O PRESIDENTE DA REPÚBLICA sancionou lei Nº 13.709, DE 14 DE AGOSTO DE 2018 decretada pelo Congresso Nacional e que versa sobre Proteção de Dados.
A Lei Geral de Proteção de Dados (LGPD), em seu Art. 3º, informa que a mesma se aplica a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional. Partindo dessa informação, verificamos que a EBC está obrigada a realizar adequação visando a atender ao que é descrito na lei e com prazo de conclusão até agosto de 2020.
A LGPD, em seu Art. 5º parágrafo VIII, recomenda a designação de um encarregado e o define como: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O mercado de tecnologia conhece esse profissional pelo termo DPO (Data Protection Officer), ou Oficial de Proteção de Dados.
A LGPD, identifica quatro atores que participam do seu contexto:
Titular: O proprietário dos dados. As pessoas físicas.
Controlador: É o tomador dos dados. A pessoa jurídica.
Operador: É designado ou contratado pela pessoa jurídica, responsável pela coleta e manipulação de dados.
Encarregado: É o profissional que responde pela proteção dos dados dentro da EBC (DPO).
Relação de responsabilidades do DPO:
Estabelecer o conjunto de técnicas, ferramentas ou conceitos pré-definidos (framework) para adequação à LGPD - O DPO deve garantir que o processo de proteção de dados pessoais deva estar alinhado com os procedimentos operacionais da EBC, com a segurança da informação e com as normas de governança e vice-versa. Deve também definir claramente as finalidades, limitações, controles, modelos e ferramentas que abordam os aspectos do processamento de proteção de dados pessoais.
Gestão do Registro de Processamento (logs) – O DPO em conjunto com o operador em seus trabalhos de tratamento de dados, devem garantir que o processamento de dados sempre gere registros mantidos e apresentados em formatos auditáveis.
Gestão das Regras para Consentimento - O DPO deve garantir que exista um conjunto de regras claras, transparentes, formalizadas e comunicadas para o consentimento, coleta e o processamento de dados pessoais. O consentimento deve abranger o tipo de consentimento, atribuição ou revogação do consentimento pelos titulares de dados, controles e verificações para atribuição ou revogação do consentimento de crianças e adolescentes pela autoridade parental, verificação apropriada de idade, além de canais de comunicação com simplicidade de linguagem para consentimento ou revogação.
Gestão de Solicitações de Dados Pessoais - O DPO deve garantir que os direitos dos titulares de solicitar informações, alterações ou retificações devem ser regidos por um conjunto definido de regras. O processo deve abranger aspectos como recebimento das solicitações referentes a dados pessoais, respostas formais e Interfaces para outros processos.
Gestão de Reclamações de Dados Pessoais - O DPO deve garantir que as reclamações dos titulares de dados sejam feitas diretamente ou por meio da autoridade nacional, devam ser gerenciadas por um conjunto definido de regras e formalizadas em procedimentos operacionais, devendo cobrir: Recebimento formal das solicitações de reclamações de dados pessoais, análise de reclamações, interfaces organizacionais, legais e técnicas dentro da empresa, definição e implementação de remediação, resposta formal, incluindo os canais de comunicação, formatos pré-definidos e identificação de lacunas ou fraquezas potenciais que levam à reclamação e oportunidades de melhoria.
Gestão da Garantia de “Gestão Imparcial” - O DPO deve garantir que a sua supervisão seja isenta e regida por um processo que defina claramente seu papel, responsabilidades, escopo e objetivos de supervisão em aderência à LGPD.
Gestão do Ciclo de Vida – O DPO deve garantir que os dados pessoais adquiridos pela EBC, sejam gerenciados a partir de um ciclo de vida definido pela classificação inicial do dado, desde a coleta inicial, processamento, análise, compartilhamento, armazenamento, reutilização, e eliminação.
Gestão da Identificação dos Dados Pessoais - O DPO deve garantir que todos os dados pessoais existentes (ex. Funcionários, Terceiros, Clientes) dentro de sua esfera de controle, sejam devidamente identificados e documentados.
Gestão da Classificação dos Dados Pessoais - O DPO deve garantir que os dados pessoais sejam classificados através de um processo que considere o nível de proteção em segurança da informação e garantias de acordo com a LGPD.
Gestão do Registro de Dados Pessoais - O DPO deve garantir que os dados pessoais devam ser documentados em um registro que seja auditável e completo. O registro deve fornecer uma fonte definitiva do que está sendo processado e o porquê. Devendo abordar: Tipos e formatos de dados, localização, cópias, imagens virtualizadas e em nuvem. O processo de registro de dados pessoais deve ser atribuído a um proprietário administrativo. Uma matriz RACI é recomendada.
Gestão de Dados Pessoais Sensíveis - O DPO deve garantir os dados pessoais pertencentes a categorias sensíveis, devam ser gerenciados com cuidado e cautela adicionais em aderência às determinações da LGPD.
Gestão de Exclusão da Dados Pessoais - O DPO deve garantir que o processo de gerenciamento de eliminação, contenha etapas apropriadas para garantir que os dados pessoais a serem excluídos sejam identificados, verificados e realmente apagados. O resultado da eliminação deve ser comunicado a todas as partes interessadas, tanto internamente quanto externamente.
Gerenciar Anonimato - O DPO deve garantir que a anonimização seja realizada através de um processo conhecido e tecnicamente perfeito que impossibilite a identificação direta ou indireta de pessoas físicas.
Gerenciar Criptografia - O DPO deve garantir que a criptografia escolhida deva basear-se em algoritmos publicamente reconhecidos como adequados e que garantam a integridade dos dados armazenados.
Gerenciar Níveis de Proteção - O DPO deve garantir que os níveis de proteção padronizados para confidencialidade, integridade e disponibilidade devam ser aplicados aos dados pessoais.
Gerenciar Recuperação - O DPO deve garantir que os dados pessoais devam ser protegidos contra perda, alteração indevida ou indisponibilidade acidental. O processo deve cobrir planos de recuperação de conjuntos de dados pessoais, backup e restauração (testes). Este processo deve ser integrado ao processo de gerenciamento de incidentes, aproveitando ferramentas e técnicas.
Gerenciar Acessos - O DPO deve garantir que o gerenciamento de acessos (físico e logico) aos dados pessoais deva ser controlado e gerido de acordo com os requisitos da LGPD e os princípios de necessidade e de privilégios reduzidos. Este procedimento deve ser integrado ao processo de gerenciamento de acesso já existente da organização.
Gerenciar Testes e Maturidade de Segurança - O DPO deve garantir que a segurança de dados pessoais deva ser testada e avaliada regularmente e incorporada em testes e avaliações gerais de segurança da informação abordando testes conceituais, varredura de vulnerabilidades e testes de penetração.
Gerenciar Controladores - O DPO deve garantir que o processo de gerenciamento garanta que todos os controladores sejam conhecidos e que o processamento de dados em toda a cadeia de suprimentos esteja em conformidade com os requisitos da LGPD.
Gerenciar Fornecedores - O DPO deve garantir no processo de gerenciamento, que todos os fornecedores sejam conhecidos, controlados e que o processamento de dados em toda a cadeia de suprimentos esteja em conformidade com os requisitos da LGPD.
Gerenciar Acordos de Dados Pessoais (SLAs) - O DPO deve garantir que as relações entre controladores e fornecedores devam ser adequadamente definidas, implementadas e controladas no âmbito da LGPD.
Gerenciar Impacto na Cadeia de Suprimentos - Em uma cadeia de suprimentos com vários atores, os impactos resultantes dos riscos de LGPD podem se materializar a qualquer momento, deve-se, portanto, abranger todos os controladores e fornecedores envolvidos no gerenciamento de impacto. Esses envolvidos, devem aplicar sua própria abordagem de LGPD e documentar os resultados de testes, assessment e verificações. O DPO deve garantir que essa integração aconteça dentro do que é esperado na LGPD.
Gerenciar Controles na Cadeia de Suprimentos - O DPO pode auditar terceiros que recebam dados pessoais transferidos pela EBC, verificando procedimentos de teste de eficácia, amostragem e coleta de evidências que demonstrem controles e procedimentos de monitoramento e revisão de registros, incluindo planejamento e auditorias. Incidentes e violações relacionados a dados pessoais devem ser reportados de acordo com a LGPD. Isto inclui a notificação para supervisão, Autoridade Nacional de Proteção de Dados, bem como as comunicações aos titulares de dados, reais ou potencialmente afetados pela violação.
Gerenciar Notificações - O DPO deve garantir que o processo de notificação, além de satisfazer os requisitos obrigatórios da LGPD, deve servir como um instrumento que não só comunica a natureza e os detalhes do incidente, mas também demonstra o controle e conscientização de remediação e melhorias.
Gerenciar Comunicação de Dados Pessoais - O DPO deve garantir que o instrumento de notificação deva satisfazer os requisitos obrigatórios da LGPD e seguir as boas práticas em termos de comunicação. Isso requer um processo que utilize os canais corretos de comunicação, informação, linguagem apropriadas e mensagens-chave aprovadas explicando a violação no contexto da LGPD.
Gerenciamento de Crises - Como a maioria dos incidentes e violações de dados pessoais podem ter grandes consequências, o processo de gerenciamento prevê a escalada para o nível de incidentes ou crises graves, ligando assim as violações de dados pessoais ao gerenciamento de crises dentro da empresa. O DPO deve garantir que os setores responsáveis sejam notificados tão logo se faça a comunicação à ANPD.
Gestão de Reinvindicações, Reclamações e Evidencias – O DPO deve garantir a coleta de reinvindicações, de reclamações e de evidências e ainda auxiliar o departamento jurídico nas justificativas e defesas contra reclamações resultantes de incidente ou violação de dados conforme previsto na LGPD.
Manter a Conscientização em Toda a Empresa - O DPO deve implementar um processo de conscientização na empresa sobre a LGPD.
Gerenciar Educação e Habilidades - A LGPD exige um conjunto de habilidades e qualificações que devem estar presentes na empresa. A gestão de competências e educação é um processo essencial para garantir que a LGPD e suas consequências sejam totalmente compreendidas. O DPO deve garantir a construção de um processo para cobrir: definição de habilidades, níveis e requisitos internos para tarefas, mapeamento de habilidades para papéis e funções organizacionais (matriz), identificação de níveis de qualificação adequados e qualificações formais ou certificações.
Gerenciar Treinamentos - O DPO deve conduzir o processo de formação e treinamento baseando-se nas competências e na matriz de educação, fornecendo conteúdo adequado e relevante aos diferentes destinatários dentro da empresa. O processo deve incluir treinamentos obrigatórios e opcionais cobrindo no mínimo, treinamento LGPD básico definido e validado, de preferência obrigatório para todos os membros da empresa, conceito de treinamento baseado nas habilidades e na matriz educacional, plano de treinamento, geralmente anual, incluindo oportunidades de treinamento interno e externo.
Manter Controles de Coleta de Dados - O DPO deve garantir que os controles de coleta de dados pessoais sejam legítimos e de acordo com a lei. O processo para gerenciar esses controles deve identificar os meios de coleta de dados pessoais, bem como os canais de entrada.
Manter Controles de Processamento - Os dados pessoais devem estar sujeitos a controles que garantam o processamento legal e a adesão ao objetivo definido. Esses controles devem, portanto, ser implementados em todos os estágios do ciclo de processamento. O DPO deve garantir a identificação de etapas do processo, entradas e saídas e identificação de pontos de entrega para terceiros.
Manter Controles de Armazenamento - Os dados pessoais em repouso (ou seja, armazenados ou arquivados) estão sujeitos a controles de integridade, disponibilidade e acesso. O DPO deve exigir dos setores responsáveis, o total atendimento aos itens de controle de armazenamento.
Manter Controles de Exclusão - Os controles de exclusão de dados pessoais devem estar vinculados ao ciclo de vida do processamento de dados para garantir a exclusão. O DPO deve garantir que os controles sejam realizados em conformidade com a lei.
Manter Controles de Monitoramento - O processamento, armazenamento, exclusão e qualquer outro uso de dados pessoais estão sujeitos a monitoramento permanente, e devem fazer parte do processo interno de monitoração. O DPO deve garantir que esses controles sejam realizados.
Realizar Revisão de Qualidade (QA LGPD) - Conforme estabelecido pela LGPD, o tratamento de dados pessoais deve ser revisado de forma independente e de maneira imparcial. O processo de gerenciamento de revisões deve abordar os tipos de revisão, bem como sua frequência e alcance. O DPO deve garantir a realização dos trabalhos, incluindo notificação, trabalho de campo, análise, relatórios e revisões de melhoria contínua nos processos.
Relação de poderes do DPO
O DPO investido nas responsabilidades citadas acima, também recebe um pequeno, porém relevante conjunto de poderes que existem apenas para poder viabilizar o trabalho inerente a adequação e manutenção de processos, sistemas e capacitações que permitam à EBC se tornar e permanecer aderente ao que determina a LGPD.
O DPO investido nas atribuições definidas pela lei, deve possuir a liberdade de trabalho em todos os departamentos e filiais que componham o grupo EBC.
Deve possuir a liberdade de trabalho para recomendar, agendar, alterar e exigir capacitação em virtude das obrigações impostas pela EBC.
Deve possuir a liberdade de trabalho para recomendar e acompanhar alteração de sistemas, processos ou formulários eletrônicos ou não, em virtude das obrigações impostas pela EBC.
Deve possuir a liberdade para realizar informes gerais e em todos os níveis.
Deve possuir a liberdade de poder acompanhar presencialmente ou remotamente todas as atividades que estejam cobertas pela LGPD, assim como a execução do planejamento proposto para adequação à lei.
Deve possuir a liberdade de reportar não só ao controlador, mas principalmente à ANPD sobre quaisquer violações previstas na lei.
Deve possuir a liberdade de realizar reuniões com todos os envolvidos independente do nível hierárquico dentro do grupo.
Deve possuir a liberdade de reportar ao controlador, quaisquer problemas que identifique como sendo impeditivos para a adequação ou ao cumprimento do prazo imposto pela LGPD.
Deve ser o líder da comissão interna, designada para a realização das atividades de aderência à LGPD. Essa comissão pode ser específica ou aproveitada de algum outro tema correlato. A liderança em caso de comissão já existente, deve ocorrer apenas quando a mesma estiver se reunindo para trabalhos inerentes à LGPD.
Deve possuir a liberdade de inquirir, acompanhar, cobrar informações e a evolução da adequação da LGPD na cadeia de fornecedores e logística que recebam dados pessoais que são de responsabilidade da EBC.
Deve possuir a liberdade de recomendar a descontinuidade de contratação de serviço de fornecedor que se recuse a fornecer informações ou que não atenda às imposições da LGPD.
O controlador deve garantir que o DPO tenha um ambiente que possibilite que a sua supervisão seja isenta e regida por um processo que defina claramente seu papel, responsabilidades, escopo e objetivos de supervisão em aderência à LGPD.
A EBC possui um DPO. Seu nome é Laudelino A. de Oliveira Lima e ele pode ser encontrado no emai dpo@ebc.com.br