Últimas notícias

Fique informado

LGPD muito além dos projetos de Assessment

30 de março de 2020

Spotlight

Reconhecimento facial sem prova de vida está com os dias contados, afirma CEO de uma das principais plataformas brasileiras de biometria facial

Conversamos com José Luis Volpini, CEO da CredDefense, uma das pioneiras e mais conceituadas plataformas de biometria facial do mercado brasileiro.

6 de janeiro de 2021

Carimbo do Tempo dá início ao fim da era dos protocolos proprietários na ICP-Brasil. Ouça

Segundo Dr. Roberto Gallo, o fim da era dos protocolos proprietários na ICP-Brasil tem data marcada e deve beneficiar fabricantes, prestadores de serviços e clientes finais.

28 de dezembro de 2020

Em tempo de mobilidade extrema e home office, como controlar o perímetro de segurança da empresa? Ouça

Conversamos com Jan Rochat da AET Europe, sobre a eficiência das tecnologias que protegem as informações das empresas, especialmente nesse momento de extrema necessidade de mobilidade das pessoas em “home office.

8 de dezembro de 2020

Identificar, confiar e conectar. Quantas vezes por dia nos autenticamos?

Controlar credencias de acesso nas organizações é tão difícil quanto

2 de dezembro de 2020

Doutor Fabiano Menke Concede Entrevista Sobre a Evolução das Assinaturas Eletrônicas

Nesta entrevista Dr. Fabiano Menke fala sobre a Lei 14.063 de setembro de 2020 e sobre o Decreto 14.543 de novembro de 2020 sobre os tipos de assinaturas eletrônicas

25 de novembro de 2020

A troca necessária: dados pessoais por saúde pública?

A conexão entre a inteligência artificial, uso de dados e a pandemia causada pela COVID-19 foi revelada ao público em 31 dezembro de 2019.

30 de março de 2020

E-commerce apresenta crescimento e deve estar atento às determinações da LGPD

Compras pela internet, o e-commerce, registraram uma alta de 40% somente na primeira quinzena do mês, as empresas devem estar atentas a LGPD.

27 de março de 2020

Com a aprovação da Lei Geral de Proteção de Dados Pessoais (LGPD) em 2018, diversas empresas deram os primeiros passos rumo à adequação de suas operações e à conformidade com a nova legislação

Por Marcelo Moura

Passados dezenove meses e com a aproximação do dia 14 de agosto de 2020, data de entrada em vigor, diversas empresas dos mais variados setores têm intensificado seus esforços para garantir a aderência aos pontos dispostos na lei 13.709/2018 ou, ao menos, para evitar as sanções administrativas citadas no artigo 52.

O problema é que, em vários casos, os esforços feitos pelas organizações não serão capazes de evitar que sofram as penalidades inicialmente previstas. O principal motivo para isso é a falta de ligação entre os projetos de adequação e a operação necessária para atender a própria legislação.

Muitos projetos focados em privacidade e proteção de dados de pessoas físicas não estão considerando os resultados que devem entregar e em como estes serão entregues. É importante realizar um amplo assessment para mapear o cenário atual e definir um road map com as ações necessárias nos planos estratégico, tático e operacional.

É evidente que envolver o departamento Jurídico, de TI, de Segurança da Informação, de Riscos, de Compliance e de Processos é indispensável, assim como é crucial a execução de projetos envolvendo a atualização de políticas e do código de conduta, a conscientização dos colaboradores, a governança dos dados, a revisão de contratos e a implementação de controles para obtenção dos consentimentos dos titulares, gestão de consentimento e prevenção contra vazamento ou roubo de dados pessoais.

O ponto é que os projetos também precisam endereçar o futuro cotidiano do Encarregado de Tratamento de Dados, pois será por intermédio deste cotidiano que os resultados cobrados pela LGPD serão entregues. Para facilitar, segue uma atividade que fará parte do dia-a-dia do Encarregado:

Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular… no prazo de até 15 (quinze) dias, contado da data do requerimento do titular”.

O Encarregado será responsável por atender todas as requisições feitas pelos titulares dentro de 15 dias. Imagine quantas solicitações poderão ser feitas para empresas que possuem bases de dados com informações de milhões de titulares. Como atender tantos pedidos dentro do prazo de 15 dias (corridos, não comerciais)? Mesmo que apenas 1% dos titulares solicite algo, ainda serão milhares de requisições para serem atendidas em aproximadamente duas semanas!

Recebidas as solicitações, como encontrar TODOS os dados pessoais relacionados com CADA titular se estes podem estar armazenados em bancos de dados, em formatos não estruturados contidos em servidores, em ambientes on-premise ou em sistemas implantados no modelo SaaS, como Office 365 ou SAP?

Como entregar tantas informações sensíveis de modo seguro e ainda gerar evidências que o prazo foi devidamente cumprido? Como interagir com tantas áreas dentro da empresa? Como se proteger de solicitantes mal-intencionados que façam uma avalanche de requisições, visando comprometer o prazo de entrega e entrar com uma petição contra o Controlador?

Outra atividade do Encarregado será:

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados…”.

Interagir com a Autoridade Nacional de Proteção de Dados (ANPD) será outra atividade comum do Encarregado e a elaboração e entrega do relatório de impacto à proteção de dados pessoais fará parte desta interação. Como garantir a acuracidade destes relatórios se processos, sistemas e produtos mudam com tanta frequência?

Outra exigência está descrita no artigo 48:

“… comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”.

Voltando para o primeiro exemplo, imagine o esforço necessário para se comunicar com milhões de titulares caso um incidente de segurança ocorra! E como fazer isso se, em paralelo, será necessário tomar medidas para conter o dano causado por tal incidente?

Por fim, pense no artigo 42 § 2º:

“O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa”.

Diante da possibilidade de inversão do ônus da prova, a Controladora precisará trabalhar para que possua todas as evidências necessárias diante de um eventual processo civil, sendo que o Encarregado será o responsável por validar a geração dessas evidências e a qualidade destas junto ao departamento Jurídico.

Consegue imaginar a quantidade de validações que precisarão ser feitas em cada ponto de controle de cada processo?

Esses são apenas quatro exemplos de atividades que irão onerar os Encarregados e que, na vasta maioria dos casos, não estão sendo contempladas pelos projetos de conformidade com a LGPD.

Note que estas atividades, se devidamente executadas, podem fornecer insumos extremamente valiosos para o próprio sistema de privacidade, conforme proposto pela ISO 27701, retroalimentando os processos e permitindo que sejam refinados através da melhoria contínua.

Assim, enquanto o dia 14 de agosto não chega, que tal olhar para os projetos envolvendo a LGPD e, ao se colocar no lugar no Encarregado, pensar em como tudo será operacionalizado para benefício da organização e dos titulares?

Maia prorroga funcionamento de comissão de juristas sobre proteção de dados e LGPD

Cinco dicas para o sucesso das empresas na era da LGPD. Por Paulo Padrão

Sobre a Agility

A Agility é uma empresa focada na infraestrautura do ciclo de vida de aplicações e segurança cibernética que integra serviços e soluções especializadas para atender aos desafios dos negócios digitais de seus clientes. A empresa possui mais de 170 colaboradores e atende mais de 200 clientes em diversos segmentos. Para mais informações, acesse o site.

Corrida contra o tempo para LGPD. Por Gisele Strey. Ouça

Confira aqui no Crypto ID artigos exclusivos sobre a LGPD!

  Explore outros artigos!