SegInfocast #78 – Faça o download para ouvir o podcast aqui.
Neste episódio do SegInfocast, Luiz Felipe Ferreira recebe diversos convidados: Rafael Ferreira, Ygor Buitrago e Livia Barroso para conversar sobre um guia lançado pela Autoridade Nacional de Proteção de Dados sobre Agente de Tratamento e Encarregados.
Como está o panorama atual de proteção de dados no Brasil e no mundo?
Ygor inicia falando sobre o aniversário de 3 anos do GDPR, uma forte inspiração para a nossa Lei Geral de Proteção de Dados (LGPD). Inicialmente muitas empresas não se moveram em direção a conformidade, algumas se movimentaram por receio de multas ou punições, porém esse comportamento foi mudando com o tempo. Com a criação da Autoridade Nacional de Proteção de Dados (ANPD) não somente no papel, mas na prática, as empresas passaram a ter o entendimento de que a importância dada ao proteger a privacidade e os dados fornece uma visibilidade positiva para a empresa, clientes, fornecedores, e colaboradores.
Pelos aspectos do direito, Livia pontua a necessidade latente que os advogados tiveram para conhecer tanto a lei quanto aos processos de segurança da Informação envolvidos, para fazer a adequação contratual, tendo que buscar conhecimento sobre as bases de dados pessoais, entre outros. Outro ponto a destacar é que mesmo que as sanções administrativas estejam programadas a partir de agosto de 2021, já existem decisões judiciais baseadas na LGPD, como o conhecido caso do metrô de São Paulo e outros.
E sobre a ANPD? O que ela representa?
A autoridade Nacional de Proteção de Dados é a responsável pela fiscalização da LGPD, lembra Ygor. Além disso, ela tem diversas tarefas como a de zelar pela proteção de dados pessoais, orientando a população sobre as melhores práticas de privacidade; elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, dentre outras.
A ANPD lançou um guia recentemente. Do que trata este documento?
O Guia Orientativo sobre os Agentes de Tratamento e Encarregado esclarece quem são os agentes de tratamento (controlador e operador), além do encarregado de proteção de dados, definindo os conceitos de forma sólida, facilitando e muito, o dia-a-dia dos profissionais de privacidade e proteção de dados. Ygor comentou sobre as tarefas e responsabilidades de cada um deles, citando exemplos para facilitar o entendimento.
Livia lembra que o guia traz o conceito de controlador conjunto, aquele que tem o poder de decisão juntamente com outro controlador. Ainda é uma novidade para muitas empresas, sendo necessário o debate e entendimento com o setor jurídico para garantir a exata compreensão e adaptação dos contratos.
Como funciona na prática o trabalho dos agentes de tratamento em uma situação de vazamento de dados?
Ygor exemplifica que sendo o controlador o responsável pelo tratamento de dados, a empresa deve ter um processo interno preparado para que os dados pessoais sejam devidamente tratados. O Operador deve tratar os dados pessoais respeitando as orientações do Controlador. Já o Encarregado tem a tarefa de fazer com que o tratamento definido pelo controlador seja executado, além de atuar na comunicação do Controlador com o Operador, com a Autoridade Nacional de Proteção de Dados (ANPD), bem como com os Titulares.
A ANPD já definiu o processo para os casos de violação de dados. Em termos gerais ele se divide em:
– Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis;
– Comunicar ao encarregado (Art. 5º, VIII da LGPD);
– Comunicar ao controlador, se você for o operador, nos termos da LGPD;
– Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Art. 48 da LGPD); e
– Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art. 6º, X da LGPD).
Este guia é definitivo? Ou ele pode ser atualizado?
Foi destacado que o guia não é definitivo. A versão publicada está sujeita a comentários e contribuições pela sociedade civil de forma contínua por meio do e-mail normatizacao@anpd.gov.br e que o guia será atualizado à medida em que novas regulamentações e entendimentos forem publicados e estabelecidos pela ANPD.
E como as empresas podem se preparar para a conformidade com a LGPD?
Rafael lembra que é fundamental a abordagem dos controles de segurança da informação visando à privacidade. Trata-se de uma jornada – a jornada de adequação – que é um processo de implementação de rotinas, controles com o entendimento de cada processo, envolvendo pessoas e tecnologias. Deve-se entender o uso de dados pessoais dentro da empresa, a forma com que são manuseados e tratados para que se possa usar os controles de modo adequado e prover a segurança devida. É uma questão multidisciplinar, envolvendo os setores tecnológico e jurídico, principalmente.
Os advogados, como a Livia, tem um papel fundamental na adequação de contratos, incluindo os trabalhistas. As empresas precisam iniciar o quanto antes à adequação à LGPD, contratando profissionais especializados para realizar toda a fase de mapeamento dos dados pessoais que são tratados por elas, identificando se os mesmos estão em conformidade com as bases legais de tratamento previstas na LGPD e realizando as adequações necessárias.
E como podemos orientar os funcionários sobre os cuidados com a proteção dos dados?
Segundo Rafael, a conscientização e engajamento das pessoas nas causas da segurança da informação sempre foi uma questão importante, e agora, mais do que nunca, torna-se fundamental na estratégia de proteção de dados e privacidade da empresa, pois com a LGPD tudo isso ganhou impulso. Se já era necessário e latente conscientizar as pessoas sobre os riscos e ameaças digitais, agora faz-se necessário engajar as pessoas com relação ao tratamento dos dados pessoais de terceiros.
Os treinamentos dos funcionários, em todos os níveis, principalmente após a contratação, são essenciais. Os advogados também auxiliam no nível de conscientização da alta diretoria, por se tratar de uma lei.
A Clavis consegue ajudar as empresas na questão da adequação a LGPD?
Rafael comenta que a Clavis atua não somente nos aspectos tecnológicos com os seus consagrados produtos de segurança tais como o Octopus SIEM e o BART, mas também nos processos com o auxílio na elaboração de documentações como políticas de segurança, políticas de privacidade e a adequação de contratos com clientes, fornecedores e colaboradores.
Como segurança é um processo, é importante que nesse caso da LGPD se faça uma abordagem ampla com foco em uma análise de gap pelos prismas de monitoramento e análise de vulnerabilidades. Deve contar com apoio de diversas frentes, por exemplo, para identificar os processos, monitorar, rastrear, controlar os dados, empregar a segurança orientada a dados, atuando sobre os pilares de Pessoas Processos e Tecnologias. Assim, a empresa poderá ter todo arcabouço de documentação elaborado. É recomendável que adote procedimentos para conscientização, capacitação do encarregado, treinamentos em Segurança da Informação, Privacidade e Desenvolvimento Seguro, além de simulações de ataques e invasão para manter o ambiente sempre sob o mais alto nível de segurança.
Conheça mais sobre os serviços da Clavis para a LGPD, clicando aqui.
Assista o SegInfocast #75 – LGPD: Impactos na Sociedade e a Jornada de Adequação das Empresas ocorrido em Dezembro de 2020. Este SegInfocast lhe fornecerá os principais aspectos da Lei.
Sobre os entrevistados
Rafael Soares Ferreira é Diretor Comercial na Clavis Segurança da Informação.
Ygor Buitrago é Head de Riscos e Compliance na Clavis Segurança da Informação.
Lívia Barroso é advogada trabalhista, graduada pela Universidade Federal do Rio de Janeiro e pós graduada pela Ejutra – Escola Associativa dos Juízes do Trabalho.
Sobre o entrevistador:
Luiz Felipe Ferreira tem 16 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Data Protection Product Owner no Itaú Unibanco. Apresentador do SegInfocast, um podcast focado em Segurança. Professor universitário na IDESP. Instrutor credenciado EXIN no tema de privacidade e proteção de dados pela Clavis. Palestrante em diversos congressos de Segurança como SegInfo, WorkSec e Congresso de TI. Possui as certificações EXIN DPO, ISFS, PDPF, PDPP.
Recomendação de leitura: SegInfocast #75 – LGPD: Impactos na Sociedade e a Jornada de Adequação das Empresas / LGPD é sancionada e entra em vigor nesta sexta-feira (18/09) e Governo Federal lança plataforma de educação em LGPD