(41) 3085.5385

Entre em contato

 

Proteção de dados

a

Criar um Comitê Multidisciplinar

Neste comitê deve haver uma pessoa responsável pelas áreas que utilizam os dados, além de alguém do jurídico.

Ou seja, o comitê deverá ser formado pelo Jurídico, pelo Compliance, pela Segurança da Informação e por um responsável por cada setor de coleta de dados, tal como RH, Marketing e Financeiro.

O comitê terá como tarefa analisar de forma detalhada a Lei (LGPD), as políticas de segurança da empresa, os contratos de fornecedores e nomear um Encarregado de Dados (DPO), que será responsável por avaliar riscos, elaborar pareceres, além de prever e eliminar vulnerabilidades.

 

Quais as responsabilidades DPO (Encarregado de Dados)

A LGPD estipula que o Encarregado de Dados (DPO) possua conhecimentos aprofundados da legislação e práticas de segurança da informação, visando a proteção de dados pessoais coletados pela empresa.

Desta forma, as atividades de um DPO consistem basicamente em:

  • Receber reclamações e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e orientar sobre as providências;
  • Receber comunicações de órgãos reguladores e adotar as providências cabíveis;
  • Orientar os colaboradores envolvidos no tratamento e manuseio de dados pessoais dos usuários;
  • Orientar os colaboradores e prestadores da empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais dos usuários;
  • Manter registros de todas as práticas de tratamento de dados pessoais conduzidas pela empresa, incluindo o propósito de todas as atividades desenvolvidas.

O nosso escritório possui profissional com certificação de Data Protection Officer, ficando à disposição para o oferecimento desse serviço, quando a empresa não tenha alguém preparado para a função.

a

Fase 1: Mapeamento inicial de Dados
O principal objetivo aqui é entender o cenário atual da empresa e a sua maturidade em relação à privacidade e proteção de dados. Avaliação inicial de privacidade consistirá em encontros com gerentes de área e setoriais, seguida de entrevistas presenciais e aplicação de questionários. Serão identificados os dados, departamentos, meios (físico ou digital), operadores internos e externos para obter o primeiro panorama dos dados, avaliando os gaps da empresa em relação à privacidade de dados. Como resultado, o escritório elaborará Relatório Inicial, Planilha de Data Mapping em fase inicial e Plano de Ação.

 

Fase 2 – Mapeamento de dados e base legal
O diagnóstico detalhado de dados terá por escopo apurar a aderência das atividades de tratamento de dados (coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração) aos princípios da necessidade, da adequação e da finalidade do tratamento. Para cada pessoal, o escritório apontará a base legal prevista pela LGPD, seguida da indicação do dispositivo legal quando se tratar de obrigação legal e/ou regulatória.

a

Fase 3 – Governança de Proteção de Dados
Essa é a fase de execução das medidas de segurança e implantação do programa de boas práticas e governança. Serão elaboradas a Política de Privacidade e Proteção de Dados, a Política de Segurança da Informação, a Política de Uso da Internet e Redes Sociais, a Política de Uso de Cookies, a Política de Gestão de Compliance com Terceiros, a Política de Conscientização, a Política para tratar com incidentes de segurança, e a Política de Gestão de Crise. Nesta fase serão delimitados os níveis de acesso para que apenas os usuários que realmente precisam utilizar as informações possuam acesso a elas. Além disso, serão indicados meios para fortalecer a segurança com a adoção de novas camadas de proteção em hardware e software.

 

Fase 4 – Gestão do Consentimento e Anonimização
Nesta fase deverão ser implementadas as medidas para controle do consentimento e anonimização, assim como dos pedidos dos titulares dos dados (acesso, confirmação, anonimização, consentimento, portabilidade, etc.) tudo para atender eventuais solicitações do titular dos dados e da Autoridade Nacional de Proteção de Dados. A obtenção de consentimento para o tratamento de dados deve deixar claro o intuito do recolhimento daquele dado. É preciso informar quais informações estão sendo colhidas, de que forma, e qual a finalidade.

a

Fase 5 – Revisão de Contratos e Elaboração de novos Contratos
Nesta fase, o escritório revisará e/ou criará todos os documentos e termos de uso que informem aos titulares sobre a coleta de dados. Serão revisados todos os contratos com terceiros, notificando os parceiros acerca da extensão da Proteção de Dados para terceiros. Serão firmados acordos de confidencialidade e sigilo com fornecedores e colaboradores, dentre outras medidas.

 

Fase 6 – Revisão de todos os procedimentos instituídos no Data Compliance
O escritório revisará todo o processo, assegurando que os dados coletados estão em conformidade com a lei. Todos devem ter sua respectiva autorização de uso. Caso seja identificada a entrada de dados sem autorização do usuário, é necessário buscá-la o mais rápido o possível.

a

Fase 7 – Treinamento in Company
Treinamento dos envolvidos e da empresa como um todo, para que o Data Compliance tenha efetividade.