{"id":11719,"date":"2020-02-03T09:29:43","date_gmt":"2020-02-03T12:29:43","guid":{"rendered":"http:\/\/www.sertsc.org.br\/site\/?p=11719"},"modified":"2020-02-03T09:29:43","modified_gmt":"2020-02-03T12:29:43","slug":"principais-duvidas-da-implementacao-da-lgpd","status":"publish","type":"post","link":"https:\/\/sertsc.org.br\/site\/principais-duvidas-da-implementacao-da-lgpd\/","title":{"rendered":"Principais d\u00favidas da implementa\u00e7\u00e3o da LGPD"},"content":{"rendered":"<figure id=\"attachment_11720\" aria-describedby=\"caption-attachment-11720\" style=\"width: 864px\" class=\"wp-caption aligncenter\"><img fetchpriority=\"high\" decoding=\"async\" class=\"wp-image-11720 size-full\" src=\"http:\/\/www.sertsc.org.br\/site\/wp-content\/uploads\/2020\/02\/prof-lgpd.jpg\" alt=\"prof-lgpd\" width=\"864\" height=\"500\" \/><figcaption id=\"caption-attachment-11720\" class=\"wp-caption-text\">por * Marcos Assi*<\/figcaption><\/figure>\n<p style=\"text-align: justify;\">\n<p style=\"text-align: justify;\">\n<p style=\"text-align: justify;\">Vamos come\u00e7ar calmamente sobre o assunto, pois a Lei n\u00ba 13.709, conhecida como Lei Geral de Prote\u00e7\u00e3o de Dados Pessoais (LGPD), foi sancionada por Michel Temer em agosto de 2018 e tem como prazo de in\u00edcio em agosto de 2020, pois seu objetivo \u00e9 regulamentar o tratamento de dados pessoais de clientes e usu\u00e1rios por parte de empresas p\u00fablicas e privadas. Com isso, a partir de 2020, qualquer empresa que incluir em sua base informa\u00e7\u00f5es de seus clientes, por mais b\u00e1sicas que sejam \u2013 como nome e e-mail \u2013 deve seguir os procedimentos previstos na nova lei.<\/p>\n<p style=\"text-align: justify;\">A Lei Geral de Prote\u00e7\u00e3o de Dados Pessoais (LGPD ou LGPDP), Lei n\u00ba 13.709\/2018, \u00e9 a legisla\u00e7\u00e3o brasileira que regula as atividades de tratamento de dados pessoais e que tamb\u00e9m altera os artigos 7\u00ba e 16 do Marco Civil da Internet, com isso o Brasil passou a fazer parte dos pa\u00edses que contam com uma legisla\u00e7\u00e3o espec\u00edfica para prote\u00e7\u00e3o de dados e da privacidade dos seus cidad\u00e3os. Outros regulamentos similares \u00e0 LGPD no Brasil s\u00e3o o\u00a0<em>General Data Protection Regulation<\/em>\u00a0(GDPR) na Uni\u00e3o Europeia, que passou a ser obrigat\u00f3rio em 25 de maio de 2018 e aplic\u00e1vel a todos os pa\u00edses da Uni\u00e3o Europeia (UE).<\/p>\n<p style=\"text-align: justify;\">E na lei determina a tratamento de dados que deve ser entendido como qualquer procedimento que envolva a utiliza\u00e7\u00e3o de dados pessoais, tais como a coleta, a classifica\u00e7\u00e3o, a utiliza\u00e7\u00e3o, o processamento, o armazenamento, o compartilhamento, a transfer\u00eancia, a elimina\u00e7\u00e3o, entre outras a\u00e7\u00f5es.<\/p>\n<p style=\"text-align: justify;\">Mas importante salientar que todo esse processo exige a presen\u00e7a de pelo menos tr\u00eas figuras essenciais que as empresas dever\u00e3o conter em seu quadro profissional:<\/p>\n<ul style=\"text-align: justify;\">\n<li>o controlador &#8211; \u00e9 quem toma as decis\u00f5es sobre o tratamento dos dados<\/li>\n<li>o operador \u2013 \u00e9 quem coloca em pr\u00e1tica as decis\u00f5es do controlador, e<\/li>\n<li>o encarregado &#8211; que tem a miss\u00e3o de fazer a \u201cponte\u201d entre o controlador, a pessoa dona dos dados e a ag\u00eancia governamental respons\u00e1vel pela fiscaliza\u00e7\u00e3o da lei.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Portanto se voc\u00ea tem a inten\u00e7\u00e3o de fazer a implementa\u00e7\u00e3o deve se enquadrar nas exig\u00eancias da lei, e as empresas ter\u00e3o que fazer algum investimento, seja em tecnologia ou em capacita\u00e7\u00e3o de seus profissionais internos, para a implementa\u00e7\u00e3o de uma estrutura e uma pol\u00edtica interna de compliance digital acerca do tratamento de dados de seus clientes. Isso vale tanto para empresas do setor p\u00fablico como do setor privado.<\/p>\n<p style=\"text-align: justify;\">Vale como dica, que a primeira a\u00e7\u00e3o a ser tomada \u00e9 um diagn\u00f3stico da equipe de TI juntamente com a \u00e1rea de controles internos, riscos e compliance \u2013 da pr\u00f3pria empresa ou terceirizada \u2013 com relat\u00f3rios de an\u00e1lises de risco e de an\u00e1lises de impacto das novas exig\u00eancias. Com isso, ser\u00e1 poss\u00edvel verificar em qual est\u00e1gio a empresa se encontra nesse sentido, quais s\u00e3o os pontos mais vulner\u00e1veis de seus sistemas e constatar quais s\u00e3o os maiores fatores de risco, #ficaadica.<\/p>\n<p style=\"text-align: justify;\">Tendo em vista algumas bobagens publicadas ultimamente, devemos dizer que para estar em compliance com a LGPD (ou com a GDPR) n\u00e3o se trata apenas de revis\u00e3o de pol\u00edticas e contratos. \u00c9 uma mudan\u00e7a complexa de cultura.<\/p>\n<p style=\"text-align: justify;\">Devemos avaliar cada processo e identificando suas diversas etapas, tais como \u00a0avalia\u00e7\u00e3o de impacto, organiza\u00e7\u00e3o de banco de dados, implementa\u00e7\u00e3o de mecanismos de seguran\u00e7a (antimalware, criptografia, duplo fator de autentica\u00e7\u00e3o, mudan\u00e7a de autoriza\u00e7\u00f5es de acesso, etc.), treinamento de colaboradores internos e terceiros, adequa\u00e7\u00e3o de pol\u00edticas internas e contratos, plano de resposta a incidente, dentre v\u00e1rias outras etapas que envolvem tempo e trabalho para um resultado confi\u00e1vel e adequado \u00e0 realidade da empresa.\u00a0<strong>N\u00e3o \u00e9 algo que se faz \u201cdo dia pra noite\u201d.<\/strong><\/p>\n<p style=\"text-align: justify;\">\n<p style=\"text-align: justify;\">Devemos avaliar in\u00fameros itens previstos na lei, podemos citar alguns:<\/p>\n<ul style=\"text-align: justify;\">\n<li>Aplicabilidade da LGPD em nosso neg\u00f3cio e de terceiros<\/li>\n<li>Titularidade dos dados, como e quando avaliar<\/li>\n<li>Finalidade do tratamento dos dados, quem vai fazer<\/li>\n<li>Forma de armazenamento dos dados, como, quando e onde<\/li>\n<li>Compartilhamento dos dados, tenho ferramentas de monitoramento<\/li>\n<li>Quais dados s\u00e3o considerados sens\u00edveis, geralmente estar\u00e1 no RH<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">\n<p style=\"text-align: justify;\">E uma outra dica ess\u00eancia \u00e9 realizar a classifica\u00e7\u00e3o de dados, seguindo a seguinte ordem:<\/p>\n<ul style=\"text-align: justify;\">\n<li>Mapeamento de dados, utilizando o 5W2H se quiser<\/li>\n<li>Onde est\u00e3o armazenados os dados pessoais?<\/li>\n<li>Quais os processos tratam dados pessoais?<\/li>\n<li>Consentimento para o uso dos dados como fazer e com quem<\/li>\n<li>Acesso aos dados, quem pode, como e quando acessar<\/li>\n<li>Atualiza\u00e7\u00e3o, corre\u00e7\u00e3o e exclus\u00e3o, responsabilidades e obriga\u00e7\u00f5es<\/li>\n<li>Portabilidade como orientar o cliente sobre suas pol\u00edticas<\/li>\n<li>Prote\u00e7\u00e3o dos dados internos e de terceiros<\/li>\n<li>Direito ao esquecimento, cuidado ao apagar o passado.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">\n<p style=\"text-align: justify;\">Devemos nos preparar para que tenhamos um processo de seguran\u00e7a jur\u00eddica, com base nas exig\u00eancias e penalidades da Lei, observado:<\/p>\n<ul style=\"text-align: justify;\">\n<li>Quais s\u00e3o as san\u00e7\u00f5es previstas na lei<\/li>\n<li>Que tipo de documenta\u00e7\u00e3o \u00e9 exigida<\/li>\n<li>Como devemos e podemos guardar as evid\u00eancias<\/li>\n<li>Alguns cuidados contratuais na venda de bens e servi\u00e7os<\/li>\n<li>Como podemos compartilhar os dados<\/li>\n<li>Gest\u00e3o de terceiros<\/li>\n<li>Como identificar e tratar os dados de menores<\/li>\n<li>Quais os tipos de seguro para cobertura de multas e o que fazer para que o incidente esteja coberto<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">\n<p style=\"text-align: justify;\">E para finalizamos, devemos ter algumas no\u00e7\u00f5es de Governan\u00e7a de TI e Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o, pois sem isso os incidentes ficam muito mais evidente a cada dia, por isso devemos identificar:<\/p>\n<ul style=\"text-align: justify;\">\n<li>Procedimentos internos com os pap\u00e9is e responsabilidades na prote\u00e7\u00e3o dos dados<\/li>\n<li>Quais as tecnologias usuais para a garantir a privacidade e a confidencialidade das informa\u00e7\u00f5es<\/li>\n<li>Quais os tipos de an\u00e1lise de vulnerabilidades temos e quais as m\u00e9tricas de seguran\u00e7a da informa\u00e7\u00e3o implementadas<\/li>\n<li>Se existe o engajamento da alta gest\u00e3o da empresa<\/li>\n<li>Quais os papeis e responsabilidades do encarregado pela prote\u00e7\u00e3o dos dados (DPO) se voc\u00ea tiver algu\u00e9m para a fun\u00e7\u00e3o<\/li>\n<li>Gest\u00e3o de crises e no\u00e7\u00f5es de respostas a incidentes e revis\u00e3o da ISO 27001<\/li>\n<li>Matriz de an\u00e1lise de riscos e medidas de preven\u00e7\u00e3o e corre\u00e7\u00e3o<\/li>\n<li>E analisar os cuidados na preserva\u00e7\u00e3o de evid\u00eancias<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Por esses motivos listados acima acreditamos que muitas empresas ainda est\u00e3o aqu\u00e9m de pode implementar um processo interno, tendo em vista que muitas delas nunca se preocuparam com a ISO de seguran\u00e7a da informa\u00e7\u00e3o, ou na implementa\u00e7\u00e3o de processos de governan\u00e7a de TI e muitas at\u00e9 sequer olharam o marco civil de internet, que poderia auxiliar muitas empresas neste momento, fica aqui nossa dica de como fazer um processo com base em mapeamento de processos, implementa\u00e7\u00e3o de controles internos, uma gest\u00e3o de compliance voltada para riscos e uma mudan\u00e7a de postura de todos no que tange a necessidade de melhoria dos neg\u00f3cios.<\/p>\n<p style=\"text-align: justify;\">\n<p style=\"text-align: justify;\"><strong>* Marcos Assi<\/strong>\u00a0\u00e9 CCO, CRISC e Mestre, professor e consultor da MASSI Consultoria e Treinamento \u2013 Embaixador pela Divina C\u00e2mara Parisiense de Artes e Cultura 2018 e Pr\u00eamio Alta Gest\u00e3o 2017, Comendador Acad\u00eamico pela C\u00e2mara Brasileira de Cultura, professor de MBA na Sustentare Escola de Neg\u00f3cios, FECAP, IBMEC, Centro Paula Souza, UNIMAR, FADISMA, entre outras. \u00c9 autor dos livros \u201cControles Internos e Cultura Organizacional\u201d, \u201cGest\u00e3o de Riscos com Controles Internos\u201d, \u201cGest\u00e3o de Compliance e seus desafios\u201d e \u201cGovernan\u00e7a, riscos e compliance\u201d pela Saint Paul Editora e \u201cCompliance como implementar\u201d pela Trevisan Editora.<\/p>\n<p style=\"text-align: justify;\">\n<p style=\"text-align: justify;\">Fonte: Acontecendo aqui<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Vamos come\u00e7ar calmamente sobre o assunto, pois a Lei n\u00ba&hellip;<\/p>\n<p> <a class=\"more-link\" href=\"https:\/\/sertsc.org.br\/site\/principais-duvidas-da-implementacao-da-lgpd\/\">Leia mais<\/a><\/p>\n","protected":false},"author":1,"featured_media":10540,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[36,3],"tags":[],"class_list":{"0":"post-11719","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-artigos","8":"category-noticias"},"_links":{"self":[{"href":"https:\/\/sertsc.org.br\/site\/wp-json\/wp\/v2\/posts\/11719","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sertsc.org.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sertsc.org.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sertsc.org.br\/site\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sertsc.org.br\/site\/wp-json\/wp\/v2\/comments?post=11719"}],"version-history":[{"count":0,"href":"https:\/\/sertsc.org.br\/site\/wp-json\/wp\/v2\/posts\/11719\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sertsc.org.br\/site\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/sertsc.org.br\/site\/wp-json\/wp\/v2\/media?parent=11719"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sertsc.org.br\/site\/wp-json\/wp\/v2\/categories?post=11719"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sertsc.org.br\/site\/wp-json\/wp\/v2\/tags?post=11719"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}