Daniela Monte Serrat Cabella – Infra News Telecom https://www.infranewstelecom.com.br A Infra News Telecom é um canal de comunicação para os profissionais de tecnologia da informação e de telecomunicações. Aborda as tendências e as mais modernas soluções para a construção, implantação e operação da infraestrutura de rede e TI, tanto no mercado corporativo como de operadoras e provedores de serviços. Mon, 11 Feb 2019 17:10:15 +0000 pt-BR hourly 1 https://wordpress.org/?v=6.8.5 https://www.infranewstelecom.com.br/wp-content/uploads/2020/02/cropped-infra-news-telecom-icone-do-site-32x32.jpg Daniela Monte Serrat Cabella – Infra News Telecom https://www.infranewstelecom.com.br 32 32 Já ouviu falar em “DPO coletivo”? https://www.infranewstelecom.com.br/ja-ouviu-falar-em-dpo-coletivo/?utm_source=rss&utm_medium=rss&utm_campaign=ja-ouviu-falar-em-dpo-coletivo Fri, 01 Feb 2019 14:29:15 +0000 https://www.infranewstelecom.com.br/?p=4899

Já ouviu falar em “DPO coletivo”?

Daniela Monte Serrat Cabella, da Neoway

  O DPO somos nós! Sim, esta frase está correta. A Medida Provisória nº 869/2018 alterou a redação da LGPD – Lei Geral de Proteção de Dados1 para abrir a possibilidade de o Data Protection Officer ser uma pessoa jurídica. A redação original da lei determinava que o DPO fosse uma pessoa física, indo na contramão da tendência europeia2. Seis meses após a publicação da lei, a MP corrigiu esta questão para uniformizá-la com o cenário internacional.

  Para empresas com operações de tratamento de dados pessoais mais simples, estabelecer uma única pessoa física como encarregada por esse processamento seria adequado. No entanto, para outras empresas, com operações complexas de tratamento, recomenda-se que essa responsabilidade seja dividida por integrantes de um corpo técnico multidisciplinar, seja ele interno ou externo.

  Internamente, pode-se ter um DPO que atue com o apoio de um comitê composto por gestores das principais áreas envolvidas no tratamento de dados pessoais. Também é possível aproveitar um comitê de segurança da informação já instituído e incluir na pauta as questões de proteção de dados, tornando-o um comitê de segurança da informação e privacidade, por exemplo.

  Nessa mesma linha, seria possível instituir um contato “dpo@empresa” que envolvesse o/a gestor/a de compliance, do jurídico, de TI e SI, dentre outros, para que a responsabilidade pela resolução das questões de proteção de dados seja organizada entre eles e de acordo com a matéria envolvida. Nesse contexto, é aconselhável que um desses profissionais fique como contato principal e gestor dessas atividades.

  Já externamente, é possível que a função de DPO seja exercida por um prestador de serviços contratado para essa finalidade. Para essa hipótese, o Working Party 29, órgão consultivo para proteção de dados criado sob a Diretiva europeia de 19953 , estabeleceu as seguintes orientações4 :

  Se a função do [DPO] for exercida por um prestador de serviços externo, um conjunto de pessoas que trabalha para essa entidade poderá exercer de modo eficaz as funções do [DPO] enquanto [equipe], sob a responsabilidade de um [contato] principal e «pessoa responsável» [designada] para o cliente. Neste caso, é essencial que cada membro da organização externa, que exerce as funções de [DPO], cumpra todos os requisitos aplicáveis do [GDPR].

  Por motivos de clareza jurídica e de boa organização, e no sentido de prevenir conflitos de interesses dos membros das [equipes], as presentes orientações recomendam que o contrato de prestação de serviços preveja uma clara repartição das tarefas no seio da [equipe] do [DPO] externo e a designação de uma única pessoa como [contato] principal e pessoa «responsável» do cliente.

  Como o Brasil tem o modelo europeu por inspiração para a LGPD, a tendência é que as empresas brasileiras também adotem opções variadas para o exercício da função de DPO, escolhendo o modelo que melhor lhes atende dentro dos limites legais. Sendo o modelo escolhido o de grupo multidisciplinar de profissionais, é fundamental que ele se conecte a todas as áreas do negócio que tratam dados pessoais e se organize de maneira ágil para atendê-las, como um modelo plug and play.

  O formato de “DPO coletivo” prova que a flexibilidade gera inovação não apenas no âmbito dos negócios, mas também na proteção de dados.

1 Lei nº 13.709/2018.

2 Conforme o art. 37 (6) do Regulamento n. 2016/679, ou GDPR – General Data Protection Regulation.

3 Diretiva n. 95/46/EC. Substituído, em 2018, pelo Comitê Europeu para a Proteção de Dados.

4 Working Party 29. Orientações sobre os encarregados da proteção de dados (EPD), pág.26. Disponível em: https://bit.ly/2CejOcc. Acesso em 31.01.2019. Texto original na linguagem de Portugal adaptado (adaptação livre).

]]> Compliance mode ON https://www.infranewstelecom.com.br/compliance-mode-on/?utm_source=rss&utm_medium=rss&utm_campaign=compliance-mode-on Sat, 05 Jan 2019 16:17:10 +0000 https://www.infranewstelecom.com.br/?p=4671

Compliance mode ON

Daniela Monte Serrat Cabella, da Neoway

  Foi dado o start! Este ano será de extrema importância para empresas privadas e organizações públicas que iniciam um processo de autoconhecimento em matéria de proteção de dados pessoais. A Lei Geral de Proteção de Dados (Lei nº 13.709/2018, ou “LGPD”) entrará em vigor em 2020. Estes próximos meses serão de muito trabalho para os departamentos que lidam com dados que identificam ou podem identificar, ainda que indiretamente, uma pessoa física.

  Uma das etapas do processo de adequação passa pelos direitos das pessoas físicas. As organizações que definem a finalidade e a forma do processamento de dados pessoais, tanto do setor público como do privado, devem garantir que asseguram a possibilidade de as pessoas físicas exercerem efetivamente os seus direitos previstos no artigo 18 da LGPD, quais sejam:

I – Confirmação da existência de tratamento.

II – Acesso aos dados.

III – Correção de dados incompletos, inexatos ou desatualizados.

IV – Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei.

V – Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador.

VI – Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei.

VII – Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.

VIII – Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.

IX – Revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

  Sua organização tem meios efetivos de possibilitar o exercício de todos esses direitos? Pois, os direitos da pessoa física, de um lado, geram deveres para a organização, de outro. E, em um processo de adequação legal, a organização deve se questionar se de fato tem meios técnicos e amparo jurídico para cumprir os seus deveres.

  Os profissionais da organização devem se questionar, por exemplo: “Se uma pessoa física solicitar o acesso aos dados pessoais que lhe concernem e que são armazenados por nossa empresa, temos um procedimento formal e meios técnicos para se materializar esse acesso?” Ou, caso a organização tenha contratado outra empresa para armazenar os dados, devem verificar a seguinte questão: “Há garantias jurídicas de que a empresa contratada se responsabiliza por disponibilizar o acesso aos dados em tempo hábil?”

  É necessário, portanto, mapear processos, documentos e sistemas que suportam a organização no cumprimento dos direitos das pessoas físicas para sanar eventuais gaps encontrados – se possível, antes de 2020!

  Vale lembrar que este é apenas um de diversos aspectos que devem ser analisados em um processo de adequação à LGPD, e esse processo não termina com a implantação dos ajustes identificados inicialmente.

  Como todo o sistema operacional, a adequação à lei (compliance) necessita de manutenção constante[1] para que a organização se apresente sempre em sua versão atualizada.

[1] No caso específico de tratamento de dados pessoais, por exemplo, a aprovação de novas leis e decretos que regulam matérias deixadas em aberto pela LGPD, ou mesmo a própria acomodação cultural da organização podem lhe gerar novos riscos técnicos, jurídicos e reputacionais.

]]> Diretrizes para o processamento adequado de dados pessoais https://www.infranewstelecom.com.br/processamento-de-dados-pessoaos/?utm_source=rss&utm_medium=rss&utm_campaign=processamento-de-dados-pessoaos Wed, 05 Dec 2018 12:29:38 +0000 https://www.infranewstelecom.com.br/?p=4545

Diretrizes para o processamento adequado de dados pessoais

Daniela Monte Serrat Cabella, da Neoway

  O ano de 2018 foi emblemático para a proteção de dados pessoais. Em maio, o Regulamento nº 2016/679 europeu (General Data Protection Regulation, ou GDPR) entrou em vigor; em agosto, tivemos a nossa Lei nº 13.709/2018 (Lei Geral de Proteção de Dados, ou LGPD, como ficou conhecida), sancionada pelo Presidente; e, durante o ano todo, foram noticiadas diversas investigações do Ministério Público e notificações dos Procons sobre proteção de dados pessoais, bem como violações de dados nos mais distintos negócios, tanto no Brasil como no exterior.

  Não há dúvidas de que os olhos do mercado e das autoridades continuarão atentos ao tema em 2019 – especialmente no Brasil, por ser o ano de adequação à LGPD antes de sua entrada em vigor, em fevereiro de 2020. É necessário, portanto, otimizar, nos próximos doze meses, a adequação de documentos, processos, sistemas e cultura da organização, de modo a estarem integralmente alinhados aos princípios estabelecidos pela legislação. Entre eles, destaco os seguintes:

  • Transparência – Este princípio já está consolidado na legislação vigente, como no Código de Defesa do Consumidor, mas é ampliado e reforçado pela LGPD. Considerando que o objetivo da nova lei é conceder maior controle às pessoas físicas sobre o que é feito com os seus dados pessoais, o princípio da transparência gera para as organizações o dever de fornecer “informações claras, precisas e facilmente acessíveis”[1] sobre a coleta, uso, armazenamento, compartilhamento e eliminação dos dados.
  • Necessidade – Toda e qualquer operação realizada com dados pessoais agora deverá envolver apenas os dados “pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento”[2]. Isso significa que o costume de coletar o máximo de dados possível para “depois ver o que fazer com eles” está condenado.
  • Segurança – As empresas e instituições públicas que detêm ou utilizam dados de pessoas físicas capazes de identificá-las direta ou indiretamente devem aplicar medidas técnicas e administrativas para protegê-los de “acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”[3]. E essa proteção deverá ser aplicada a dados processados e armazenados tanto em meios digitais como físicos.

  Estamos testemunhando um momento histórico, de novas leis estabelecendo uma nova cultura no mercado, baseada no respeito ao direito fundamental à privacidade. Deve-se ter consciência, no entanto, de que a legislação nunca irá (e nem pretende) tratar de modo específico todas as situações possíveis em proteção de dados. Por esse motivo, é fundamental ter conhecimento de todos os princípios que a embasam durante a verificação dos fluxos de dados, documentos, sistemas e procedimentos internos em um processo de adequação legal. Na dúvida, “principie” pelos princípios.

[1]    Artigo 6º, inciso I, da LGPD.
[2]    Artigo 6º, inciso III, da LGPD.
[3]    Artigo 6º, inciso VII, da LGPD.
]]>