resolução de problemas.

Responder: Tratamento de Incidentes e Solicitações de Titulares

Por fim, a fase de responder envolve a preparação para responder a incidentes de privacidade e solicitações de titulares de dados. É vital que a organização tenha um plano de resposta a incidentes robusto, que inclua:

• Ação imediata em caso de violações de dados.
• Comunicação com reguladores e titulares afetados.
• Implementação de melhorias para prevenir recorrências.

Na LGPD, o direito dos titulares de dados, como acesso, correção e exclusão de informações, é central. Assim, é fundamental que a organização tenha um processo bem estruturado para responder a essas solicitações em tempo hábil, conforme exigido pela lei. Além disso, a resposta a incidentes deve estar alinhada ao plano de resposta a incidentes, que precisa ser integrado ao programa de privacidade da organização.

Por que Implementar um Programa de Privacidade?

Implementar um programa de privacidade bem estruturado vai além de cumprir exigências regulatórias. Ele traz uma série de benefícios estratégicos que fortalecem a competitividade e a reputação da organização. Entre os principais motivos para adotar um programa de privacidade estão:

1. Melhoria na Marca e Confiança do Público

A gestão responsável dos dados pessoais constrói confiança com clientes, colaboradores e parceiros. Quando uma organização demonstra compromisso com a privacidade, ela se destaca como ética e confiável, o que aumenta a lealdade e a retenção de clientes.

2. Cumprimento das Obrigações Regulatórias

Com a crescente implementação de leis de proteção de dados no mundo (LGPD, GDPR, CCPA), o não cumprimento dessas regulamentações pode resultar em multas pesadas e sanções que comprometem tanto financeiramente quanto reputacionalmente a organização. Um programa de privacidade ajuda a evitar esses riscos.

3. Práticas Éticas de Tratamento de Dados

Empresas que tratam os dados pessoais de forma transparente e responsável estabelecem um padrão ético no mercado. Isso cria uma cultura interna de respeito pela privacidade e promove boas práticas, que acabam influenciando toda a cadeia de fornecedores e parceiros.

4. Possibilidade de Expansão Global

Empresas que operam globalmente ou que desejam expandir para outros países precisam aderir a diferentes regulamentações de privacidade. Um programa de privacidade estruturado permite que a organização opere de forma mais ágil e segura em ambientes regulatórios diversos, facilitando processos como fusões, aquisições e parcerias internacionais.

5. Prevenção e Mitigação de Violações de Dados

As violações de dados não apenas resultam em sanções regulatórias, mas também afetam a reputação e a confiança no mercado. Um programa de privacidade bem implementado minimiza a probabilidade de tais incidentes, e, caso ocorram, garante uma resposta rápida e eficaz.

6. Diferencial Competitivo

Privacidade é um ativo estratégico no mercado atual. Empresas que se destacam por sua capacidade de proteger dados pessoais ganham vantagem competitiva. Clientes e parceiros preferem trabalhar com organizações que demonstram responsabilidade e transparência em relação aos dados.

7. Aumento do Valor e Qualidade dos Dados

Dados bem geridos são um ativo valioso. Um programa de privacidade otimiza o uso de dados, permitindo que sejam tratados de maneira mais eficaz e eficiente. Além disso, promove uma visão de longo prazo sobre a governança de dados e sua utilização estratégica no negócio.

8. Redução do Risco de Ações Legais

A não conformidade com leis de privacidade pode levar a processos judiciais, ações coletivas ou reclamações de consumidores. Um programa de privacidade robusto protege a empresa desses riscos e garante que ela esteja preparada para responder adequadamente a qualquer situação.

9. Boa Cidadania Corporativa

Implementar um programa de privacidade também demonstra uma postura de responsabilidade social. Organizações que respeitam a privacidade e os direitos dos indivíduos promovem um ambiente de negócios mais justo e ético.

10. Integração da Ética de Dados nas Decisões Empresariais

Por fim, a ética de dados precisa ser um componente central na tomada de decisões de uma organização. Um programa de privacidade promove essa visão, garantindo que o uso de dados pessoais seja sempre feito de forma responsável e em conformidade com os valores corporativos e regulamentos.

Conclusão

A gestão do programa de privacidade é essencial para qualquer organização que busca não apenas conformidade regulatória, mas também a construção de um diferencial competitivo, reputação sólida e confiança do público. A implementação de um programa de privacidade eficaz envolve a avaliação, proteção, manutenção e resposta adequadas ao ciclo de vida dos dados pessoais.

Consultores, gerentes e especialistas em privacidade desempenham um papel fundamental na estruturação e manutenção desse programa, ajudando as organizações a navegar com sucesso no complexo cenário da proteção de dados. Ao adotar frameworks como o Privacy by Design e seguir as melhores práticas do setor, sua organização estará bem equipada para enfrentar os desafios da privacidade na era digital.

Para mais informações e referências sobre a LGPD e governança de privacidade, visite o site da Autoridade Nacional de Proteção de Dados (ANPD) e consulte guias práticos e recursos oferecidos por organizações de referência como o IAPP (International Association of Privacy Professionals).

Se você quer descomplicar a jornada rumo à conformidade com a LGPD, conte com a Avinto e suas soluções personalizadas de software, consultoria e documentos para um programa de privacidade robusto e eficiente.

The post Gestão do Programa de Privacidade appeared first on Avinto.

1. Objetivo e Escopo

A Resolução CD/ANPD nº 19/2024 estabelece as regras específicas para a transferência internacional de dados pessoais no Brasil, complementando a Lei Geral de Proteção de Dados (LGPD). Seu objetivo é assegurar que os dados pessoais transferidos para fora do território nacional sejam protegidos de maneira equivalente à proteção garantida pela legislação brasileira. Esta resolução aplica-se a todas as operações de transferência internacional de dados, independentemente do setor de atuação da empresa ou da natureza dos dados tratados.

As transferências internacionais serão consideradas lícitas quando:

• Tiverem como destino país ou organismo internacional considerado adequado pela ANPD;
• Quando forem viabilizadas por instrumentos contratuais adequados, ou seja, mediante cláusula-padrão contratual, cláusula específica e normas corporativas globais; ou
• Encontrarem amparo em outras hipóteses legais previstas no artigo 33 da LGPD.

2. Diretrizes

Para a transferência internacional de dados ser realizada de maneira legal, é necessário observar um conjunto de diretrizes que assegurem a conformidade com a LGPD. Entre as principais diretrizes, destacam-se:

1. Garantia de proteção equivalente: Os países ou organizações internacionais destinatários dos dados devem oferecer um nível de proteção de dados pessoais equivalente ao previsto na legislação nacional, conforme avaliado pela Autoridade Nacional de Proteção de Dados (ANPD).
2. Legalidade e transparência: Todas as operações de transferência devem ser documentadas e comunicadas de forma transparente aos titulares dos dados, garantindo o cumprimento dos princípios da LGPD.
3. Segurança na transferência: Medidas técnicas e organizacionais adequadas devem ser implementadas para garantir a segurança dos dados durante a transferência.

3. Transferência Internacional de Dados

3.1 Requisitos Gerais

A transferência internacional de dados ocorre quando há transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.

Exemplos de situações cotidianas no ambiente empresarial que podem envolver a transferência internacional de dados incluem:

• Utilização de uma plataforma de videoconferência internacional para reuniões empresariais, onde informações sensíveis são trocadas e armazenadas em servidores no exterior;
• Integração de sistemas financeiros entre a sede e suas filiais em diferentes países, onde informações fiscais e contábeis são compartilhadas;
• Armazenamento de arquivos em servidores de backup localizados fora do Brasil, como parte da estratégia de continuidade de negócios;
• Outsourcing de serviços de suporte técnico para uma empresa com sede no exterior, que acessa dados de clientes para resolução de problemas;
• Contratação de um fornecedor de CRM (Customer Relationship Management) baseado em outro país, que gerencia dados de clientes e vendas.

3.2 Caracterização da Transferência Internacional de Dados

A transferência internacional de dados ocorre quando há a transferência de dados pessoais para agente de tratamento localizado em país estrangeiro ou que seja organismo internacional.

Isso inclui, por exemplo, o armazenamento em servidores localizados no exterior ou o compartilhamento de dados com uma filial internacional de uma empresa.

 Atenção
A coleta internacional de dados, assim definida a obtenção direta de dados pessoais do titular por um agente de tratamento situado no exterior, não é considerada transferência internacional de dados. No entanto, essa coleta deve estar em conformidade com as disposições da LGPD, especialmente quando o tratamento for realizado no território nacional, quando o objetivo for oferecer bens ou serviços aos titulares de dados localizados no Brasil ou, ainda, quando os dados coletados dirão respeito a indivíduos no Brasil.

3.3 Aplicação da Legislação Nacional de Proteção de Dados Pessoais

Via de regra, a LGPD aplica-se a qualquer operação de tratamento de dados pessoais realizada em território nacional, independentemente de onde os dados sejam armazenados ou tratados posteriormente. Assim, mesmo em casos de transferência internacional, as exigências da LGPD devem ser rigorosamente seguidas.

3.4 Hipótese Legal e Mecanismo de Transferência

A transferência internacional de dados deve ser conduzida de maneira rigorosa, garantindo que os dados pessoais sejam tratados para fins legítimos, específicos, explícitos e previamente informados ao titular. A continuidade do tratamento deve ser compatível com as finalidades originais, evitando qualquer desvio de propósito. Para que essa transferência ocorra legalmente, é necessário que ela se baseie em uma das hipóteses legais estabelecidas na LGPD e utilize um dos mecanismos de transferência válidos. Esses mecanismos incluem a transferência para países ou organismos internacionais reconhecidos pela ANPD como possuidores de um grau adequado de proteção de dados, a utilização de cláusulas-padrão contratuais, normas corporativas globais, ou outras hipóteses previstas na LGPD. Além disso, a transferência deve ser restrita ao mínimo necessário, assegurando que os dados transferidos sejam pertinentes, proporcionais e não excessivos em relação às finalidades específicas do tratamento.

4. Decisão de Adequação

A decisão de adequação é um instrumento utilizado pela ANPD para reconhecer que um país ou organização internacional possui um nível de proteção de dados pessoais equivalente ao exigido pela LGPD. Os critérios avaliados incluem:

• Normas gerais de proteção de dados: Existência de uma legislação de proteção de dados robusta e abrangente.
• Direitos dos titulares: Garantias legais para que os titulares possam exercer seus direitos de forma efetiva.
• Supervisão independente: Presença de uma autoridade de proteção de dados independente e com poder para aplicar sanções.

Assim, a emissão de uma decisão de adequação pela ANPD permite a transferência de dados pessoais para o país ou organização internacional avaliado, sem necessidade de mecanismos adicionais de proteção. Consultores devem acompanhar as decisões da ANPD para orientar adequadamente seus clientes sobre os países considerados adequados.

5. Cláusulas-Padrão Contratuais

5.1 Medidas de Transparência

As cláusulas-padrão contratuais são cláusulas aprovadas pela ANPD que estabelecem obrigações específicas para as partes envolvidas na transferência de dados, garantindo que os dados sejam tratados de acordo com a LGPD. Entre as medidas de transparência, destacam-se:

• Informações claras: Detalhamento das partes envolvidas, finalidade da transferência e direitos dos titulares.
• Responsabilidades definidas: Estabelecimento das obrigações de cada parte em relação à proteção dos dados.

Minuta de Contrato com Cláusulas-Padrão Contratuais para Transferência Internacional

Para auxiliar os agentes de tratamento no cumprimento das diretrizes estabelecidas pela LGPD, segue minuta de contrato com cláusulas-padrão contratuais para transferência internacional conforme aprovadas pela ANPD que pode ser utilizado e adaptado às necessidades específicas de cada organização:

5.2 Cláusulas-Padrão Contratuais Equivalentes

Além das cláusulas-padrão aprovadas pela ANPD, é possível utilizar cláusulas contratuais equivalentes, desde que elas ofereçam garantias de proteção de dados similares ou superiores. Essas cláusulas devem ser submetidas à aprovação da ANPD.

6. Cláusulas Contratuais Específicas

As cláusulas contratuais específicas são utilizadas para situações onde as cláusulas-padrão não são aplicáveis ou não cobrem todos os aspectos da transferência de dados. Essas cláusulas devem ser desenhadas de forma a garantir que a proteção de dados seja mantida em todas as etapas do processo, e devem ser aprovadas pela ANPD antes de serem implementadas.

7. Das Normas Corporativas Globais

As normas corporativas globais (BCRs – Binding Corporate Rules) são políticas internas de proteção de dados adotadas por grupos empresariais multinacionais. As BCRs garantem que todas as empresas do grupo sigam os mesmos padrões de proteção de dados, independentemente do país onde estão localizadas. A adoção de BCRs pode facilitar a transferência internacional de dados dentro de um grupo empresarial, desde que elas sejam aprovadas pela ANPD.

8. Disposições Comuns às Cláusulas Contratuais Específicas e Normas Corporativas Globais

8.1 Medidas de Transparência

Tanto as cláusulas contratuais específicas quanto as normas corporativas globais devem incluir medidas de transparência, garantindo que os titulares sejam informados sobre como seus dados serão tratados. Isso inclui:

• Comunicação clara e acessível: O controlador deve publicar em seu site um documento em linguagem simples que explique a transferência internacional de dados.
• Informação: O controlador deve fornecer ao titular, mediante solicitação, a íntegra das cláusulas contratuais específicas ou das normas corporativas globais.
• Atualizações regulares: Notificação aos titulares sobre qualquer mudança significativa nas práticas de tratamento de dados.

8.2 Alterações

Qualquer alteração nas cláusulas contratuais específicas ou nas normas corporativas globais deve ser comunicada à ANPD e aos titulares dos dados. É importante que as mudanças não reduzam o nível de proteção originalmente acordado.

Conclusão

A conformidade com as normas de transferência internacional de dados exige atenção cuidadosa às diretrizes e requisitos estabelecidos pela LGPD e pela ANPD. Um bom software LGPD pode auxiliar nessa missão, facilitando a implementação e manutenção da adequação em privacidade e proteção de dados. Para consultores e especialistas em privacidade, é essencial estar atualizado e garantir que as práticas adotadas por seus clientes estejam em conformidade com a legislação, oferecendo proteção adequada aos dados pessoais em todos os momentos.

Referências:

• Lei Geral de Proteção de Dados Pessoais (LGPD)
• Resolução CD/ANPD nº 19/2024

The post Transferência Internacional de Dados appeared first on Avinto.

Bases Legais para o Tratamento de Dados pelo Poder Público

Consentimento

No âmbito do Poder Público, a utilização do consentimento como base legal para o tratamento de dados pessoais é limitada. Em muitas situações, o tratamento é necessário para o cumprimento de obrigações legais, não sendo adequado depender do consentimento do titular. No entanto, quando utilizado, deve-se garantir que o titular tenha a possibilidade real de autorizar ou não o tratamento, sem que de sua manifestação de vontade resultem restrições significativas à sua condição jurídica ou ao exercício de direitos fundamentais.

Legítimo Interesse

A aplicação do legítimo interesse no setor público, da mesma forma que ocorre com o consentimento, também é mais limitada. Esta base legal não é apropriada para tratamentos compulsórios ou obrigatórios decorrentes de lei e do exercício de prerrogativas estatais típicas. Contudo, pode ser utilizada quando o tratamento não for compulsório e houver uma ponderação equilibrada entre os interesses do controlador e os direitos dos titulares.

Cumprimento de Obrigação Legal ou Regulatória

Esta base legal é amplamente utilizada pelo Poder Público e aplica-se em dois contextos: normas de conduta e normas de organização. As normas de conduta referem-se a regras que estabelecem comportamentos específicos, em geral
estabelecendo um fato ou uma hipótese legal, com uma possível consequência jurídica em caso de descumprimento (como, por exemplo, a divulgação da agenda de compromissos públicos de autoridades), enquanto as normas de organização estruturam órgãos e entidades públicas, definindo suas competências e atribuições. Estas são parte essencial
do exercício de prerrogativas estatais típicas, uma vez que necessário para viabilizar a própria execução das atribuições, competências e finalidades públicas da entidade ou do órgão público.

O tratamento de dados pessoais no setor público deverá ser realizado “com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”, observando-se o interesse público e o atendimento da finalidade pública do controlador.

Execução de Políticas Públicas

O tratamento de dados pessoais para a execução de políticas públicas é essencial para o funcionamento da administração pública. Esta base legal permite que órgãos e entidades dos três Poderes e entes federativos, inclusive das Cortes de Contas e do Ministério Público, tratem dados com o objetivo de implementar programas e ações governamentais.

O conceito de política pública deve ser interpretado de forma ampla, de modo a abranger qualquer programa ou ação governamental, definido em instrumento formal, isto é, lei, regulamento ou ajuste contratual, cujo conteúdo inclua, em regra, objetivos, metas, prazos e meios de execução.

Princípios do Tratamento de Dados Pessoais pelo Poder Público

Finalidade e Adequação

O tratamento de dados pelo Poder Público deve observar os princípios da finalidade e adequação, garantindo que o tratamento de dados pessoais seja realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

Ainda, no âmbito do setor público, o tratamento de dados pessoais deve atender a uma finalidade pública, que seja:

• Legítima: ou seja, lícita e compatível com o ordenamento jurídico, além de amparada em uma base legal, que autorize o tratamento;
• Específica: de maneira que a partir da finalidade seja possível delimitar o escopo do tratamento e estabelecer as garantias necessárias para a proteção dos dados pessoais;
• Explícita: isto é, expressa de uma maneira clara e precisa; e
• Informada, isto é, disponibilizada em linguagem simples e de fácil compreensão e acesso ao titular dos dados.

Necessidade

A coleta de dados deve ser limitada ao mínimo necessário para a realização dos objetivos públicos. Evitar a coleta indiscriminada é uma medida essencial para proteger os direitos dos titulares.

No que se refere a esse princípio, entidades e órgãos públicos devem verificar se as informações habitualmente coletadas dos cidadãos – como cópias de documentos de identidade ou dados solicitados em formulários padrão – são, de fato, necessárias para as finalidades pretendidas, não sendo aceitável a prática de coleta indiscriminada de dados pessoais, especialmente daqueles para os quais não foi identificada uma finalidade específica e legítima para o tratamento.

Exemplo da aplicação deste princípio ocorre quando se constata que dados como estado civil e endereço residencial de contratantes num processo licitatório não sejam necessários para a identificação dos responsáveis pela contratação e para viabilizar o exercício do controle social sobre a atividade do órgão público. Assim, a fim de limitar o tratamento
ao mínimo necessário para a realização de suas finalidades, o ideal é não coletar esses tipos de dados

Transparência e Livre Acesso

A transparência é um princípio fundamental da LGPD. Órgãos públicos devem assegurar que os titulares tenham acesso fácil e compreensível às informações sobre o tratamento de seus dados pessoais.

Assim, enquanto o princípio da transparência impõe obrigações gerais que requerem uma postura ativa do agente de tratamento, o qual deve disponibilizar as informações exigidas pela lei independentemente de solicitação do titular, o princípio do livre acesso, por sua vez, enfatiza a necessidade de que o agente de tratamento ofereça mecanismos eficazes para que o titular possa solicitar e obter, de forma facilitada e gratuita, determinadas informações sobre o tratamento de seus dados pessoais.

Compartilhamento de Dados Pessoais pelo Poder Público

O compartilhamento de dados pessoais é a operação de tratamento em que órgãos e entidades públicas concedem permissão de acesso ou transferem uma base de dados pessoais a outro ente público ou a entidades privadas, com o objetivo de atender a uma finalidade pública.

Formalização e Registro

O compartilhamento de dados entre entidades públicas deve ser formalizado e devidamente registrado em contratos, convênios ou instrumentos firmados entre as partes ou lastreados em decisões administrativas devidamente expedidas, garantindo a rastreabilidade e a conformidade com a LGPD, em atenção às normas gerais que regem os procedimentos administrativos e, também, em atenção à obrigatoriedade de registro das operações de tratamento.

Objeto e Finalidade

Os dados compartilhados devem ter um objeto claro e uma finalidade específica, com a indicação precisa, por exemplo, de qual iniciativa, ação ou programa será executado ou, ainda, de qual atribuição legal será cumprida mediante o compartilhamento dos dados pessoais, alinhados às competências legais das entidades envolvidas.

Ademais, em qualquer hipótese, deve ser avaliada a compatibilidade entre a finalidade original da coleta e a finalidade do compartilhamento dos dados.

Base Legal

A base legal para o compartilhamento deve ser claramente definida e documentada no ato que autoriza ou formaliza o compartilhamento, assegurando a legalidade do processo.

Duração do Tratamento

É importante que o tratamento de dados pessoais seja um processo com duração definida, inclusive para possibilitar reavaliação periódica do instrumento que autorizou o compartilhamento. Assim, os dados devem ser mantidos apenas pelo período necessário para o cumprimento das finalidades estabelecidas, sendo eliminados após o término desse prazo.

Transparência e Direitos dos Titulares

Os atos que regulamentam e autorizam o compartilhamento de dados pessoais devem prever maneiras de cumprir o princípio da transparência, assegurando a disponibilização de informações claras, precisas e acessíveis aos titulares sobre a realização do compartilhamento e como exercer seus direitos.

Uma prática recomendada é divulgar essas informações nas páginas eletrônicas dos órgãos e entidades responsáveis.

Prevenção e Segurança

Órgãos públicos devem adotar medidas técnicas e administrativas eficazes para garantir a segurança dos dados pessoais, prevenindo acessos não autorizados e outros incidentes de segurança. Tais medidas organizacionais, além de previstas nos atos que regem e autorizam o compartilhamento dos dados, devem ser proporcionais aos riscos às liberdades civis e aos direitos fundamentais dos cidadãos envolvidos no caso concreto.

Outros Requisitos

Além da segurança, devem ser observados requisitos adicionais, como a realização de avaliações de impacto à proteção de dados pessoais, as quais podem auxiliar a motivação da decisão a ser proferida pela autoridade competente e a implementação de boas práticas de governança.

Divulgação de Dados Pessoais pelo Poder Público

O tratamento de dados pessoais pelo Poder Público, incluindo a divulgação pública de dados, deve observar as normas que garantem a proteção integral dos dados pessoais, a autodeterminação informativa e o respeito à privacidade dos titulares durante todo o ciclo do tratamento.

Proteção de Dados Sensíveis

Os dados pessoais sensíveis estão sujeitos a uma proteção jurídica especial. Portanto, é necessário adotar maior cautela ao tratar esses dados, especialmente quando se trata da divulgação de resultados de estudos em saúde pública.

Princípios de Finalidade, Adequação e Necessidade

Os princípios da finalidade, adequação e necessidade impõem limites claros ao tratamento de dados pessoais. As entidades e órgãos públicos devem verificar se as informações coletadas são adequadas e necessárias para os objetivos propostos. A coleta indiscriminada de dados deve ser evitada, preferindo-se a dispensa da coleta ou a eliminação das informações quando não forem essenciais.

Medidas de Mitigação de Risco

Quando a eliminação dos dados não é possível, podem ser adotadas medidas de mitigação de risco, fortalecendo a segurança na divulgação dos dados pessoais e diminuindo o potencial lesivo aos direitos dos titulares. Essas medidas podem ser descritas em um relatório de impacto à proteção de dados pessoais, que inclui a descrição dos processos de tratamento, riscos, salvaguardas e mecanismos de mitigação de risco.

Limitação da Divulgação

Uma possível salvaguarda é a limitação da divulgação aos dados estritamente necessários para alcançar os objetivos legítimos específicos, com a divulgação de remuneração individualizada de servidores públicos sem a apresentação completa de números como o CPF e a matrícula do servidor, por exemplo.

Contexto e Expectativas dos Titulares

O contexto e as expectativas legítimas dos titulares também são relevantes. Um exemplo é a divulgação de informações pessoais dos servidores, a qual se submete ao escrutínio da sociedade como uma decorrência natural do exercício da atividade pública. Conforme decidido pelo STF, “a remuneração dos agentes públicos constitui informação de interesse coletivo ou geral”, aplicando-se o princípio constitucional da publicidade administrativa, que permite o controle da atividade estatal pelos cidadãos, atuenuando-se os riscos pessoais decorrentes da divulgação com a proibição de se revelar o endereço residencial, CPF e RG de cada servidor.

Medidas Técnicas e Administrativas

Em atenção aos princípios de segurança, prevenção, responsabilização e prestação de contas, órgãos e entidades públicas devem adotar medidas técnicas e administrativas eficazes para comprovar a observância das normas de proteção de dados pessoais. Constitui boa prática realizar o tratamento de dados pessoais considerando a natureza, escopo, finalidade, probabilidade e gravidade dos riscos e benefícios decorrentes do tratamento. Sempre que possível, os dados pessoais devem ser pseudonimizados ou anonimizados.

Garantia de Direitos aos Titulares

Finalmente, a transparência no tratamento de dados e a garantia efetiva dos direitos dos titulares são fundamentais para diminuir o uso indevido de dados pessoais. A possibilidade de os titulares apresentarem requerimentos aos órgãos públicos, relatando eventuais violações a seus direitos, pode viabilizar a correção de erros e a implementação de medidas como a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD, por exemplo.

Conclusão

O tratamento de dados pessoais pelo Poder Público é um desafio complexo que requer atenção a diversos aspectos legais e técnicos. Compreender as bases legais, princípios e requisitos de transparência e segurança é fundamental para garantir a conformidade com a LGPD e a proteção dos direitos dos titulares. Utilizar softwares especializados e contar com consultoria de profissionais experientes são passos essenciais para uma gestão eficiente e segura dos dados públicos.

Para mais informações sobre LGPD, recomendamos visitar o site da Autoridade Nacional de Proteção de Dados (ANPD) e acompanhar as atualizações legislativas e orientações específicas.

Referências:

• Lei Geral de Proteção de Dados (LGPD)
• Autoridade Nacional de Proteção de Dados (ANPD)
• Tratamento de Alto Risco
• 3 Fases do Teste de Balanceamento de Legítimo Interesse

The post Tratamento de Dados Pessoais pelo Poder Público appeared first on Avinto.

Quem é o Encarregado pelo Tratamento de Dados Pessoais (DPO)?

O Encarregado pelo Tratamento de Dados Pessoais é o profissional designado pela organização para atuar como ponto de contato entre a empresa, os titulares dos dados e a ANPD. Importante salientar que não é do encarregado a responsabilidade, perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pelo controlador.

Atribuições do Encarregado pelo Tratamento de Dados Pessoais (DPO)

1. Aceitar Reclamações e Comunicações dos Titulares:
   • O encarregado deve receber e responder a reclamações e comunicações dos titulares de dados, prestando os esclarecimentos necessários e tomando as providências cabíveis.
2. Receber Comunicações da ANPD:
   • O encarregado deve receber e responder às comunicações da ANPD, adotando as medidas necessárias para atender às solicitações e fornecer as informações pertinentes.
3. Orientar Funcionários e Contratados:
   • É responsabilidade do encarregado orientar os funcionários e contratados do agente de tratamento sobre as práticas adequadas de proteção de dados pessoais.
4. Executar Outras Atribuições:
   • O encarregado deve executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.

Atribuições Adicionais do Encarregado pelo Tratamento de Dados Pessoais (DPO)

O encarregado deve prestar assistência e orientação ao agente de tratamento nas seguintes áreas:

1. Registro e Comunicação de Incidente de Segurança.
2. Registro das Operações de Tratamento de Dados Pessoais.
3. Relatório de Impacto à Proteção de Dados Pessoais.
4. Supervisão e Mitigação de Riscos.
5. Medidas de Segurança: Técnicas e administrativas para proteger dados pessoais.
6. Políticas Internas: Assegurar o cumprimento da LGPD e regulamentações da ANPD.
7. Instrumentos Contratuais: Relacionados ao tratamento de dados pessoais.
8. Transferências Internacionais de Dados.
9. Regras de Boas Práticas e Governança.
10. Design de Produtos e Serviços: Compatíveis com os princípios da LGPD, incluindo privacidade por padrão e limitação da coleta de dados.
11. Decisões Estratégicas: Relativas ao tratamento de dados pessoais.

Da Indicação do Encarregado pelo Tratamento de Dados Pessoais (DPO)

A indicação do encarregado deve ser formalizada por um documento escrito, datado e assinado pelo agente de tratamento, detalhando suas atividades e formas de atuação. Isso é essencial para assegurar transparência e clareza na designação do encarregado, conforme estabelecido pelo Art. 3º da regulamentação da ANPD. O documento deve estar disponível para apresentação à ANPD quando solicitado.

Qualificações do Encarregado

Embora a LGPD não exija certificações específicas para o encarregado de proteção de dados, é recomendável que ele possua conhecimentos em proteção de dados pessoais, direito digital e segurança da informação. Além disso, habilidades de comunicação e gestão de crises são essenciais para desempenhar adequadamente suas funções.

Ainda, o exercício da atividade de encarregado não pressupõe a inscrição em qualquer entidade de classe ou afins.

O Encarregado e os Agentes de Tratamento

Agentes de Tratamento de Pequeno Porte

Agentes de tratamento de pequeno porte, como microempresas, empresas de pequeno porte e startups, são dispensados da responsabilidade de indicar um encarregado para lidar com a proteção de dados pessoais. Entretanto, tais agentes devem disponibilizar um canal de comunicação com o titular de dados.

De qualquer forma, a nomeação de um encarregado pelo tratamento de dados pessoais representa uma boa prática em termos de medidas organizacionais relativas à um programa de governança em privacidade e pode servir como fator de minoração das sanções aplicadas pela ANPD.

Operadores

Também é facultativa a indicação de encarregado por operadores, isto é, pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador. Entretanto, da mesma forma que ocorre com Agentes de Tratamento de Pequeno Porte, a nomeação de um encarregado pelo tratamento de dados pessoais é considerada política de boas práticas de governança e pode servir como fator de minoração das sanções aplicadas pela ANPD.

Pessoas Jurídicas de Direito Público

No caso de pessoas jurídicas de direito público, a designação do encarregado é obrigatória para garantir a transparência e a conformidade com a LGPD. Esses encarregados têm um papel crucial na implementação e fiscalização das práticas de proteção de dados, sendo responsáveis por atender às demandas dos titulares e da ANPD, devendo recair a indicação, preferencialmente, sobre servidores ou empregados públicos detentores de reputação ilibada.

Da Identidade e das Informações de Contato do Encarregado

A identidade e as informações de contato do encarregado devem ser disponibilizadas publicamente, preferencialmente nos sites das organizações. Se o encarregado for pessoa física, deve-se divulgar o nome completo. Se for pessoa jurídica, a razão social da empresa e o nome completo do responsável devem ser informados. Em ambos os casos, é necessário divulgar os meios de comunicação para que os titulares possam exercer seus direitos e a ANPD possa fazer contato. Isso garante transparência e facilita a comunicação com os titulares de dados pessoais, permitindo-lhes exercer seus direitos garantidos pela LGPD.

A Avinto oferece profissionais experientes para atuarem como DPO as a Service, ajudando empresas a cumprir essas exigências com eficiência e transparência.

Do Conflito de Interesse

É crucial que o encarregado exerça suas funções com independência e sem conflitos de interesse. Isso significa que o encarregado não deve ter outras responsabilidades ou vínculos que possam comprometer sua capacidade de garantir a proteção dos dados pessoais de forma imparcial e eficiente.

Importância do Encarregado pelo Tratamento de Dados Pessoais (DPO) para a Conformidade com a LGPD

A presença de um encarregado bem qualificado é fundamental para garantir que a organização cumpra os requisitos da LGPD. Este profissional atua de forma preventiva, identificando riscos e implementando medidas para mitigar possíveis incidentes de segurança. Ademais, ao promover uma cultura de privacidade, o encarregado ajuda a construir a confiança dos clientes e parceiros, o que pode se traduzir em vantagem competitiva para a empresa.

Conclusão

O encarregado pelo tratamento de dados pessoais (DPO) desempenha um papel vital na conformidade com a LGPD. Sua atuação abrange desde a orientação interna até a comunicação com a ANPD, passando pelo atendimento aos titulares de dados. Para que uma organização esteja realmente em conformidade com a LGPD, a presença de um encarregado bem preparado e proativo é imprescindível.

Ademais, implementar um programa eficaz de governança em privacidade é essencial para cumprir a LGPD e proteger os dados pessoais. Para consultores e empresas de pequeno e médio porte, um bom software de LGPD pode ser uma ferramenta valiosa, simplificando a gestão de dados e garantindo a conformidade com as normas. Além disso, a consultoria especializada pode oferecer orientações e suporte na elaboração e implementação de políticas de privacidade robustas, ajudando as empresas a mitigar riscos e responder adequadamente às demandas regulatórias e dos titulares de dados.

Para mais informações sobre a LGPD e a atuação do encarregado, consulte a Autoridade Nacional de Proteção de Dados (ANPD) e outros sites especializados em proteção de dados.

Fontes:

• Lei Geral de Proteção de Dados – LGPD
• Autoridade Nacional de Proteção de Dados – ANPD
• Documentos e Publicações da ANPD

The post Encarregado pelo Tratamento de Dados Pessoais (DPO) appeared first on Avinto.

Análise de Critérios Gerais e Específicos

A análise de um tratamento de alto risco se dá através de critérios gerais e específicos delineados pela LGPD proporcionam um quadro claro para determinar se um determinado tratamento se enquadra como de alto risco. Os critérios gerais englobam o tratamento em larga escala ou o tratamento que possa afetar significativamente os interesses e direitos fundamentais dos titulares. Por sua vez, os critérios específicos incluem o uso de tecnologias emergentes, vigilância de áreas acessíveis ao público, decisões baseadas em tratamento automatizado de dados pessoais e a utilização de dados sensíveis ou de grupos vulneráveis, como crianças, adolescentes e idosos.

Base Conceitual dos Critérios Gerais

A compreensão dos critérios gerais é fundamental para avaliar o risco envolvido no tratamento de dados pessoais. A noção de larga escala e o impacto sobre os interesses e direitos fundamentais dos titulares são pontos-chave nesse contexto. O conceito de larga escala, especialmente, é relevante em várias situações, desde a definição do tratamento de alto risco até a classificação de infrações graves e a avaliação da gravidade de incidentes de segurança.

Análise Quantitativa e Qualitativa

É crucial ressaltar que a determinação do tratamento de alto risco envolve tanto uma análise quantitativa quanto qualitativa. Enquanto a larga escala é avaliada principalmente quantitativamente, levando em conta o número de titulares envolvidos, o impacto significativo sobre os interesses e direitos fundamentais dos titulares é uma avaliação qualitativa. Isso significa considerar o potencial impacto nas liberdades individuais, no exercício de direitos e na ocorrência de danos materiais ou morais.

Critérios Gerais para Tratamento de Alto Risco

Critério Geral 1: Larga Escala

O termo larga escala se primordialmente ao número significativo de titulares envolvidos. De forma complementar, para a caracterização da larga escala podem ser considerados, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.

Número Significativo

Quanto ao número significativo de titulares, a Autoridade Nacional de Proteção de Dados (ANPD) estabeleceu um valor referencial considerando como número significativo e, portanto, em larga escala, qualquer tratamento que envolva o quantitativo mínimo de 2 (dois) milhões de titulares, o que representa aproximadamente 1% da população brasileira.

Larga Escala: Metodologia para Caracterização

A ANPD propõe uma abordagem multicritério para essa análise, levando em consideração diversos elementos práticos e contextuais do tratamento. Neste artigo, serão detalhadas as seis etapas dessa metodologia, visando proporcionar uma compreensão abrangente do processo de avaliação.

 Para acessar a planilha que traz a Metodologia de Alto Risco para Teste da ANPD, basta clicar aqui.

Etapa 1: Determinação do Número de Titulares e seu Peso Associado

Na primeira etapa, é essencial determinar o número de titulares (NT) cujos dados são tratados e atribuir um peso associado a esse valor. A tabela fornecida pela ANPD estabelece diferentes pesos de acordo com faixas específicas de quantidade de titulares. Esses pesos serão somados aos obtidos nas etapas subsequentes para avaliar a caracterização da larga escala.

Etapa 2: Determinação do Volume de Dados Pessoais e seu Peso Associado

Para obter a volume de dados tratados por titular (VDT), realiza-se a soma dos dados pessoais totais tratados e, em seguida, divide-se esse resultado pelo número total de titulares. O peso correspondente a essa divisão, conforme especificado na tabela abaixo, é então somado aos pesos obtidos nas demais etapas para determinar se o tratamento se caracteriza como sendo de larga escala.

Etapa 3: Determinação do Peso Associado à Duração do Tratamento

A terceira etapa envolve a determinação do valor associado ao período de tempo (T) durante o qual os dados dos titulares são tratados. Novamente, a ANPD fornece uma tabela com valores atribuídos a diferentes faixas de duração do tratamento. Esses valores serão somados aos pesos das etapas anteriores para compor o resultado final da análise.

Etapa 4: Determinação da Frequência do Tratamento e seu Peso Associado

É importante considerar a frequência (F) com que os dados pessoais são tratados e atribuir um peso associado a esse quantitativo. A finalidade do tratamento deve justificar a frequência com que o agente de tratamento o realiza. A ANPD disponibiliza uma tabela com valores para diferentes faixas de frequência de tratamento, os quais serão somados aos pesos das etapas anteriores.

Etapa 5: Determinação da Extensão Geográfica do Tratamento

Nesta etapa, avalia-se a extensão geográfica (EG) na qual os dados pessoais são tratados e atribui-se um peso associado a essa dimensão. A ANPD estabelece valores para diferentes faixas de extensão geográfica, desde municipal até internacional. O peso atribuído será somado aos obtidos nas etapas anteriores.

Etapa 6: Definição do Valor Total da Análise de Larga Escala e Tomada de Decisão

Na última etapa, soma-se o valor total da análise de larga escala. Esse valor serve como parâmetro para a tomada de decisão sobre a caracterização do tratamento como de larga escala. A ANPD estabelece um limite mínimo para essa caracterização e sugere avaliação adicional para resultados próximos a esse limite.

Estabeleceu-se como limite máximo para não ser considerado larga escala um resultado inferior a 25. Qualquer resultado que for superior a 25 pontos no somatório, a ANPD sugere que seja considerado como larga escala.
Para resultados do somatório entre 23,5 e 25, a recomendação é que o agente de tratamento avalie o caso concreto para decidir se é larga escala.

Critério Geral 2: Afetar Significativamente Interesses e Direitos Fundamentais

O art. 4º, §2º, da Resolução nº 2/2022 da LGPD enumera exemplos do que pode constituir tal afetação, incluindo a possibilidade de impedir o exercício de direitos, a utilização de serviços ou causar danos materiais ou morais aos titulares. Esses danos podem incluir discriminação, violação à integridade física, direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

É necessário, então, considerar três elementos centrais para caracterização de afetar significativamente os direitos e interesses dos titulares de dados. São eles:

1. impedir o exercício de direitos;
2. impedir a utilização de um serviço; ou
3. puder ocasionar danos materiais ou morais aos titulares, tais como:
   • discriminação;
   • violação à integridade física;
   • ao direito à imagem e à reputação;
   • fraudes financeiras; ou
   • roubo de identidade.

O rol acima não é taxativo, podendo haver outras situações que acarretam danos morais ou materiais além das listadas.

Critérios Específicos para Tratamento de Alto Risco

Uso de Tecnologias Emergentes ou Inovadoras

Tecnologias emergentes são aquelas em desenvolvimento, capazes de alterar ou redefinir modelos de negócio, e com potencial para exercer uma influência substancial sobre a economia. Essas inovações representam avanços práticos com um alto grau de relevância empresarial, destacando-se pelo potencial de crescimento rápido e impacto na sociedade, embora seus riscos ainda não estejam totalmente compreendidos, especialmente no que diz respeito às práticas de privacidade e proteção de dados. Exemplos dessas tecnologias incluem Inteligência Artificial (IA), Sistemas de Reconhecimento Facial e Veículos Autônomos.

Vigilância ou Controle de Zonas Acessíveis ao Público

Esse critério se aplica a situações em que ocorre o tratamento de dados pessoais com o propósito de monitorar ou controlar a presença e movimentação de pessoas em áreas de acesso público, como ruas, praças, estações de metrô, aeroportos, estádios e shopping centers. É importante ressaltar que o uso exclusivo em ambientes domésticos, onde não há captação de imagens dessas áreas mencionadas, não se enquadra nesse critério. Exemplos de ferramentas utilizadas para tal vigilância ou controle incluem câmeras de segurança, drones de monitoramento e dispositivos de rastreamento via GPS.

Decisões Tomadas Unicamente com Base em Tratamento Automatizado de Dados Pessoais

Essas decisões se referem ao uso de sistemas computacionais e algoritmos para realizar operações ou tomar decisões relacionadas a informações pessoais. Isso pode envolver a classificação, avaliação, aprovação ou rejeição de dados pessoais com base em critérios previamente estabelecidos. Assim, esse critério se aplica a situações em que algoritmos ou outras tecnologias são empregados para o tratamento automatizado de dados de forma significativa.

Utilização de Dados Pessoais Sensíveis ou de Dados Pessoais de Crianças, Adolescentes e Idosos

Por fim, a utilização de dados sensíveis ou pertencentes a grupos classificados como vulneráveis requer uma atenção especial. Esse critério específico abrange situações em que são manipulados dados sensíveis ou dados de grupos vulneráveis, como crianças, adolescentes e idosos, exigindo um grau maior de proteção.

Conclusão

Em conclusão, a determinação de um tratamento como de alto risco na LGPD é baseada na combinação de critérios gerais e específicos. Ao atender a um dos critérios gerais e, cumulativamente, a um dos critérios específicos, um tratamento é considerado de alto risco. Portanto, a análise criteriosa desses critérios é essencial para garantir a conformidade com as regulamentações de proteção de dados e para proteger os direitos fundamentais dos titulares de dados. Ao seguir as metodologias de análise e compreender os diferentes elementos envolvidos, as organizações podem garantir uma abordagem responsável e eficaz no tratamento de dados pessoais, promovendo a segurança e a privacidade dos indivíduos.

Para garantir a conformidade de suas atividades com a LGPD, o auxílio de um software especializado em LGPD ou uma consultoria especializada em proteção de dados podem amparar na implementação de um programa de governança em privacidade robusto, contribuindo assim para a proteção dos direitos dos titulares e para a conformidade legal.

The post Tratamento de Alto Risco appeared first on Avinto.

É importante ressaltar que o controlador não deve realizar o tratamento com base na hipótese legal do legítimo interesse caso o teste de balanceamento conclua pela prevalência dos direitos e liberdades fundamentais e legítimas expectativas dos titulares.

Não existe uma abordagem única para o teste de balanceamento. Em algumas circunstâncias, o teste pode ser breve ou simplificado, como nos casos em que é claramente identificada a existência de baixo impacto aos direitos dos titulares. Em outras situações, tal avaliação poderá demandar maior detalhamento e robustez, como, por exemplo, no caso de uso de novas tecnologias baseadas em quantidades massivas de dados pessoais.

3 Fases do Teste de Balanceamento

Fase 1: Finalidade

Nesta fase inicial do teste de balanceamento de legítimo interesse, é fundamental analisar o contexto da realização do tratamento, com foco sobre os benefícios gerados e as finalidades que se pretende alcançar. Para tanto, a primeira providência a ser adotada é a verificação da natureza dos dados pessoais, considerando que o legítimo interesse não é aplicável ao tratamento de dados pessoais sensíveis. Além disso, caso o tratamento envolva dados pessoais de crianças e adolescentes, devem ser adotadas as medidas adequadas visando à observância e à prevalência de seu melhor interesse.

Também nesta fase, é crucial identificar e descrever o interesse que justifica o tratamento, seja do controlador ou de terceiros, avaliando-se a sua legitimidade, sua compatibilidade com o ordenamento jurídico, seu embasamento em situações concretas e sua vinculação a finalidades legítimas, específicas e explícitas.

Fase 2: Necessidade

A segunda fase do teste é fundamentada na LGPD, especialmente no art. 7º, IX, que utiliza a expressão “quando necessário”, e no art. 10, §1º, que estabelece que “quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados”.

Neste ponto, cabe ao controlador identificar se o tratamento baseado no legítimo interesse é realmente necessário para atingir os objetivos definidos na fase anterior, além de estabelecer medidas de minimização do uso de dados para alcançar a finalidade pretendida. É essencial privilegiar formas menos intrusivas para atingir a finalidade, analisando se é possível alcançá-la de uma forma menos onerosa e com menores riscos ao titular.

Fase 3: Balanceamento e Salvaguardas

A terceira e última fase do teste de balanceamento consiste na etapa de realização da ponderação entre os interesses do controlador ou de terceiros e os direitos e liberdades fundamentais do titular. Neste ponto, será necessário avaliar o potencial risco e os impactos sobre os titulares dos dados com base nos interesses e nas finalidades identificados nas fases anteriores, balanceando esses riscos com as salvaguardas a serem adotadas e com o acesso claro e preciso aos titulares acerca das informações relativas ao tratamento de seus dados.

É fundamental adotar a perspectiva do titular nesta fase, garantindo que suas legítimas expectativas, direitos e liberdades fundamentais sejam respeitados. Quando os dados pessoais tratados se referirem a crianças ou adolescentes, também deve-se avaliar a prevalência de seu melhor interesse.

Cabe destacar que a existência de um possível risco ou impacto negativo sobre os titulares dos dados não afasta, por si só, a possibilidade de tratamento dos dados pessoais com base no legítimo interesse. O que a LGPD exige não é o impacto zero, mas sim que eventuais impactos sejam minimizados e levados em consideração na adoção de salvaguardas, garantindo que, no caso concreto, os interesses que justificam a realização do tratamento sejam compatíveis com o respeito aos direitos e às liberdades fundamentais do titular.

Prevenção à Fraude e à Segurança: Teste de Balanceamento

A LGPD autorização para o tratamento de dados sensíveis em prol da prevenção à fraude e segurança do titular, especialmente em processos de identificação e autenticação em sistemas eletrônicos. Embora essa autorização seja específica, sua aplicação requer uma análise semelhante à do legítimo interesse para que assim o controlador garanta que, no caso concreto, os direitos fundamentais do titular sejam protegidos, conforme estabelecido na própria legislação.

Modelo de Teste de Balanceamento de Legítimo Interesse

Para auxiliar os controladores no cumprimento das diretrizes estabelecidas pela LGPD e na realização do teste de balanceamento de legítimo interesse, apresentamos a seguir um modelo que pode ser utilizado e adaptado às necessidades específicas de cada organização:

Este modelo de teste de balanceamento pode ser utilizado como um guia inicial para auxiliar as organizações na avaliação da conformidade da escolha da hipótese de tratamento com a LGPD e na proteção dos direitos dos titulares dos dados. No entanto, é importante ressaltar que cada situação deve ser analisada individualmente, levando em consideração o contexto específico do tratamento de dados e os princípios estabelecidos pela legislação de proteção de dados.

Em resumo, o teste de balanceamento de legítimo interesse na LGPD é uma ferramenta crucial para garantir a conformidade legal e proteger os direitos dos titulares dos dados, promovendo uma cultura de privacidade e segurança da informação no ambiente digital. Ao seguir as diretrizes e as melhores práticas estabelecidas pela legislação, os controladores podem conduzir suas atividades de tratamento de dados de forma ética, transparente e responsável, fortalecendo a confiança dos usuários e contribuindo para o desenvolvimento de uma sociedade digital mais justa e equitativa.

Diante da complexidade e das exigências da LGPD, tanto em termos de conformidade legal quanto de proteção eficaz dos dados pessoais, contar com ferramentas e expertise especializada torna-se essencial para as organizações. Neste contexto, tanto um software especializado em LGPD quanto um consultor com conhecimento profundo da legislação desempenham papéis fundamentais.

Referências

• L13709compilado (planalto.gov.br)
• Guia Orientativo Hipóteses Legais de Tratamento de Dados Pessoais – Legítimo Interesse (www.gov.br)

The post 3 Fases do Teste de Balanceamento de Legítimo Interesse appeared first on Avinto.

A LGPD Autoriza Campanhas de Email Marketing?

Embora a LGPD não proíba explicitamente o email marketing, ela estabelece critérios que as empresas devem seguir para garantir que suas práticas estejam em conformidade com a lei. Isso inclui garantir que os usuários tenham controle sobre seus dados pessoais e que suas informações sejam tratadas de maneira segura e transparente.

Benefícios da Adequação do Email Marketing à LGPD

Adequar as práticas de email marketing à LGPD traz diversos benefícios, incluindo uma melhoria na entregabilidade de emails, uma redução na taxa de descadastro (churn rate) das listas de email e uma base de contatos mais qualificada e engajada.

Geração de Leads e a LGPD

A captação e a nutrição de leads são impactadas pela LGPD, exigindo uma abordagem mais transparente e consentida. Estratégias orgânicas de geração de interesse se tornam essenciais para construir relacionamentos sólidos e transparentes com os usuários, respeitando sua privacidade e protegendo seus dados pessoais.

A tônica se tornou alcançar leads por métodos mais orgânicos de geração de interesse e essa mudança de postura traz consigo a importância de uma abordagem mais autêntica e centrada no consentimento do usuário.

Compra da Base de Leads

Embora a compra de uma base de listas de e-mails direcionados para uma campanha não seja automaticamente considerada uma prática ilegal, o contexto em que essas informações são obtidas e transferidas pode torná-la questionável sob a perspectiva da LGPD. Nesse sentido, é fundamental realizar uma análise cuidadosa antes de adquirir uma lista de e-mails, levantando duas questões cruciais:

1. O terceiro com quem você negociou para obter a base de listas de e-mail pode comprovar que os dados foram obtidos de maneira legal?
2. O titular dos dados tinha conhecimento e consentimento explícito de que seus dados seriam utilizados para venda a terceiros?

É fundamental manter registros detalhados de todas as transações relacionadas à obtenção da lista de e-mails, registrando informações relevantes sobre os envolvidos, datas, métodos de obtenção e origem da lista. Além disso, é recomendável formalizar o acordo por meio de um contrato assinado entre as partes, evidenciando a legitimidade e o consentimento para transferência dos dados.

Mesmo após cumprir todos os requisitos legais, o recomendável é realizar uma análise amostral da lista de e-mails adquirida. Isso envolve verificar se há um número significativo de reclamações ou solicitações de descadastro por parte dos usuários. Um alto volume de rejeições pode não apenas levantar questões legais, mas também indicar uma base de dados imprecisa e pouco eficaz para as estratégias de marketing da empresa.

Quando Pode Enviar Email Marketing?

De acordo com a LGPD, é possível enviar email marketing em duas situações específicas:

1. Para clientes que já mantiveram relacionamento com a empresa, como aqueles que realizaram compras ou contrataram serviços, desde que tenham a opção de escolher por não receber comunicações de marketing.
2. Para pessoas físicas que tenham consentido explicitamente em receber comunicações da empresa, também com a opção de escolher por não receber.

Como Adequar Campanhas de Email Marketing à LGPD?

Para garantir conformidade com a LGPD, é essencial seguir algumas práticas recomendadas:

• Separar os contatos que consentiram daqueles que não consentiram em fazer parte da lista.
• Ser claro e direto ao solicitar o consentimento dos usuários, explicando claramente como suas informações serão utilizadas.
• Manter registros detalhados do consentimento obtido, incluindo data, hora e forma de obtenção.
• Oferecer opções claras de opt-out/revogação do consentimento, garantindo que os usuários possam retirar seu consentimento a qualquer momento.

Ainda, é crucial atentar-se a algumas diretrizes para garantir conformidade com a LGPD e promover uma abordagem transparente e ética no tratamento de dados:

• Certifique-se de que o consentimento obtido durante a coleta do e-mail seja específico para o envio de campanhas de e-mail e newsletters. Os dados não devem ser utilizados para outros fins, como veiculação de anúncios ou formação de perfis, sem o consentimento explícito do usuário.
• Transparência é fundamental. Sua política de privacidade deve comunicar de maneira clara e acessível como os dados do lead serão utilizados, de forma condizente com o consentimento exarado.
• O consentimento deve ser granular e específico. Ofereça aos usuários a possibilidade de escolher os tipos de mensagens ou conteúdos que desejam receber. Caixas de seleção como “Quais conteúdos deseja receber?” ajudam a segmentar melhor os clientes com base em seus interesses, além de estarem alinhadas com as exigências da LGPD.
• Inclua um link de opt-out em seus templates de e-mail, permitindo que os usuários revoguem seu consentimento de assinatura facilmente, caso desejem.
• Minimize a quantidade de dados coletados. Apenas os dados estritamente necessários para alcançar as finalidades pretendidas devem ser solicitados, em conformidade com os princípios da adequação e necessidade da LGPD. Por exemplo, se o objetivo é enviar conteúdo por e-mail, o e-mail muitas vezes é o suficiente, sendo o nome justificável para uma entregada mais personalizada, porém outros dados, como o telefone, já não se mostram pertinentes, por exemplo.
• Evite coletar dados pessoais sensíveis, como informações sobre origem étnica e racial, associação a organizações políticas ou religiosas, dados de saúde, vida sexual ou dados biométricos.

Ao seguir essas orientações, você estará não apenas em conformidade com a LGPD, mas também construindo relacionamentos mais transparentes e confiáveis com seus leads e clientes.

Exemplos de Textos para Formulários de Consentimento

Os formulários de consentimento devem ser claros e informativos, explicando claramente o propósito da coleta de dados e oferecendo opções claras de escolha aos usuários. Alguns exemplos incluem:

• “Assine nossa newsletter para receber atualizações e promoções.”
• “Receba o melhor conteúdo do nosso blog diretamente em sua caixa de entrada.”
• “Inscreva-se para receber informações sobre nossos próximos eventos.”

Exemplos práticos:

Principais Hipóteses de Tratamento Aplicáveis ao Email Marketing

Duas bases legais são especialmente relevantes para o email marketing: consentimento do titular dos dados e legítimo interesse da empresa. É essencial avaliar cada caso para garantir conformidade com a LGPD.

Consentimento

O consentimento deve ser livre, inequívoco e informado, com a opção de escolha clara para o titular dos dados. O titular precisa ter uma verdadeira opção de consentir ou não. É importante garantir que o consentimento seja obtido de forma transparente e que os usuários estejam cientes de como suas informações serão utilizadas.

Ainda, o consentimento deve ser expresso, ou seja, deve partir de uma conduta ativa do usuário e não mero padrão de navegação, por exemplo. Se a opção de autorização já estiver pré-assinalada, por exemplo, ela dificilmente será considerada como válida e eficaz.

Legítimo Interesse

O legítimo interesse é uma base legal importante sob a LGPD, que requer uma cuidadosa ponderação dos direitos e liberdades fundamentais dos titulares de dados e, por isso mesmo, importa em alguns ônus adicionais à instituição que o utilizam. Ao optar por essa base, é essencial considerar se o destinatário esperaria receber a mensagem em questão em situações cotidianas, normalmente por já possuir um relacionamento com a empresa, por exemplo. Além disso, é crucial equilibrar esses interesses legítimos com os direitos individuais dos titulares, lembrando que o legítimo interesse não pode ser utilizado quando há dados pessoais sensíveis.

Um exemplo prático do uso do legítimo interesse é o conceito de adesão flexível, também conhecido como soft opt-in, em campanhas virtuais. Esse modelo envolve uma série de situações de e-mail marketing que atendem a três critérios principais: primeiro, há um relacionamento preexistente entre o responsável pelo tratamento dos dados e o titular; segundo, a estratégia de marketing visa oferecer produtos ou serviços semelhantes aos desejados ou adquiridos anteriormente pelo titular; terceiro, é facilitada a opção de não consentimento, tanto no momento da adesão quanto no recebimento futuro de comunicações da empresa (opt-out).

Essa abordagem visa garantir uma interação transparente e ética com os titulares de dados, promovendo a liberdade de escolha e o respeito à privacidade dos indivíduos. Ao seguir essas diretrizes, as empresas podem utilizar o legítimo interesse de maneira responsável e em conformidade com as exigências legais estabelecidas pela LGPD.

Opt-out, Oposição e Revogação do Consentimento

É importante oferecer opções claras de opt-out e revogação do consentimento, garantindo que os usuários possam retirar seu consentimento a qualquer momento. Isso inclui garantir que os usuários possam facilmente optar por não receber mais comunicações da empresa e que suas informações sejam removidas da lista de contatos, se desejado.

Se a base legal utilizada for o legítimo interesse, essa manifestação pode ser considerada como uma oposição, dependendo do contexto. Em vez de apagar o e-mail, a organização deve apenas sinalizar que aquele endereço está na lista de titulares que não desejam receber mais comunicações. Isso evita erros futuros, já que a exclusão dos dados poderia resultar no envio inadvertido de novos e-mails ao titular.

Outra situação a ser considerada é o pedido de eliminação dos dados. Nesse caso, é importante agir conforme a solicitação do titular, garantindo que seus dados sejam removidos de forma eficaz e segura, em conformidade com os requisitos da LGPD.

Como Adequar uma Base de Leads à LGPD

Para adequar uma base de leads à LGPD, é crucial realizar uma análise meticulosa para compreender e distinguir quais leads possuem uma base legal adequada. Este é um processo que demanda atenção e cautela. É necessário revisar todos os dados e interações com esses leads para identificar quais deles já estão em conformidade com a legislação. É provável que muitos desses contatos se enquadrem nas bases legais de Consentimento, Legítimo Interesse e Contratos.

O legítimo interesse pode ser aplicado aos clientes com os quais você já possui relacionamento estabelecido. Por outro lado, contratos são uma hipótese de tratamento adequada para e-mails transacionais e de negociação. Já para situações como campanhas de venda e marketing, o consentimento é a base legal mais apropriada. Para garantir a conformidade, é fundamental confirmar se os leads desejam continuar recebendo suas comunicações. Uma estratégia eficaz para isso é o Consentimento Retroativo, que consiste no envio de uma campanha de e-mail marketing solicitando o consentimento dos leads para continuar a comunicação. É importante ressaltar que a falta de atualização nesse processo pode resultar em uma violação da LGPD. Portanto, é recomendável perguntar explicitamente aos leads se desejam permanecer em sua base de dados e deixar claro o propósito do envio de e-mails.

Ao seguir essas diretrizes, não apenas você estará em conformidade com a legislação de proteção de dados, mas também estabelecerá uma relação de confiança e transparência com seus leads, fortalecendo sua estratégia de marketing.

Referências

• Lei Geral de Proteção de Dados Pessoais (planalto.gov.br)
• Guia de Proteção de Dados Pessoais – Marketing (fgv.br)

The post LGPD e Email Marketing: Estratégias para Adequação appeared first on Avinto.