LGPD

LGPD traz novos desafios e oportunidades para o marketing

Por

Por Vinicius Siqueira, líder de marketing da NICE para Caribe e América Latina.

A Lei Geral de Proteção de Dados já está a todo vapor nesse começo de 2021. Cada vez que entramos em um site, mesmo aqueles que acessamos com frequência, nos pedem autorizações.

Nos últimos dias, muitos começaram a questionar práticas do WhatsApp e cogitaram modificar a maneira como se comunicam por “instant messages”. São os novos tempos, nos quais os consumidores têm cada dia mais consciência da importância de seus dados e da necessidade de escolher com quem os compartilha.

A LGPD vem impactando e mudando a história de muitos setores e o marketing não fica de fora. Esta área, que realiza parte essencial do relacionamento das empresas com seus consumidores, tem um novo desafio pela frente: o de se reinventar diante das novas regulamentações, tanto no online ou offline, tanto no Brasil quanto no mundo.

Quando penso em Lei Geral de Proteção de Dados me vem à mente a questão da propriedade das informações. A democratização da web iniciou uma era em que as empresas tinham facilidade em conseguir e armazenar dados e esses eram facilmente utilizados pelos departamentos de marketing para fazer a ponte entre os desejos dos clientes e o que as empresas tinham a oferecer.

Agora, com as novas legislações, o consumidor se torna soberano em relação aos seus dados, mas não vejo isso como um problema e sim como uma nova porta que abrimos para desbravarmos uma nova realidade. Adaptação sempre foi uma característica fundamental em marketing e esta é mais uma grande oportunidade de irmos além.

A LGPD impacta o marketing em relação a coleta, armazenamento, segurança e compartilhamento dos dados de clientes e prospects. Por isso, a primeira coisa que devemos ter me mente é a necessidade de ter o controle da origem destes dados e como iremos utilizá-los. É o que chamamos de “deep dive”, ou seja, uma pesquisa profunda para saber exatamente de onde vem os dados que utilizaremos em uma campanha ou uma ação de vendas, de forma que possamos informar o cliente em caso de questionamento e termos a possibilidade de agir com rapidez em solicitações de descadastramento.

A segunda, e não menos importante, é a oportunidade que a LGPD nos dá de atuarmos de forma muito mais focada e alinhada com as tendências de consumo. Em todos os setores observamos cada dia mais a importância de uma experiência personalizada para conquistar novos clientes e fidelizar aqueles que já estão conosco. Com a lei, ações de marketing preocupadas em oferecer uma experiência rica e única para o público-alvo se tornam necessárias e mais do que bem-vindas.

O trabalho de geração de leads com a oferta de algo que seja útil ao consumidor também tem destaque nesse novo cenário. Afinal, sendo dono de seus dados, o cliente entende a importância que suas informações têm para o mercado corporativo e, consequentemente, pensa duas vezes antes de preencher uma ficha de inscrição com e-mail e telefone, por exemplo. Trocar essa informação por algo que seja útil e leve conhecimento, experiência (ela de novo) e/ou algum tipo de ganho mensurável acaba atraindo consumidores interessados na interação com a marca e com lead de potencial mais realista. O tempo dos disparos para mailings gigantes e aleatórios está chegando ao fim.

Finalizando, porém não menos importante, é necessário olhar para esses dados como a preciosidade que eles realmente são. E cuidar da segurança e da gestão da privacidade das informações de clientes e potenciais leads como uma ferramenta valiosa e com a qual precisamos lidar com todo entendimento do compliance das empresas e seus respectivos mercados e órgãos reguladores.

Dessa forma inauguramos uma nova era para o marketing, principalmente o digital. Quem se adaptar prontamente sairá na frente.

A importância do Data Protection Officer para a LGPD

Por

Por Eduardo Tardelli

Desde setembro deste ano, a Lei Geral de Proteção de Dados entrou em vigor, deixando as organizações sujeitas a multas e penalizações, caso não cumpram suas obrigatoriedades. E, apesar de ter sido sancionada em 2018, ela está gerando preocupação só agora, pois a maioria das empresas decidiu deixar para a última hora, começando as adequações somente neste ano, sem prever a pandemia do coronavírus.

Agora, além de pensar em novas formas de gerir os negócios para se manter no mercado com a crise, essas companhias precisam também implementar novas práticas e controles a fim de garantir o cumprimento da nova lei. Mas, além da preocupação com as multas, é preciso entender que o objetivo principal da LGPD é extremamente importante, tanto para a sociedade, quanto para as organizações em si.

A partir de agora, mais do que nunca, é necessário entender as diretrizes dessa nova lei e seu objetivo, para tornar mais fácil saber quais processos internos devem ser alterados e o porquê disso. Em paralelo, investir na conscientização coletiva da equipe como um todo para haja o cumprimento das normas e uma boa conduta é essencial, além da adoção da “cultura de proteção e segurança dos dados”, o que configura uma real mudança de mindset, uma tarefa desafiadora para muitas companhias

Neste contexto, é obrigatório definir uma das peças-chave desta nova legislação, o Data Protection Officer, ou seja, a pessoa que será encarregada de cuidar das questões referentes à proteção dos dados de seus clientes. Esse profissional terá como principal objetivo formar um programa de compliance focado na segurança da informação e no cumprimento da legislação e de suas normas.

Para que exerça seu papel, o DPO precisa estar totalmente informado das leis de segurança da informação, não só no Brasil, como no mundo, principalmente se a empresa tem ligações com outros países. Além disso, ele deve mostrar aos clientes quais são os dados que a empresa precisa coletar e o que será feito com cada um deles, mantendo-os seguros, de forma ética e segura por meio de boas práticas, condutas, ferramentas e controles.

Além disso, é o Data Protection Officer que recebe as reclamações e comunicações dos titulares, presta esclarecimentos e adotar providências; recebe comunicações da autoridade nacional e tomar as devidas providências; comunica e orienta aos colaboradores e os contratados da entidade a respeito das práticas a serem implementadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Ao definir um DPO, a organização consegue garantir uma maior assertividade às suas iniciativas, mitigando, dessa forma, futuros riscos com multas. A presença deste profissional também contribui para uma percepção positiva da empresa perante o mercado, pois demonstra que existe uma estrutura sólida dedicada à segurança das informações. Por fim, vale ressaltar que a LGPD é um assunto levado a sério por investidores internacionais, sendo assim, quem investe em ações para garantir a segurança no ambiente dos dados está à frente da concorrência.

É inegável que a profissão de DPO veio para ficar e, mais do nunca, será fundamental para monitorar, fiscalizar, orientar e fazer a ponte entre os titulares dos dados e as empresas. Seu papel deve ser valorizado e bem pontuado em negócios que desejam oferecer políticas internas e externas de dados de maneira mais segura e transparente!

Eduardo Tardelli, CEO da upLexis

Fintechs e LGPD: uma oportunidade para aproveitar um mercado exponencial com mais segurança e transparência

Por

Por Nathália Guerra


A transição do cotidiano do offline ao online está mudando radicalmente a forma como o mercado financeiro opera, dando espaço para a oferta de produtos financeiros totalmente digitais. As Fintechs – empresas que desenvolvem produtos financeiros digitais e utilizam a tecnologia como diferencial, têm oferecido inúmeras soluções neste formato, como cartões de crédito, débito, empréstimos, entre outros.

O crescimento deste segmento é vertiginoso, mesmo antes da pandemia do Coronavírus, que acelerou os processos digitais. O relatório da OCDE – Organização para a Cooperação e Desenvolvimento Econômico, aponta um aumento de mais de 300% na quantidade de Fintechs ativas no Brasil no período entre agosto de 2018 e junho de 2019.

É latente o potencial desta fatia de mercado em ascensão. No entanto, a transição das rotinas financeiras para o ambiente digital móvel, chamado mobile banking, expõe os usuários e os fornecedores de serviços a riscos, como fraudes e golpes de identidade. Tais ameaças não podem ser desconsideradas, principalmente no Brasil, onde vemos ocorrências de mais de três fraudes por minuto com cartão de crédito e roubo de dados de consumidores, segundo os dados do laboratório de cibersegurança da PSafe.

O segmento financeiro, mesmo digital, é densamente regulamentado no Brasil e o tema da segurança das informações já era uma realidade com suas legislações específicas, mas, desde setembro de 2020, com a vigência da Lei Geral de Proteção de Dados (LGPD), responsável por equipar os cidadãos com mais controle e autonomia sobre seus dados, ele está sendo impactado com o desafio da adequação.

Indo além da temática de segurança, que já é trabalhada pelas normativas do setor, existem outros pontos críticos da LGPD relacionados às Fintechs que afetarão substancialmente os processos das empresas, tais como o uso da identificação por biometria para a realização de transações financeiras no modelo de mobile banking; o atendimento de diversos direitos dos titulares de dados, em tempo razoável, pelos agentes de tratamento; e o foco no compliance regulatório e documentação.

Com essas imposições, como as Fintechs podem estruturar os processos internos a fim de permitir redução do risco de fraude e aproveitar o potencial deste mercado em conformidade com a LGPD? Seguem algumas dicas:

1) Desenvolver e divulgar de forma ostensiva uma Política de Privacidade clara e transparente, informando os fluxos de uso de dados e suas finalidades, além de definir seu Encarregado de Dados, conhecido como DPO – Data Protection Officer.

2) Disponibilizar, na própria Política de Privacidade, o contato do Encarregado de Dados, detalhar os direitos dos titulares e as formas para exercê-los.

3) Manter à disposição da ANPD – Autoridade Nacional de Proteção de Dados, o registro das atividades de tratamento e elaboração de relatório de impacto de tratamento de dados, necessário em alguns casos.

4) Estruturar processos internos para informar à ANPD e aos titulares de dados nos casos de “ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”, situação que merece atenção especial considerando a natureza dos dados financeiros e a extensão dos prejuízos no vazamentos desses dados.

Dado o contexto da LGPD e o aumento crescente do uso de dispositivos móveis para as transações financeiras e os riscos associados, há a necessidade de uma remodelagem de sistemas e processos internos das Fintechs a fim de implementar e, ou, priorizar a proteção de dados por meio da aplicação do conceito de Privacy by Design em sua espinha dorsal e integrar a privacidade à cultura organizacional.

Nathalia Guerra, advogada, especialista em Direito Digital, Compliance, Direito Médico e consultora de Data Privacy na ICTS Protiviti

A LGPD, os CMOs e o futuro do marketing digital

Por

Por Ivan Ferri

Em todo o mundo, há uma expectativa crescente de que todos se beneficiem da tecnologia digital sem perder o controle de suas informações pessoais. Esse sentimento ganhou força desde, ao menos, 2018, quando da eclosão do escândalo que tornou a empresa de análise de dados Cambridge Analytica símbolo do lado sombrio das redes sociais.

Apesar disso, nunca estivemos tão conectados. E a pandemia e o isolamento social fizeram aumentar ainda mais o acesso a internet e as redes sociais ao redor do planeta. É dentro desse contexto que a Lei Geral de Proteção de Dados (LGPD) entrou finalmente em vigência no Brasil, no fim de setembro.

É uma lei tão importante quanto o Código de Defesa do Consumidor foi no início dos anos 90. De lá pra cá, o brasileiro entendeu que, como cliente, ele possui direitos. O mesmo acontece agora com a LGPD que levou a privacidade para as reuniões de conselhos, primeiras páginas dos jornais e sites e fez todos repensarem sobre como lidam com dados digitais.

Inspirada na GDPR europeia, a LGPD diz, em poucas palavras, que todos os dados coletados sobre nós, por qualquer site, aplicativo, rede social, plataforma etc. é nosso. Eles pertencem a cada pessoa – a cada um de nós – e não mais as empresas.

É uma garantia legal de acesso e transparência sobre o uso de nossos dados. O cidadão poderá exigir de empresas públicas e privadas informações claras sobre quais dados ela coletou, como os armazena e para quais finalidades os usa. Poderá pedir cópia dos mesmos, solicitar que sejam eliminados ou até transferidos.

Mas o que muda na prática?

Pra começar, já que estamos em ano de eleição, a distribuição indiscriminada de mensagens por WhatsApp agora pode configurar não só infração eleitoral, mas também infração à própria LGPD.

Se um partido possui o celular de alguém isso é um dado pessoal. Para usá-lo mandando uma mensagem, por exemplo, será necessário que haja o consentimento livre, prévio e informado.

Esse consentimento não pode ser implícito. É necessário que cada pessoa efetivamente manifeste sua vontade (e haja prova disso) para que o dado seja usado.

Não é exagero dizer que a LGPD vai mudar o jogo para os profissionais de marketing – não apenas político. Nos últimos cinco anos, os CMOs se concentraram em trazer mais e mais tecnologia para o marketing. Agora, organizações com o hábito de acumular dados antes mesmo de saber o que farão com eles, precisarão passar por uma mudança de mindset.

Eles também precisarão repensar seus modelos de atribuição sem rastrear pixels ou como direcionar seu público sem coletar dados de listening, DMPs, provedores de ISP e bancos de dados de CRM quando não tiverem o consentimento de um usuário ou interesse legítimo (por exemplo, quando você precisa adquirir novos contatos para criar novos negócios).

Oficialmente, no entanto, as punições por desobediência à LGPD só serão aplicadas a partir de agosto de 2021. Ainda assim, os profissionais da área devem começar desde já a buscar um parceiro de marketing seguro, que possa fornecer os insights e o desempenho de que precisam para atingir seus objetivos, sem comprometer a privacidade do consumidor, seguindo não apenas as regras da LGPD, mas também respeitando as diretrizes e limitações de cada rede social e suas APIs. O foco em um ótimo conteúdo personalizado será ainda mais crítico para atrair e reter públicos em vários pontos de contato digitais.

A boa notícia é que você não precisa mais criar conteúdo para atingir o indivíduo, você precisa inspirar seus criadores de conteúdo sobre a persona de marketing específica que você deseja alcançar e, uma vez que eles estejam criando esse conteúdo, entregue-o às redes sociais e elas cuidarão da última milha de personalização.

Bem-vindo à nova era do marketing digital seguro. Uma realidade onde os profissionais de marketing precisarão repensar como criar conteúdo e redirecionar seu público. Assim, a inovação assume a liderança para fornecer uma realidade de negócios segura, onde experiências personalizadas e novos negócios ainda podem ser criados sem comprometer a privacidade.

Afinal, negócios centrados nos usuários devem respeitar seus usuários, inclusive a privacidade deles.

Ivan Ferri, Diretor de Gestão de Clientes e Crescimento da Socialbakers no Brasil

Cerca de 61% das empresas no setor financeiro precisam se adequar à LGPD, aponta estudo da ABES

Por

Para assegurar a privacidade e proteção dos dados pessoais, que também garante o relacionamento entre negócios brasileiros e estrangeiros, foi criada a Lei Geral de Proteção de Dados (LGPD), vigente desde setembro deste ano. Em meio à transformação digital acelerada por conta da pandemia, apenas 39,15% das corporações no setor financeiro estão em conformidade com as exigências da nova lei, é o que aponta o Índice LGPD ABES, ferramenta desenvolvida pela ABES – Associação Brasileira das Empresas de Software, em parceria com a EY, no qual mais de 2.050 empresas de diversos segmentos já responderam e tiveram seus diagnósticos. Com o objetivo de aumentar o número de companhias preparadas para a LGPD, o ABES Academy, área de educação e formação continuada da entidade, vai ministrar curso online sobre o tema .

O número preocupante não é exclusivo do setor financeiro, no cenário geral apenas 39,45% dos requisitos da LGPD são atendidos. Segundo o presidente da ABES, Rodolfo Fücher, estar em conformidade com a LGPD é um desafio de todas as áreas de uma empresa, recursos humanos, vendas, marketing, financeiro, administrativo, e principalmente o jurídico e TI, que precisam assegurar a existência de processos claros e recursos adequados para prevenir uso inadequado dos dados e evitar vazamentos de informações e ataques de hackers.

“A lei traz dois pontos fundamentais para a indústria financeira: transparência e consentimento. Por se tratar de empresas que lidam com contratos que podem conter muitos dados sensíveis dos clientes, é importante que essas informações sejam coletadas e tratadas com total aprovação da pessoa”, explica Fücher.

O índice também revela que o setor de finanças está distante dessa conformidade, já que 81,6% realizam a coleta dos dados sigilosos e 34,2% já sofreram incidente de violação nos últimos 2 anos. “Os dados são alarmantes, mas o objetivo da ABES é não apenas posicionar, mas principalmente oferecer ferramentas e referências com o propósito de ajudar as empresas em sua adequação diante das exigências da LGPD”, comenta o presidente da instituição.

Além de oferecer sugestões de como a empresa pode se adequar às conformidades após responder ao índice e gerar seu resultado, a ABES abriu inscrições para a quinta turma do curso Lei Geral de Proteção de Dados: Fundamentos e Implementação, do ABES ACADEMY, que será realizado de 9 a 19 de novembro, para disseminar mais conhecimento sobre o tema.

De acordo com Thomaz Côrte Real, consultor jurídico da associação, é importante fomentar o interesse das empresas no assunto para orientá-las sobre como cumprir a lei. “Esse curso é um dos poucos que contempla tanto as questões que envolvem a implementação jurídica quanto a técnica, então é uma ferramenta completa para quem precisa aprender e ficar em conformidade. Não há mais tempo a perder, as organizações precisam se adequar o mais rápido possível”, afirma.

Para acessar o índice e fazer o diagnóstico, clique aqui. A ferramenta é gratuita e está à disposição de todas as empresas, sendo associadas da ABES ou não. Já para se inscrever no curso do ABES ACADEMY, acesse o site do Sympla.

Índice LGPD ABES

A ABES e a EY criaram a ferramenta online Diagnóstico LGPD para que as empresas que estão em fase de adaptação de seus processos LGPD verifiquem seu nível de adequação ao projeto. A solução consiste em um questionário sigiloso por meio do qual as empresas podem fazer uma auto avaliação quanto aos diferentes pontos exigidos pela lei. Após o preenchimento, a ferramenta oferece um diagnóstico quanto ao grau de adequação da empresa com sugestões contextualizadas ao resultado.

Para utilizar a ferramenta, não é preciso e nem possível enviar informações pessoais ou referentes à empresa, como nome, CPF/CNPJ, entre outras. Após o preenchimento do questionário, o relatório em PDF é disponibilizado para download com informações referentes ao nível de adequação e com sugestões para melhoria – não é possível acessar este documento posteriormente. Os dados, enviados anonimamente, geram o Índice LGPD ABES sobre o cenário de compliance das companhias brasileiras em relação a nova lei.

Mais de 56% das empresas de tecnologia precisam se adequar à LGPD, aponta índice da ABES

Por

Diante da transformação digital acelerada vivida neste momento de pandemia, a Lei Geral de Proteção de Dados (LGPD), em vigência desde setembro deste ano, se torna cada vez mais necessária para assegurar proteção e privacidade dos dados pessoais. De acordo com esse cenário, a ABES – Associação Brasileira das Empresas de Software desenvolveu, em parceria com a EY, o Índice LGPD ABES, que permite o diagnóstico de empresas em relação à sua adequação à nova lei. Dentre as mais de 2.050 empresas, de diversos segmentos, que responderam, apenas 43,93% dos negócios em tecnologia estão em conformidade com as exigências. Com o intuito de apoiar na implementação das normas, o ABES ACADEMY, área de educação e formação continuada da entidade, vai ministrar curso online sobre o tema .

Mesmo abaixo da média, o setor tecnológico apresenta números superiores ao do cenário geral, no qual apenas 39,45% atendem aos requisitos da LGPD. Segundo o presidente da ABES, Rodolfo Fücher, estar em conformidade com a LGPD é um desafio de todas as áreas de uma empresa, recursos humanos, vendas, marketing, financeiro, administrativo, e principalmente o jurídico e TI, que precisam assegurar a existência de processos claros e recursos adequados para prevenir uso inadequado dos dados e evitar vazamentos de informações e ataques de hackers.

O mercado tecnológico é um dos que mais crescem anualmente, somente no Brasil a ascensão chegou a 10,5%, atingindo R﹩ 161,7 bilhões, de acordo com o estudo “Mercado Brasileiro de Software – Panorama e Tendência 2020”, publicado pela ABES em parceria com o IDC. Com isso, a adequação às normas estabelecidas é essencial para essas empresas, que são influência para as demais quando se trata de LGPD. “Nos dias atuais, não podemos debater estratégias para o desenvolvimento econômico e social de uma nação sem mencionar Inteligência Artificial, big data, blockchain, computação quântica e realidade aumentada, por exemplo. A tecnologia está presente em todos os âmbitos sociais, então, companhias do setor que não estão em conformidade com a LGPD podem facilmente perder a credibilidade”, explica Fücher.

O índice também revela que o setor está distante dessa conformidade, já que 70,3% realizam a coleta dos dados sigilosos e 30,9% já sofreram incidente de violação nos últimos 2 anos. “Ao bater de frente com dados preocupantes, a ABES se vê no papel de alertar, e também oferecer ferramentas e referências com o propósito de ajudar as empresas em sua adequação diante das exigências da LGPD”, comenta o presidente da instituição.

Além de oferecer sugestões de como a empresa pode se adequar às conformidades após responder ao índice e gerar seu resultado, a ABES abriu inscrições para a quinta turma do curso Lei Geral de Proteção de Dados: Fundamentos e Implementação, do ABES ACADEMY, que será realizado de 9 a 19 de novembro, para disseminar mais conhecimento sobre o tema.

De acordo com Thomaz Côrte Real, consultor jurídico da associação, é importante fomentar o interesse das empresas no assunto para orientá-las sobre como cumprir a lei. “Esse curso é um dos poucos que contempla tanto as questões que envolvem a implementação jurídica quanto a técnica, então é uma ferramenta completa para quem precisa aprender e ficar em conformidade. Não há mais tempo a perder, as organizações precisam se adequar o mais rápido possível”, afirma.

Para acessar o índice e fazer o diagnóstico, clique aqui. A ferramenta é gratuita e está à disposição de todas as empresas, sendo associadas da ABES ou não. Já para se inscrever no curso do ABES ACADEMY, acesse o site do Sympla.

Índice LGPD ABES

A ABES e a EY criaram a ferramenta online Diagnóstico LGPD para que as empresas que estão em fase de adaptação de seus processos LGPD verifiquem seu nível de adequação ao projeto. A solução consiste em um questionário sigiloso por meio do qual as empresas podem fazer uma auto avaliação quanto aos diferentes pontos exigidos pela lei. Após o preenchimento, a ferramenta oferece um diagnóstico quanto ao grau de adequação da empresa com sugestões contextualizadas ao resultado.

Para utilizar a ferramenta, não é preciso e nem possível enviar informações pessoais ou referentes à empresa, como nome, CPF/CNPJ, entre outras. Após o preenchimento do questionário, o relatório em PDF é disponibilizado para download com informações referentes ao nível de adequação e com sugestões para melhoria – não é possível acessar este documento posteriormente. Os dados, enviados anonimamente, geram o Índice LGPD ABES sobre o cenário de compliance das companhias brasileiras em relação a nova lei.

LGPD: conheça ferramentas tecnológicas para cumprir a lei

Por

Por Celso Breve, Head de LGPD, Assessment e Business Central na 4Results

Você já deve ter ouvido muito que a LGPD (Lei Geral de Proteção de Dados) veio e veio para ficar.Você também já deve ter ouvido muito que ela vai impactar nos seus negócios.

As perguntas, agora, seriam:

– Como realmente a LGPD vai impactar meus negócios?

– Minha empresa está realmente preparada para atender aos requisitos da LGPD?

A Gestão da Tecnologia da Informação pode ser estruturado por 3 pilares:

– as pessoas,

– os processos,

– a tecnologia.

As pessoas da sua empresa precisam estar treinadas para este novo ambiente e entender a responsabilidade delas ao trabalhar com as informações dos titulares (é assim que a LGPD chama os donos das informações que lidamos dentro das empresas).

Até foi criado o papel do DPO (Data Protection Officer), que precisará estar no organograma da empresa com responsabilidade bem definida. Os processos precisarão ser redesenhados para atender às exigências da LGPD e, mais uma vez, as pessoas precisam ser envolvidas para saber como utilizar os novos processos.

E a tecnologia? Qual sua empresa utilizará para atender a LGPD?

Hoje, as pessoas podem trabalhar em casa, na cidade, no campo, em outro país e, às vezes, até mesmo na empresa. Podem estar utilizando computadores, laptops, celulares. E podem estar trafegando dados dos titulares em arquivos, Word e Excel, por exemplo.

Podem enviar essas informações por e-mail e chat. Ou até salvar na nuvem. São dados não estruturados trafegando por vários meios. E a responsabilidade por vazamento desses dados é da empresa

No ciclo para governança de dados e proteção da informação, é preciso detectar, classificar, proteger, monitorar. E rodar este ciclo continuamente. É o PDCA da governança de dados.Como sua empresa poderia controlar essas informações?

A Microsoft desenvolveu várias ferramentas para ajudar nessa missão. Através da assinatura do Microsoft 365, você terá muito mais que o Office com que você já está acostumado. Você terá, também, muitas ferramentas de controle dos dados não estruturados que circulam pela empresa.

O Cloud App Security, o Advanced Data Governance e o Azure Information Protection são 3 ferramentas que estão à disposição para descobrir os dados sensíveis em dados não estruturados. Eles detectam, rastreiam e classificam as informações, de acordo com a política definida pela empresa, através dos chats, e-mails e documentos.E como eles fazem isto?É feita a entrada na ferramenta do que são considerados dados sensíveis para a empresa (CNPJ, por exemplo).

São definidas quais ações os usuários podem tomar para cada tipo de classificação que o documento recebeu e se essas informações serão criptografadas.

Através dessas ferramentas, é feita a classificação.Com o Microsoft Intune é confirmado que os acessos estão sendo feitos realmente pela pessoa que está se identificando, pela máquina e pelo aplicativo homologados pela empresa, estejam esses dados trafegando na estrutura local da empresa, na nuvem ou em dispositivos móveis.

Todos os dados sensíveis que forem trafegados o Microsoft Intune vai detectar, rastrear, classificar e criptografar.Com o Azure Active Directory e o Portal Office 365, sua empresa restringe o acesso aos dados apenas para as pessoas que realmente deveriam ter acesso a eles.

Além do padrão usuário e senha para identificação, você tem disponível “Multifactor autentication” que analisa o hardware que está sendo utilizado para o acesso, o IP (endereço da internet) que está acessando, além da localização. Tudo é integrado, tanto na nuvem como on premise (na empresa).

O acompanhamento dos dados trafegados podem emitir avisos de ações suspeitas ou restringir o acesso, além de ter os facilitadores de senha, que podem ajudar a deixar mais amigável a identificação no ambiente, utilizando biometria, pin ou o Windows hello.Você também tem disponível o Portal Microsoft Compliance Manager que, através do Compliance Score, ajuda a mostrar o quanto seus esforços, através da tecnologia, estão atendendo às exigências da LGPD.

Um dos princípios da LGPD garante livre acesso, ao titular, das informações que a empresa detém sobre ele. Como atender a este princípio com dados não estruturados? Através da ferramenta eDiscovery.

Com ela, o DPO coloca as credenciais para a busca e o sistema faz essa busca em todas as ferramentas Microsoft (Exchange, Sharepoint, OneDrive, Teams, Grupos, Pastas Públicas) e gera um relatório em que o DPO pode se basear para definir a ação a ser tomada.

A essas e outras ferramentas você tem acesso através da assinatura do Microsoft 365. Como foi dito acima, é muito mais que o Office. É o Office com todas as ferramentas de segurança que você precisa na sua empresa.

LGPD e seus impactos na relação de emprego

Por

Por Juliana Callado Gonçales, sócia do Silveira Advogados e especialista em Direito tributário 

A Lei nº 13.709/2018,conhecida como “Lei Geral de Proteção de Dados” ou “LGPD” interconecta-se com o direito do trabalho, na medida em que as relações de emprego, desde o seu momento prévio (recrutamento/seleção) até o período de vigência e rescisão contratual, exigem a realização de tratamento de dados pessoais.

Por força do contrato de trabalho, o empregado concede informações ao empregador (dados pessoais), tais como: nome completo, números de documentos, dados bancários, nome de familiares, endereço, data de nascimento, e até dados considerados como sensíveis pela LGPD como tipo sanguíneo, filiação de sindicato, dados biométricos e religião etc.

A partir da vigência da LGPD os empregadores deverão aditar os antigos contratos de trabalho e adaptar os novos para garantir a conformidade com a Lei. Dentre as suas cláusulas deverão conter informações sobre o tratamento de dados que será realizado, informações sobre o compartilhamento e a obrigação do colaborador em seguir as Políticas de Segurança da Informação e Proteção de dados da empresa.

Com a LGPD, outra cautela que deverá ser tomada pelo empregador é a observância do princípio da necessidade na coleta de dados pessoais. Assim, o empregador deve coletar apenas os dados do empregado que sejam estritamente necessários para a execução do contrato de trabalho/prestação de serviço.

Também deverá ser observado o princípio da finalidade, ou seja, os dados dos empregados devem ser utilizados exclusivamente para fins da execução do contrato de trabalho, não podendo ser destinado para outros fins, ainda que dentro da empresa, exceto se houver consentimento do empregado nesse sentido

Outra obrigação do empregador será garantir a segurança dos dados dos seus colaboradores, seja tomando as medidas para salvaguardar tais informações de ataques cibernéticos e acessos não autorizados, seja acautelando-se em compartilhar tais dados apenas com terceiros que também obedeçam aos comandos da LGPD.

Desse modo, o empregador também deverá aditar os contratos que mantém com parceiros comerciais onde há o fornecimento de dados pessoais dos seus colaboradores (ex: empresa que fornece vale-alimentação, escritórios de contabilidade, escritórios de advocacia, operadora de convênio médico, empresas cadastradas nas políticas de benefícios etc).

O aditamento contratual é importante na definição da responsabilidade dos agentes de tratamento de dados. A LGPD, no seu art. 42, fixa a responsabilidade dos agentes de tratamento de dados pessoais no caso de a atividade causar dano de ordem material, moral, individual ou coletivo.

Os agentes de tratamento ainda estão sujeitos as multas previstas no art. 52 da lei: de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; suspensão da atividade de tratamento de dados, eliminação dos dados, dentre outras.

Cumpre esclarecer que, pelos termos da LGPD, no cenário em questão, o empregador será considerado como controlador dos dados de seus empregados ou prestadores de serviço. O art. 5º, inciso VI da LGPD define controlador como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Ou seja, é o empregador que determinará como o dado pessoal do seu colaborador será tratado e por quem será tratado, daí a grande responsabilidade.

Para bem delimitar a sua responsabilidade, o empregador deve tomar, dentre outras, as seguintes cautelas: (i) exigir que os parceiros comerciais com quem compartilha os dados dos seus colaboradores também esteja em conformidade com a LGPD. Estes são chamados de operadores pela lei geral de proteção de dados; (ii) – delimitar contratualmente como estes operadores devem tratar os dados pessoais e (iii) fiscalizar como o tratamento está sendo realizado.

A importância de elaborar cláusulas contratuais bem definidas é justamente para buscar a mitigação da responsabilidade, dentro do legalmente possível, haja vista que a LGPD impõe, como regra, a responsabilidade solidária entre controlador e operador, ou seja, entre o empregador e os seus parceiros comerciais com quem compartilha dados dos seus colaboradores.

Gartner: 65% da população mundial terá dados pessoais protegidos por regulamentações de privacidade até 2023

Por

Em 2023, 65% da população mundial terá seus dados pessoais protegidos por algum tipo de regulamentação de privacidade digital, como a Lei Geral de Proteção de Dados Pessoais (LGPD), que está entrando em vigor no Brasil. Esta é a projeção da mais recente pesquisa do Gartner, Inc., líder mundial em pesquisa e aconselhamento para empresas, que indica um crescimento exponencial comparando com os dados atuais, uma vez que, em 2020, apenas 10% da população está protegida digitalmente por algum tipo de norma ou lei.

“Com mais países implementando leis de privacidade baseadas no regulamento da GDPR (General Protection Data Regulation, em inglês), é fato que o mundo caminha para adotar a linha europeia como o padrão global para lidar com informações pessoais”, diz Nader Henein, Vice-Presidente de Pesquisas do Gartner. “Os órgãos de controle estão instituindo normas de privacidade que buscam paridade com o GDPR. Esses regulamentos permitem que países inteiros estejam mais próximos de alcançar a adequação com a União Europeia, onde suas empresas podem se beneficiar de um mercado maior e com o novo status de ‘confiável’.”

Segundo o Gartner, ainda que algumas organizações ainda se mantenham concentradas na otimização de custos por conta da pandemia global COVID-19, é fundamental que as companhias incorporem o quanto antes as novas necessidades de um cenário de privacidade em rápida evolução na estratégia de dados de seus negócios. “Os líderes de gerenciamento de segurança e risco (SEM – de Security and Risk Management, em inglês) precisam ajudar suas empresas a adaptarem as práticas de tratamento de dados pessoais sem expor os negócios a perdas por meio de multas ou danos à reputação”.

Os analistas do Gartner alertam que os líderes de Segurança e Gestão de Risco precisam implementar o quanto recursos que suportem o aumento do volume de dados, assim como maior variedade e velocidade para os controles, implementando um programa completo de privacidade que seja capaz de gerenciar três estágios na gestão de informações: Estabelecimento, Manutenção e Evolução.

1) Estabelecimento – Segundo o analista Henein, o primeiro estágio para a implementação de programas de privacidade nas empresas é o Estabelecimento, no qual são mapeados recursos básicos e tecnologias para a condução de um programa de gerenciamento de dados. Esse mapeamento é necessário para qualquer companhia voltada para os clientes e que processe informações pessoais. Isso inclui a descoberta e o enriquecimento que permitem que as empresas estabeleçam e mantenham registros de riscos à privacidade.

2) Manutenção – O estágio seguinte, o de Manutenção, no qual as organizações dimensionam seus programas de gerenciamento de privacidade. Esse passo se concentra na administração contínua e no gerenciamento de recursos necessários para a realização das análises. Isso inclui melhorar o tempo de respostas a incidentes que violem dados pessoais, bem como trazer automação para avaliações de impacto de privacidade.

3) Evolução – A etapa de Evolução inclui ferramentas especializadas, buscando recursos que que se concentram na redução do risco de privacidade com pouco ou nenhum impacto no uso de dados. Um dos recursos mais populares permite que as organizações extraiam insights sobre seus consumidores de grandes bases de dados sem expô-los a riscos excessivos de privacidade. Esse tem sido um recurso crítico para as equipes de marketing.

E agora? O que precisamos saber sobre a LGPD

Por

Priscilla Silva, Diretora Jurídica da Visa

Com a série de reviravoltas que acompanhamos nos últimos dias em relação ao início da vigência da Lei Geral de Proteção de Dados (LGPD), a pergunta que todos têm feito é: quando, de fato, ela começará a valer? Sancionada em agosto de 2018, a LGPD, que dispõe sobre o tratamento de dados de pessoas naturais, entrou em vigor na última sexta-feira (18). E é preciso avaliar se a sua empresa está aderente ao conjunto de requerimentos que ela traz.

Superada a indefinição sobre a data de início de sua vigência, a ausência da nomeação da Autoridade Nacional de Proteção de Dados, traz desafios à efetiva implementação da lei, pois importantes pontos ainda requerem regulação e esclarecimentos. De toda forma, a adequação das organizações à LGPD é uma obrigação que precisa ser perseguida pelas empresas.

Tenho percebido que, mesmo após dois anos desde a sanção da lei, algumas organizações ainda têm muito trabalho pela frente. Por isso, com base em minha experiência, quero levantar aqui alguns pontos importantes e afastar alguns mitos, com o intuito de auxiliar na aplicação das medidas necessárias para essa transformação.

Minha primeira recomendação é: não tenha medo desse acrônimo!

Acredito que a LGPD permitirá um diferencial competitivo para que as empresas a implementem com o devido cuidado, trabalhando os dados pessoais em consonância com as disposições legais, de forma transparente e respeitosa perante os titulares. Além de apresentar diretrizes fundamentais, a LGPD tem um papel educativo essencial para a população. Vamos passar a entender melhor a finalidade do uso de dados pessoais, as políticas de privacidade, os critérios de tratamento, desde a coleta até a exclusão. Precisaremos ser os agentes de transformação, auxiliando no processo de conscientização sobre os dados pessoais. Há quem entenda que é melhor a ausência de transparência no tratamento de dados pessoais. Eu, todavia, compartilho do entendimento de que a educação e o conhecimento trazem consumidores melhor preparados e aptos a entender nossos produtos e serviços, os consumindo de forma correta.

Faço um paralelo com o Código de Defesa do Consumidor. Nem todos tinham a noção de seus direitos até a implementação desse conjunto de normas. Hoje em dia, somos sabedores de como agir em determinadas situações e nos valemos disso em nosso dia a dia. Abusos existem? Sim, mas a informação e a aderência às normas é a melhor solução para coibi-los.

Seguramente ganharemos maturidade durante esse processo. Na farmácia ou na página virtual do supermercado, por exemplo, nem sempre entendemos (ou somos informados) por que nos solicitam tantas informações. Cabe a nós começar a refletir sobre isso. Faz sentido fornecê-las? Eu gostaria de ser acionado por telefone, mensagem ou por outro canal posteriormente?

Nada mais justo do que compreender a finalidade no tratamento de seus dados. Por isso, as organizações precisam ser claras e promover uma transformação cultural que envolva diversas áreas, como Jurídico, Tecnologia, Segurança da Informação, Marketing, Soluções, Recursos Humanos, Finanças. Mostrar aos funcionários, do CEO ao estagiário, que a adequação tem a ver mais com respeitar o direito do titular da informação e menos com evitar punições. Aqui na Visa fizemos um mapeamento para identificar como cada área trata essa questão e promovemos um processo permanente de conscientização sobre a importância do tema. É um projeto de toda a empresa, todos são responsáveis!

De forma a tornar o tema mais prático, a seguir, abordo 5 dúvidas que costumam surgir com frequência quando discutimos a LGPD. Espero ajudá-los com o tema:

E agora, minha empresa já pode ser punida? As sanções administrativas previstas na LGPD serão aplicáveis a partir de 01 de agosto de 2021. Todavia, nada impede que titulares, autoridades e entidades coletivas apresentem pleitos sobre o tema.

A lei existe para bloquear o uso de dados? É um equívoco. A pessoa tem o direito de ser informada com transparência e exatidão sobre a finalidade do uso dos dados. A LGPD trouxe 10 (dez) bases legais que permitem o tratamento dos dados pessoais (lembre-se que o tratamento de dados sensíveis é mais restrito). Assim, saímos da possibilidade de tratar os dados com respaldo apenas no consentimento para ter a possibilidade legítima de utilizar outras bases legais. Desta maneira, seu projeto, produto ou serviço pode ser analisado sob o prisma de outras hipóteses legais que não o consentimento que, embora seja aparentemente mais simples de gerenciar, traz uma série de controles necessários e pode ser revogado a qualquer momento.

A lei só se aplica ao ambiente digital? Temos presenciado muitas discussões direcionadas apenas ao mundo virtual (muitas vezes focada na segurança cibernética), mas a LGPD é aplicável ao mundo físico também. Aquele formulário que você preenche na loja deve ter o mesmo tratamento cuidadoso que uma informação transmitida por meio digital.

Foi criada para punir as empresas e proteger o consumidor? O objetivo é trazer um amadurecimento e responsabilidade de todas as partes envolvidas, pessoas físicas e jurídicas, na questão de proteção dos dados pessoais.

Só grandes empresas precisam se adequar? Não. Empresas de todo porte precisam respeitar o conjunto de regras estabelecidas pela lei. E o quanto antes começar a avaliar, melhor. Sabemos que, para pequenas empresas, bem como para as startups e empresas de inovação, a Autoridade Nacional de Proteção de Dados terá a incumbência de definir procedimentos específicos – mas a transparência e zelo para com os dados pessoais é dever de todos.

Embora seja um processo que exija um forte esforço das organizações, encontrando inclusive resistência de alguns envolvidos receosos com as mudanças, vejo a LGPD como algo muito positivo para as organizações. É uma oportunidade ímpar de organizar melhor os processos, da coleta ao expurgo das informações, garantindo um fluxo mais transparente e eficiente dos dados e, até mesmo, propiciando o desenvolvimento de novos negócios. É uma evolução natural que temos que enfrentar de frente.

Com a LGPD entrando em vigor este mês o que as empresas devem fazer?

Por

Por William Faria

Quando todos esperavam que o acordo costurado na Câmara dos Deputados para adiar a entrada em vigor da LGPD para o dia 31/12/2020 fosse confirmado, o Senado Federal, usando de uma manobra de regimento, fez uma mudança brusca e colocou a entrada em vigor da LGPD para este mês. Independente da sanção ou veto presidencial, o que irá prevalecer é a data original da LGPD que estabelecia a vigência no dia 14 de agosto de 2020.
O que as empresas devem fazer agora?

As companhias precisam se adequar imediatamente, logo que correm o forte risco de exposição a inúmeros processos jurídicos. Embora as sanções da ANPD só possam ocorrer em agosto de 2021, nada impede que outros órgãos o façam, tais como Procon ou Ministério Público Estadual e Federal.
Um titular de dados que entenda que seu direito esteja sendo agredido pode, amparado pelo Código de Defesa do Consumidor, entrar com um processo na esfera cível. O próprio STF já considera em seus julgamentos a existência e realidade da LGPD.

É sabido de todos os embates entre o Executivo e Legislativo e da existência de um acerto entre os parlamentares para que a MP 959/2020 venha a caducar. Com isso, a LGPD entraria em vigor em 14 de Agosto de 2020 e as suas sanções via ANPD (Autoridade Nacional de Proteção de Dados) somente em 1º de agosto de 2021.

Resumidamente, em até 18 de setembro as empresas poderão sofrer uma enxurrada de processos e fiscalizações por não cumprirem com as normas da LGPD, o que, em termos financeiros e de imagem, são muito mais gravosos que as sanções da ANPD que ficarão para agosto de 2021

O que fazer então:

As empresas que não iniciaram seus preparativos devem nomear imediatamente um Encarregado de Proteção de Dados(DPO) para começar o programa de adequação à LGPD. O Encarregado de Proteção de dados deve estar apto para receber e responder todas as solicitações dos titulares de dados e das entidades fiscalizadoras;

Disponibilizar um canal de atendimento às demanda dos titulares de dados, seja por um e-mail , telefone , whatsApp ou página da Web;

Criar, mesmo que de forma manual, procedimentos para atender os direitos dos titulares;

E, por fim, disponibilizar de maneira clara na internet a política de privacidade.

Após essas medidas emergenciais, as companhias têm que iniciar as etapas de implantação de um programa de adequação à LGPD, com foco no término até agosto de 2021, quando começaram a ser aplicadas as sanções da ANPD.

Listei abaixo as principais atividades a serem executadas dentro deste período e que devem começar imediatamente.

  1. Realização de um assessment para entender quais processos tratam dados pessoais e quais estão mais expostos para eventuais demandas judiciais

2. Mapeamento de dados e inventários para que se possa identificar onde estão as informações pessoais na empresa e como podem, mediante à solicitação do titular de dados, prestarem acessos aos dados e direitos

3. Implantar um portal de direitos dos titulares tais como: confirmação da existência dos dados da pessoa física na instituição; relatório detalhado dos dados da pessoa física na instituição; coleta e gestão das autorizações para uso dos dados (Consentimento); eliminação dos dados identificáveis; não autorização para tratamentos de legítimo interesse; portabilidade completa de dados; atualização dos dados e pedido de revisão das decisões tomadas por processos automatizados

4. Treinamento com os colaboradores

5. Políticas de Privacidade detalhadas

6. Análise de impacto de Privacidade (DPIA)

7. Tratamento de Dados para segurança e privacidade: controles da ISSO 27001; mascaramento; criptografia; monitoramento nonimização; portabilidade; processo de Gestão de Privacidade.

William Faria, DPO (Data Protection Officer) e especialista em segurança da informação da GFT Brasil.

Não existe “depois” na adequação à LGPD. É agora ou multa!

Por

Por Washington Fray

Passado o susto inicial da pandemia do Coronavírus e as adaptações que foram necessárias para as empresas, outro assunto passa a ocupar o destaque na agenda executiva: a Lei Geral de Proteção de Dados, que entra em vigor no mês de agosto, segundo o Senado Federal, e deve ser sancionada nas próximas três semanas pelo presidente. Isso significa que as empresas precisam correr com seus projetos, visto a complexidade do processo de adequação à LGPD.

Até por uma questão cultural, os brasileiros costumam deixar seus afazeres para última hora ou, em casos mais extremos, apostar com a sorte ao não fazê-los. Mas, neste caso, o descumprimento das normativas da LGPD pode resultar numa multa de 2% do faturamento do Grupo como um todo, no caso de pertencer a algum.

Para quem não começou a se preparar, o ponto de partida é o mapeamento de todos os dados armazenados pela organização. O processo pode ocorrer por meio de planilhas, entre outros. Neste momento, é necessário a realização de uma categorização, separando os dados pessoais daqueles que são sensíveis para analisar qual informação é preciso manter e qual deverá ser descartada – aquelas que não fazem sentido manter – e onde armazená-la, do ponto de vista da segurança da informação.

Nesta linha, o segundo passo é mapear as pessoas que têm acesso a essas informações. Isso porque, além de blindar a empresa, é necessário assegurar aqueles que precisarão manipular essas informações, criando uma barreira. Aqui, se torna necessário o uso de tecnologia, tanto para detecção quanto para a prevenção e combate das vulnerabilidades.

No terceiro passo, caímos na segurança da informação. E essa é a chave do processo de adaptação das empresas à LGPD. É preciso criar uma sequência de projetos para adequação, criptografia de dados e acesso seguro ao sistema, que envolve a complexidade das senhas de acordo com o perfil do usuário, além da limitação de informações armazenadas em banco de dados e a segurança de servidores. Este quesito merece uma atenção especial, pois além do acesso, temos a questão do vazamento de informações, ou seja, a infraestrutura precisa estar controlada.

Isso porque sua rede pode estar exposta para todos. Tome o momento que estamos como exemplo, o qual, com a adoção do home office às pressas, tornou vulnerável os ambientes corporativos, que estão sendo acessados remotamente, tornando-o cada vez mais exposto e explorado pelos hackers. Portanto, as empresas que já estavam mais preocupadas com a segurança, estão, consequentemente, mais preparadas às normativas da Lei.

Por último, e tão importante quanto aos demais passos, está a nomeação do profissional que assumirá o papel de DPO (Data Protection Officer), cargo criado pela LGPD. Ele deverá acompanhar as etapas do processo de adequação do ponto de vista tecnológico e jurídico, pois será o representante da empresa perante à Lei.

Somado aos dois aspectos que cabem o acompanhamento do DPO, temos uma terceira vertente, que são as questões culturais. Neste aspecto, serão necessárias mudanças na mentalidade dos colaboradores sobre a seriedade e a gravidade no compartilhamento de informações de cadastros e controles de acesso. Por isso, é de extrema importância orientar as pessoas sobre como lidar com o tratamento de dados a partir da Lei, pois de nada adianta realizar todo um investimento de infraestrutura se os funcionários compartilham entre si suas senhas.

Além dos colaboradores, há os fornecedores e parceiros, agentes que também precisam estar em compliance com a LGPD. Para isso, cabe adicionar uma cláusula no contrato sobre os cumprimentos da Lei. Ademais às etapas, ainda é preciso criar um relatório de adequação de riscos, o que demandará um plano de ação em caso de vazamento de informações.

O importante é ter em mente que, pelas numerosas etapas, há urgência. O tempo é curto para adequar seus processos à LGPD do ponto de vista jurídico, tecnológico e cultural. As empresas têm poucos meses para conquistarem sua maturidade neste processo e evitarem a exposição à Lei e suas consequências. Então, mãos à obra!

Washington Fray, diretor de marketing e vendas da Viceri, holding de Tecnologia da Informação especializada em desenvolvimento de software customizado, consultoria e produtos digitais

Frente empresarial defende a prorrogação da LGPD e a criação imediata da ANPD

Por

A ABES – Associação Brasileira das Empresas de Software, junto com outras 12 associações do setor de tecnologia, assinou hoje uma carta aberta às autoridades pela imediata segurança jurídica no tratamento de dados pessoais. As entidades pedem que a Lei Geral de Proteção de Dados – LGPD (Lei n.13.853) tenha sua da entrada em vigor prorrogada, tendo em vista a necessidade da criação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), a sua estruturação interna, os trabalhos em torno das peças regulatórias – que envolvem ampla e irrestrita consulta pública – e de orientação e educação das organizações e dos cidadãos em torno dessas regras. Somente assim será possível conciliar a proteção da privacidade no Brasil e a segurança jurídica.

LGPD e seus impactos na área tributária

Por

Por Rodrigo Forcenette

A LGPD, Lei 13.709/18, trará profundas alterações às pessoas físicas e jurídicas, de direito público e privado, no tocante ao tratamento de dados dos cidadãos brasileiros. O foco, objetivo da legislação, é proteger/garantir direitos fundamentais como liberdade, privacidade (inviolabilidade da intimidade, honra e imagem), livre iniciativa, livre concorrência, defesa do consumidor, livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania.

A lei foi criada para estabelecer princípios e regras para o tratamento de dados pessoais (operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração).

Por dado pessoal, segundo seu art. 5º, considera-se a informação relacionada à pessoa natural identificada ou identificável. Qualifica-se como “sensível” o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Em razão da vasta amplitude e generalização do conceito (dados pessoais), a LGPD afetará todos os ramos do Direito, indistintamente. O Direito Tributário não foge à afirmação, sendo tocado no que concerne aos dados relativos aos contribuintes em geral.

Isso porque no cumprimento das obrigações tributárias, informações e dados pessoais são transmitidos nas relações travadas entre “Fisco/contribuinte”, “Fisco federal/estadual/DF/municipal” e “contribuinte/contribuinte”.

Nessas relações haverá tratamento de dados, ensejando o cumprimento de várias regras e princípios (art. 6º) por parte dos respectivos controladores/operadores, em especial no tocante à sua proteção/segurança.

O Fisco está autorizado a tratar dados pessoais sem a necessidade de expresso consentimento do titular, por força do disposto no art. 7º, incisos II, III e VI:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
[…]

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

A LGPD (art. 23) também expressamente permite o tratamento (e até mesmo compartilhamento) de dados pessoais pelo Poder Público, para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:

I – sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;

II – (VETADO); e

III – seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei;

Entendemos, pois, que o Fisco, a despeito de ter autorização para tratamento de dados pessoais sem a necessidade de consentimento do titular, precisará ser transparente, deixando claro ao contribuinte as hipóteses em que o tratamento poderá ser feito sem a necessidade de autorização, sempre mediante a indicação de um encarregado.

Os agentes de tratamento devem adotar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. A lei arante diversos direitos ao titular, que podem ser exercidos em relação àqueles que tratam seus dados. É imperioso, pois, que tais agentes estejam preparados para cumprir a função, respeitar os direitos e garantias previstos.

Todos esses cuidados vêm ao encontro dos princípios que norteiam a atividade da Administração Pública – legalidade, impessoalidade, moralidade, publicidade e eficiência, previsto no caput do art. 37 da Constituição Federal. É importante, salutar, que o Poder Público dê o exemplo, viabilizando eficácia à nova ordem normativa.

A LGPD acaba demandando a criação, o desenvolvimento de uma cultura de proteção de dados pessoais, com a adoção de um programa contínuo de adequação, tanto no setor público, quanto no setor privado, de modo que o Direito Tributário e suas respectivas obrigações também serão afetadas.

Rodrigo Forcenette, sócio do Brasil Salomão e Matthes Advocacia e mestre em Direito Tributário

Cinco passos para uma empresa ficar pronta para a LGPD

Por

A nova Lei Geral de Proteção de Dados, que deveria entrar em vigor nesse mês de agosto, em função da Pandemia, foi transferida para maio de 2021. Com isso, as empresas ganham mais tempo para definir as estratégias, implementar os processos necessários e superar os desafios.

“Segundo o Índice LGPD ABES (Associação Brasileira de Empresas de Software), cerca 60% das empresas brasileiras não estão prontas para a LGPD. Dado o tamanho do país, há uma grande necessidade de ação em relação a dados uniformes. As empresas devem aproveitar a oportunidade de implementar a LGPD o mais rápido possível, com a ajuda de sistemas digitalizados, o que pode lhes proporcionar uma importante vantagem competitiva, inclusive para manter negócios com empresas da União Europeia, onde já foi implementada a GDPR”, Jens Bothe, especialista em segurança do Grupo OTRS.

E como fornecedor líder de soluções para gerenciamento de processos e comunicações e especialista em ambientes de segurança, o OTRS Group fornece cinco recomendações para ajudar as empresas a se adequar as normas:

1- Comece pequeno

A maioria das grandes empresas possui processos já definidos e as chamadas equipes de defesa cibernética em uso. No entanto, muitas pequenas e médias empresas ainda precisam elaborar suas estratégias. Para isso, é aconselhável começar “pequeno”: criar um Gabinete de Comunicação de Incidentes de Segurança é útil e é fundamental dedicar uma pessoa ou equipe de contato responsável por eventos relacionados à segurança. Isso pode criar documentação centralizada que mantém todos cientes do que está acontecendo.

2- Consulte especialistas experientes

As empresas nem sempre têm tempo para verificar todos os regulamentos para determinar se são relevantes para seus negócios. Portanto, não hesite em consultar especialistas externos experientes com perguntas sobre diretrizes e padrões aceitos.

3- Defina claramente os processos de segurança de TI

É importante que todas as empresas estabeleçam processos e responsabilidades claros para lidar com eventos relacionados à segurança. As seguintes perguntas devem estar entre as consideradas:

• Como você define um incidente de segurança?

• Quando exatamente um incidente precisa ser relatado?

• Quais dados ou processos devem ser protegidos?

• Qual é o impacto potencial do incidente?

• Quem deve ou pode ser informado de um incidente?

• Em que ordem e em que prazo a comunicação deve ocorrer?

4- Crie processos digitais centralizados

Para documentar os eventos de segurança e as etapas correspondentes tomadas para mitigar a situação de maneira segura, estão disponíveis sistemas como o STORM da OTRS AG. Eles agem como a espinha dorsal técnica dos processos de segurança de TI, suportam a comunicação relacionada a incidentes e armazenam a documentação em caso de auditorias posteriores. Eles possibilitam definir processos específicos para cenários de ameaças, conceder aos usuários acesso baseado em função e habilitar a comunicação criptografada entre usuários claramente autenticados, para que os ataques sejam tratados rapidamente e a documentação adequada seja capturada.

5- Enxergue a segurança de TI como um processo contínuo

Uma vez estabelecidos, os processos de segurança de TI se tornam uma parte cotidiana de suas atividades de negócios. No entanto, deve-se considerar que os regulamentos, processos e requisitos podem mudar repetidamente. É por isso que as empresas devem se manter atualizadas. Se você deseja desenvolver seu know-how de segurança e desenvolver uma equipe de segurança de TI em sua organização, deve se conectar com outros agentes de segurança e ficar a par das mudanças no setor.

“Nem todas as empresas estão preparadas para isso”, diz Luciano Alves de Oliveira, Diretor Geral da OTRS Brasil. “O Covid-19, por exemplo, foi o tema mais explorado para ataques cibernéticos durante o primeiro semestre de 2020, que atingiram organizações em todos os setores de atividade, incluindo governos, indústria, saúde, prestadores de serviços, infraestruturas críticas e consumidores. Na América Latina, durante o primeiro trimestre, foram registradas mais de 9,7 bilhões de tentativas de ataques cibernéticos, sendo 1,6 bilhão somente no Brasil. O número coincide com o aumento exponencial de profissionais que adotaram o home office nos últimos meses. A LGPD responde a isso e exige relatórios oportunos de incidentes de segurança. É por isso que é essencial que as empresas registrem os incidentes de TI e documentando-os legalmente”, complementa Oliveira.

Índice LGPD ABES aponta que 60% das empresas não estão em conformidade com lei

Por

A ABES – Associação Brasileira das Empresas de Software, com o objetivo de colaborar com o mercado quanto à adequação às regras da Lei Geral de Proteção de Dados (LGPD), desenvolveu, em conjunto com a EY, um indicador para acompanhar de perto o processo de adaptação das empresas no Brasil. E, segundo o Índice LGPD ABES, os números são alarmantes: cerca de 60% das empresas não atendem as exigências da nova lei, que pode entrar em vigor ainda em 2020.

O Índice LGPD ABES é resultado da ferramenta de diagnóstico online e gratuita que permite que as empresas verifiquem seu nível de adequação à nova lei de proteção de dados. A plataforma conta com informações de aproximadamente 900 empresas, das quais apenas 40,56% atendem aos requisitos da LGPD. Entre as empresas respondentes, 31,8% já sofreram incidente de violação nos últimos 2 anos e 75,5% realizam coleta de dados considerados sensíveis.

“Quando analisamos os números de empresas de grande porte, ficamos ainda mais preocupados: somente 38,31% delas estão atualmente em conformidade. O Presidente da República sancionou a Lei 14.010/2020, que dispõe, dentre outros temas, a respeito do adiamento da vigência dos artigos 52 a 54 da LGPD que tratam das sanções administrativas, para 1º de agosto de 2021. No entanto, as empresas precisam se adequar rapidamente pois há muito a ser feito”, explica Rodolfo Fücher, presidente da ABES, associação que tem como objetivo assegurar um ambiente propício para inovar, dinâmico, ético e competitivo globalmente. Sobre as empresas de pequeno e médio porte, com 20 a 99 empregados, 41,67% delas estão de acordo com a LGPD.

Roraima é o estado brasileiro que apresenta melhores índices de conformidade: 72,73%. Em contrapartida, no Rio Grande do Norte o número é de apenas 8,04%. Entre os setores, o destaque é o de Bens de Consumo, com 46,29%. As empresas de Agronegócios apresentam índice de 33,47%. O setor Financeiro aparece com 34,70% de índice de conformidade, sendo que 49,1% das empresas que responderam o questionário sofreram incidente de violação nos últimos 2 anos e 81,1% realizam coleta dos dados sensíveis.

Para Marcos Sêmola, sócio de Cibersegurança da EY, a ferramenta tem um forte papel educacional junto ao mercado brasileiro. “Queremos fomentar a participação das empresas para orientá-las, de forma gratuita e com total privacidade, sobre como cumprir a lei e a importância de realizar essa adequação o mais rápido possível. É uma maneira de oferecermos um serviço à sociedade inteiramente conectado ao nosso propósito empresarial, que é o de construir um mundo de negócios melhor”, afirma.

Quais são os próximos passos para a vigência da LGPD

Por

Por William Faria

Foi aprovado no fim de maio o Projeto de Lei nº 1.179/2020, no Senado Federal, que altera a data de vigência da Lei Geral de Proteção de Dados. O PL determinou que os artigos 52 a 54 da LGPD, que tratam das sanções aplicáveis em caso de violação da Lei, terão efetividade somente no dia 1º de agosto de 2021. Os demais dispositivos da Lei seguem com vigência no dia 3 de maio de 2021, conforme determinado pela Medida Provisória nº 959/2020.

No dia 12 de junho, o presidente Jair Bolsonaro aprovou parcialmente o Projeto de Lei 1.179,e manteve artigo 25 do PL – que trata o adiamento das sanções decorrentes do descumprimento da LGPD para 1º de agosto de 2021.

O Congresso Nacional, porém, ainda precisa apreciar a Medida Provisória nº 959/2020. Caso a MP seja rejeitada – ou venha a caducar, que é quando a lei não é votada em 120 dias, contados a partir de 29 de abril de 2020 -, a LGPD passa a vigorar em 14 de agosto deste ano. Mas, se a Medida Provisória for aprovada, então entrará em vigor em maio de 2021 , conforme determina a Lei nº 1.179/2020.

É sabido de todos os embates entre o Executivo e Legislativo e da existência de um acerto entre os parlamentares para que a MP 959/2020 venha a caducar. Com isso, a LGPD entraria em vigor em 14 de Agosto de 2020 e as suas sanções via ANPD (Autoridade Nacional de Proteção de Dados) somente em 1º de agosto de 2021.

As empresas podem postergar sua implementação para 2021?

De maneira nenhuma, sobre o forte risco de expor a companhia a inúmeros processos jurídicos. Explico aqui os motivos para o não adiamento da implantação da LGPD nas empresas:

• Embora a ANPD não possa fiscalizar as empresas, nada impede que outros órgãos façam tais como Procon ou Ministério Público Estadual e Federal Um titular de dados que entenda que seu direito esteja sendo agredido pode entrar com um processo na esfera cível.

• O STF já considera em seus julgamentos a existência e realidade da LGPD- no dia 7/05 o Plenário do Supremo Tribunal Federal referendou a decisão liminar para suspender a Medida Provisória 954, que libera o compartilhamento de dados pessoais por empresas de telefonia com o Instituto Brasileiro de Geografia e Estatística (IBGE). A relatora, ministra Rosa Weber utilizou em seu voto a LGPD como base de sua decisão e foi acompanhada por seus pares.

Resumidamente, a partir de agosto de 2020 as empresas poderão sofrer vários processos e fiscalizações por não cumprirem com as normas da LGPD, o que em termos financeiros e de imagem são muito mais gravosos que as sanções da ANPD, que ficarão para agosto de 2021.

O que fazer então:

Às empresas que não iniciaram seus preparativos e têm agora pouco mais de 3 meses para adequação, a sugestão é de que trabalhem com se adequarem nós sugerimos que sejam feitas 2 etapas:

• Emergenciais para atendimento da LGPD para agosto de 2020

• Necessárias para atendimento completo a LGPD até suas sanções em 2021

Nas emergenciais somente identifico:

– Assessment + Implementação de processos manuais para atender os direitos do Titular e atendimento de solicitações do Regulador

Atendimento completo

– Assessment + Proposta para atender de modo incremental a implementação das jornadas para atender os direitos do Titular e atendimento de solicitações do Regulador, de acordo ao cenário identificado no Assessment e com a maior eficiência possível e implementar entre outros:

1.Criação de Política de Privacidade

2. Nomeação e publicitação do DPO

3. Realização de um Assessment para entender quais processos tratam dados pessoais e quais estão mais expostos para eventuais demandas judiciais.

4. Criar o mapeamento de dados e inventários para que se possa identificar onde estão os dados pessoais em sua empresa e como podem, mediante a solicitação do titular de dados, prestarem acessos aos seus direitos.

5. Implantar um portal de direitos dos titulares, tais como:

• Confirmação da existência dos dados da pessoa física na instituição

• Relatório detalhado dos dados da pessoa física na instituição

• Coleta e gestão das autorizações para uso dos dados (Consentimento)

• Eliminação dos dados identificáveis

• Não autorização para tratamentos de legítimo interesse

• Portabilidade completa de dados

• Atualização dos dados

• Pedido de revisão das decisões tomadas por processos automatizados

6. Treinamento

7. Políticas de Privacidade detalhadas

8. Mapeamento dos Processos e linhagem de dados

9. Análise de impacto de Privacidade ( DPIA)

10. Tratamento de Dados para segurança e privacidade

§ Controles da ISO 27001

§ Segurança de Rede, acesso, aplicação, dados

§ PET de Privacidade

§ Engenharia de Privacidade

§ Revisão de Decisões Automatizadas

§ Mascaramento

§ Criptografia

§ Monitoramento

§ Anonimização

§ Portabilidade

11. Processo de Gestão de Privacidade

§ Manter Estrutura DPO

§ Manter Políticas de Privacidade

§ Manter Catálogos de Dados

§ Realizar descoberta de Impactos ( DPIA)

§ Operar Privacy by Design

§ Gerenciar riscos de Terceiros

§ Certificar Privacy by Design

§ Gerenciar Violações de Privacidade

§ Análise e Respostas as Solicitações

§ Monitorar Privacidade

§ Manter Treinamentos

§ Manter Comunicação

§ Manter Suporte aos Processos

12. Avaliação de Impacto de Proteção de Dados com o DPIA

§ Desenvolvimento com Proteção de Dados por Design e por Padrão

§ Etapas da Engenharia de Privacidade

§ Certificação do Produto para Privacidade

§ Auditoria de Privacidade nos Processos

Compreendo que entender todos os trâmites da LGPD neste momento podem ser complicados, mas ter informações precisas são extremamente necessárias para acelerar as transformações digitais das companhias e a a adequação às demandas regulatórias da lei.

William Faria, DPO (Data Protection Officer) e especialista em segurança da informação da GFT Brasil.

Adiar a LGPD é o melhor caminho para o Brasil?

Por

Por André Fernandes, diretor de Engenharia de Soluções da NICE

No final de abril, a Medida Provisória 959, publicada em edição extra do Diário Oficial da União, adiou oficialmente o início da vigência da Lei Geral de Proteção de Dados (LGPD) para maio de 2021. Esta é a segunda prorrogação da vigência da legislação, que entraria em vigor em janeiro de 2020 e, posteriormente, em agosto. No início de abril, o Senado já havia aprovado um projeto que adiava a LGPD para 2021 e que estava em discussão na Câmara.

Embora os trâmites para prorrogar a LGPD não sejam novos, o motivo alegado no momento é a pandemia do coronavírus, que teria alterado a prioridade das empresas. Várias delas ainda não estariam preparadas para se adaptarem às novas regras de privacidade impostas pela nova lei. É justamente nesse ponto que faço um questionamento: Se a lei 13.709, conhecida como LGPD, foi sancionada em agosto de 2018 e estava prevista para ser colocada em prática este ano, por que muitas instituições deixaram as alterações para a última hora? Neste momento em que as atividades on-line cresceram de maneira significativa e, consequentemente o volume de fraudes, não seria um grande risco adiar a implementação da nova lei?

Apenas para lembrarmos, a LGPD trata da proteção de dados dos usuários e que, no atual momento, é ainda mais relevante. Dadas as exigências de isolamento, muitos de nossos clientes estão migrando seus colaboradores para o home office, o que aumenta o risco de vazamento de dados de usuários – situação que precisa ser tratada com a criticidade que ela representa.

Antes mesmo do coronavírus, havia um movimento no sentido de se prorrogar a entrada em vigor da LGPD ou adiar a aplicação de penalidades. Agora, dado o cenário da pandemia e de todas as incertezas para os próximos meses, o adiamento tornou-se inevitável. Além da crise na saúde em função do aumento do número de casos de COVID-19, há uma insegurança muito grande em relação ao efeito colateral da crise econômica desta pandemia. Neste momento, muitas companhias estão ajustando prioridades e direcionando seus investimentos para o absolutamente necessário, pelo menos até que tenham uma visão mais clara da profundidade da crise.

Entretanto, vale lembrar que as empresas já deveriam estar em fase final de implementação de soluções que fossem aderentes à LGPD, aprovada em 2018 e com prazo de 24 meses para o início de sua vigência. O fato de muitas companhias utilizarem a pandemia como justificativa demonstra que poucas estariam de fato prontas para a entrada em vigor da lei.

Vale ressaltar ainda que Autoridade Nacional de Proteção de Dados, responsável por reger a nova lei, ainda não foi constituida pelo Governo Federal, mesmo faltando apenas seis meses para a vigência. E mesmo se fosse definida agora, pouco poderia fazer com o adiamento do início da legislação.

Tratar dados de usuários com o devido cuidado e respeito é um fator que deve ser observado independente da entrada em vigor da LGPD. Leis neste sentido já existem e estão em vigência em outros países, a exemplo da General Protection Regulation (GDPR), da União Europeia, que impõe medidas para garantir maior segurança sobre informações sensíveis.

. Adiamentos por prazos muito longos apenas deixam o Brasil mais atrasado em relação ao resto do mundo. Além de colocar País em descrédito internacional, diminui sua competitividade. Neste momento em que medidas de monitoramento ostensivo estão sendo adotadas em todo o mundo para acompanhar o desenvolvimento do vírus, ter uma legislação de proteção de dados em vigor seria fundamental para garantir o equilíbrio entre o interesse público e a privacidade dos cidadãos.