LGPD – Desmitificamos de vez a teoria e a utopia sobre o tema LGPD.
Tem muitos "especialistas" ganhando dinheiro com este assunto. Grande parte das empresas terceirizam os serviços de TI e a governança corporativa não tem nenhum conhecimento sobre os processos que impulsionam o negócio.
Mesmo porque muitos processos ligados às áreas de negócios também são terceirizados (juridico, contabilidade, RH, marketing, etc.).
Quando se fala da lei, existem dois pedacinhos importantes que ela traz, privacidade, que tem a ver com direitos humanos, que está na constituição federal. A lei vem consolidadar o direito de proteger a sua honra e privacidade, a lei fala de privacidade e proteção de dados pessoas.
Como eu vou proteger e assegurar esta privacidade?
Como vou gerenciar incidentes.
A lei foi construida pensando nas boas práticas de gestão e governança da informação.
Auditoria de TI é uma função importante.
A proteção de dados mais que uma SEGURANÇA DA INFORMAÇÃO É UM ASSUNTO MUILTIDICIPLICNAR, o que é importante saber primeiro? é uma lei, precisa de advogado, sim! para fazer um arcabouço regulatório que uma organização esta submetida, e tem diversar leis que chamamos de processo de harmoização.
tudo isso precisa ser analizado, e ai um advogado regulatório consegue ajudar a harmoinizar as diretrizes que a emrpesa precisa seguir para ter uma blindagem juridica.
A partir dai precisa de uma ação, uma força de mudança cultural, que uma ação consultiva, que envolve profissionais de governaça, risco e comçliance, pessoal de auditoria, pessoal de segurança, pessoal de tecnologia de informação, principalmente os ligados a segurança.
Quem faz? quando faz? pra quem faz?
A ferramenta 5W2H é um checklist administrativo de atividades, prazos e responsabilidades que devem ser desenvolvidas com clareza e eficiência.
A ferramenta 5W2H é um checklist administrativo de atividades, prazos e responsabilidades que devem ser desenvolvidas com clareza e eficiência por todos os envolvidos em um projeto. Tem como função definir o que será feito, porque, onde, quem irá fazer, quando será feito, como e quanto custará.
Eu diria que sem mapeamento de processos você não faz nada!
Todo o framework começa com estabelecimento de contexto, os fatores críticos de sucesso, para tomar uma decisão acertiva.
A Visão de governança é Controlar dirigir e monitorar com éfica tranparência, sustentabilidade, prestação de contas.
Para eu controlar eu preciso conhecer.
Entender o que a empresa faz e qual o cenário que ela está inserida para entender quais os fatores criticos de sucesso, a ferramenta serve para tomada de decisão acertiva.
Mapeamento de processos, eu tenho que conhecer o meu processo, analise de aderência, primeiro, qual o seu processo?
Quem são os Responsáveis?
Lei Geral de Proteção de Dados (Lei nº 13.709/2018)
Quais são os papéis do Controlador, do Operador e do DPO estabelecidos na LGPD?
O Art. 5º da lei esclarece diversos conceitos, entre os quais quem são e os papéis dos responsáveis. Iniciamos com o titular, que é o sujeito que tem todos os direitos.
O titular é a pessoa natural a quem se refere os dados pessoais, objeto do tratamento de dados (inciso V). Esse é o sujeito de direitos na LGPD, tópico que será tratado em artigo específico. Os demais agentes, a seguir, são os sujeitos que têm deveres para com o titular e à Autoridade Nacional de Proteção de Dados.
O DADO PESSOAL É ESTRITAMENTE DA PESSOA A QUEM ELE DIZ RESPEITO.
CONSENTIMENTO
Imagine que você não autorizou que seus dados fossem empregados por uma organização: essa deverá pedir permissão sua, e especificamente para que fim.
O Art. 5º da lei esclarece diversos conceitos, entre os quais quem são e os papéis dos responsáveis.
Os agentes de tratamento são o controlador e o operador (Art. 5º, inciso IX). Que Têm obrigação legal de prestação de contas dos registros dos tratamentos de dados pessoais e demonstrar a adoção de medidas eficazes capazes de comprovar o cumprimento das normas e a eficácia das mesmas. (Art. 6º, X). É o controlador e, ou, o operador, em razão das atividades, que respondem pelos dano patrimonial, moral, individual e coletivo, causados a outrem, em violação à legislação de proteção de dados (Art. 42).
A lei não determina quem na organização deva ser o controlador, mas pela responsabilização de eventuais danos, esse papel caberia a Gerente do condomínio ou do síndico. A lei determina em seu art. 9º que o titular tem direito a identificação do controlador e as informações de contato dele, logo uma obrigação de informar do controlador.
O operador de dados é pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (Art 5º, VI). A LGPD também estabelece a necessidade de disponibilizar informações sobre as responsabilidades dos agentes que realizarão o tratamento. Como o operador é um agente de tratamento, é importante fornecer informações ao titular da finalidade desse compartilhamento e as responsabilidades do operador (art. 9º, incisos, V e VI).
A Lei cria uma nova função, o encarregado de dados. O perfil desse profissional demanda conhecimentos de direito, tecnologia da informação, gestão e comunicação.
É a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) (Art. 5º, inciso VIII).
É o que na RGPD (GDPR, sigla em inglês para Regulamento Geral de Proteção de Dados, documento nº 2016/679, do Parlamento Europeu) é denominado de DPO (Data Protection Officer). O art. 41 da LGPD enumera as atribuições mínimas (§§2º e 3º) do encarregado e determina (§1º) que a identidade e as informações de contato do encarregado sejam divulgadas publicamente. Não há previsão de responsabilização direta do encarregado por danos causados na LGPD.
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão da administração pública Federal direta, criado pela Lei Geral de Proteção de Dados (Lei nº 13.709/2018), com natureza transitória para, entre outras competências, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, fiscalizar e aplicar sanções.
Devido a obrigatoriedade das pessoas físicas e jurídicas de direito privado e público, controladores de dados se justificarem, via seu encarregado de dados (DPO – Data Protection Officer), perante a Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares dos dados, é este profissional, que com habilitação específica e um suporte multidisciplinar, está revendo os processos dos ciclos de vida (da coleta ao descarte) de dados pessoais nas relações trabalhistas, contratos com clientes e fornecedores, contatos com clientes e visitantes via websites (cookies), feiras, etc., desenvolvendo e implementando as Boas Práticas de Governança de Dados nas empresas.
Nos casos em que a base legal utilizada seja o consentimento, é você cidadão que define se e como seus dados pessoais podem ser tratados por terceiros.
O dado pessoal é estritamente da pessoa a quem ele diz respeito.
Na teoria isso parece algo óbvio, mas na prática não é bem assim.
Imagine que você não autorizou que seus dados fossem empregados por uma organização: essa deverá pedir permissão sua, e especificamente para que fim, caso ela deseje compartilhar os dados com outras organizações -
Consentimento previstas na Lei Geral de Proteção de Dados Pessoais.
Se o seu consentimento for para finalidades determinada, isso significa que se te pedirem - para tratar dados de uma forma genérica, sem especificações, as informações encaminhadas tiverem conteúdo enganoso ou abusivo.
Com a nova lei, fica claro que quem é o verdadeiro dono do dado não é aquele que o utiliza, nem aquele que o salvaguarda em bancos de dados. Nada disso, o dado pessoal é estritamente da pessoa a quem ele diz respeito.
Se a gente fosse eleger a principal palavra da Lei Geral de Proteção de Dados Pessoais (LGPD), a escolhida seria, sem dúvidas, CONSENTIMENTO. É o titular, ou seja, a pessoa a quem se referem os dados que deve, se quiser - ao ser questionada, de forma explícita e inequívoca - autorizar que suas informações sejam usadas, por empresas e órgãos públicos, na hora da oferta de produtos e serviços, gratuitos ou não.
Na teoria isso parece algo óbvio, mas na prática não é bem assim.
E tem muito dado particular sendo usado para fins que seu dono ou dona real sequer sabem. Usos, inclusive, que podem até mesmo prejudicá-los.
Logo, se você não quer seus dados sendo manipulados por aí de forma indevida, tenha atenção aos seus direitos, que estão elencados na LGPD. E, aos poucos, você vai aprendendo mais e mais sobre como exercê-los!
Inicie a implementação LGPD com ferramentas de privacidade da plataforma portal litoral.
Acelere a jornada para a LGPD com implementação simplificada e suporte especializado.
Solicite Uma Demonstração.
Lei nº 13.709 - lei de proteção de dados
Adeque a sua empresa à LGPD (Lei Geral de Proteção de Dados)
A Lei LGPD está em vigor, adeque-se já!
Consultoria Digital. Monitoramento. Security Operation Center.
SSP Brasil Tecnologia da Informação.
21 anos de experiência na área de TI
13 anos com foco em Segurança da Informação.
Atuação com equipe de operacionalização e suporte de infra estrutura.
Identificamos as oportunidades de melhorias em segurança e implantamos a LGPDpara redução de riscos de impacto na operação e processos do negócio.
Vivência na implantação de iniciativas estratégias.
https://www.youtube.com/watch?v=fu_PTNzON_k
