Gabrielle Serafim, Autor em Be Compliance

Requisitos para utilização da hipótese legal do legítimo interesse do controlador

Gabrielle Serafim — Mon, 05 Feb 2024 14:47:48 +0000

No dia 02 de fevereiro de 2024, a ANPD (Autoridade Nacional de Proteção de Dados) apresentou recentemente um Guia Orientativo abordando a Hipótese Legal associada ao legítimo interesse do Controlador. No que se refere ao processamento de dados pessoais sob a Base Legal de Legítimo Interesse, é fundamental atentar para diversos fatores:

1. A Natureza dos dados pessoais: a ANPD deixa explícito que essa Base Legal não pode ser aplicada ao tratamento de dados pessoais sensíveis. Contudo, dados pessoais de crianças e adolescentes podem ser tratados com essa mesma base legal, desde que, observada a prevalência do princípio do melhor interesse da criança ou adolescentes, além disso, indicado a realização do teste de balanceamento com os seguintes questionamentos:
(i) o que foi considerado como sendo o melhor interesse da criança ou do adolescente;
(ii) com base em quais critérios os seus direitos foram ponderados em face do interesse legítimo do controlador ou de terceiro;
(iii) que o tratamento não gera riscos ou impactos desproporcionais e excessivos, considerando a condição da criança e do adolescente como sujeitos de direitos.
Nestes casos, se não identificada medidas de segurança ou mitigações de riscos para essas hipóteses, é indicado a adoção de outra base legal.
Aconselhado sempre possuir uma relação prévia direta do controlador e dos titulares dos dados.

2. Identificação do legítimo interesse do controlador: é necessário identificar e justificar o interesse do controlador em relação ao tratamento dos dados pessoais, contudo, para esse interesse ser legítimo é necessário atender três condições:
(i) compatibilidade com o ordenamento jurídico. Neste caso, é preciso que haja compatibilidade com o ordenamento jurídico, não sendo vedado pela legislação vigente, além disso, deve ser compatível com os princípios, normas e direitos fundamentais.
(ii) lastro em situações concretas. Isso significa, que as situações de tratamento devem ser reais, claras e precisas, o que afasta situações abstratas ou especulativas.
(iii) vinculação a finalidades legítimas, específicas e explícitas. Vincular o tratamento a um propósito específico, de situações concretas, sendo o uso dos dados estritamente necessários para essa finalidade. Levando em consideração sempre a informação ao titular de forma clara e precisa, delimitando o escopo de tratamento desses dados. A finalidade deve ser exclusivamente em relação à promoção das atividades do controlador e a proteção, e em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem.

3. Verificar se o interesse que fundamenta as operação é do próprio controlador ou de terceiro: neste caso, não tem diferença em relação aos requisitos legais aplicáveis a essas situações, contudo, a diferença está nos riscos entre interesse do controlador e de terceiro, por que, o controlador deve justificar se o interesse de fato é de um terceiro e se esse interesse é capaz de sustentar o uso da base legal, visando sempre os princípios da boa-fé, responsabilização e prestação de contas. Ademais, o controlador é sempre o responsável pela comprovação e atendimento a finalidade legítima, com isso, ele necessita prezar pela proteção e utilização legítima desses dados pessoais. Recomendados a realização do teste de balanceamento.

4. Hipótese legal do legítimo interesse pressupõe a identificação e a mitigação de riscos aos direitos e liberdades fundamentais dos titulares: indicado a realização do teste de balanceamento, para que os controladores possam avaliar se os impactos em caso de incidente são proporcionais e compatíveis com esses direitos e quais medidas podem ser tomadas para que evite essa situação.

Um ponto focal é a autodeterminação informativa, direito que garante ao titular ser coordenador em relação aos seus dados pessoais, obrigando aos controladores a atuação de forma responsável e dando ao titular a participação de forma ativa nas decisões relacionadas aos seus dados pessoais. Sendo assim, é necessário que os controladores deixem um canal de comunicação com os titulares de fácil acesso.

5. Legítima expectativa do titular: para este fator, o controlador deve ser capaz de demonstrar que o tratamento de dados é utilizado para finalidade pretendida e o que é esperado pelo titular nesses casos. A análise pode ser baseada principalmente nesses fatores:
(a) a existência de uma relação prévia do controlador com o titular;
(b) a fonte e a forma da coleta dos dados, isto é, se a coleta foi realizada diretamente pelo controlador, se os dados foram compartilhados por terceiros ou coletados de fontes públicas;
(c) o contexto e o período de coleta dos dados;
(d) a finalidade pretendida da coleta dos dados e a sua compatibilidade com o tratamento baseado no legítimo interesse;

5. Embora aplicável a todos os tratamentos de dados pessoais, a LGPD reforçou o dever de observância ao princípio da necessidade, transparência e registro das operações.

Visando o tratamento entre agentes privados, esses são os fatores que devem ser avaliados em relação ao tratamento dos dados pessoais em relação a utilização da Base Legal do legítimo interesse do controlador. Além dessa análise, a ANPD indica por diversas vezes a realização do teste de balanceamento em relação a esses processos e também o canal de comunicação do controlador com o titular dos dados pessoais.

Legítimo Interesse e o poder público

É indicado que nos casos do tratamento dos dados for realizado pelo setor público, que se evite a utilização da base legal de Legítimo Interesse, pelo fato, de que não há como se realizar uma ponderação entre as expectativas dos titulares e os supostos interesses ou obrigações do Estado, visto que existe à uma assimetria de forças.
Contudo, no caso da utilização dessa base legal, não pode ser vinculada a tratamentos de dados compulsórios, ou ainda, se basear no exercício de prerrogativas estatais típicas, que decorrem do cumprimento de obrigações e atribuições legais. E no caso da utilização, observar os requisitos e princípios já indicados anteriormente.

Teste de balanceamento

O tratamento de dados pessoais respaldados na hipótese de legítimo interesse deve ser acompanhado do teste de balanceamento, que visa observar o interesse do controlador ou terceiro e de outro lado interesse das liberdades fundamentais dos titulares. Os testes devem ser realizados especificamente para cada finalidade pretendida.
Há diversos elementos que devem ser analisados para a utilização da aplicação dessa hipótese legal, a ANPD publicou um modelo de teste para auxiliar os agentes de tratamento para a elaboração desse documento, e nós já disponibilizamos este modelo em nossa Plataforma Digital, por meio de formulário digital de fácil acesso e preenchimento. O modelo leva em consideração três fases: finalidade, necessidade e balanceamento e salvaguardas.

Conclusão

Fiquem atentos a todos esses requisitos até então publicados pela autoridade de proteção de dados, para proteção da sua empresa em relação ao tratamento dos dados pessoais, justificados pela hipótese legal do legítimo interesse.

Matéria escrita por:

O post Requisitos para utilização da hipótese legal do legítimo interesse do controlador apareceu primeiro em Be Compliance.

Você Sabe Como Mitigar Riscos na LGPD?

Gabrielle Serafim — Mon, 11 Sep 2023 18:40:46 +0000

Introdução

A implementação eficaz da Lei Geral de Proteção de Dados (LGPD) exige não apenas a conformidade com suas regulamentações, mas também uma abordagem sólida de gestão de riscos. Neste artigo, exploraremos a importância de gerenciar os riscos associados ao tratamento de dados pessoais e discutiremos estratégias para mitigar esses riscos, garantindo assim a segurança e a conformidade.

A Importância da Conformidade e da Gestão de Riscos na LGPD

O Programa de Proteção de Dados requer a adequação e gestão de diversas regulamentações da LGPD (Lei Geral de Proteção de Dados). Além disso, um dos principais pontos do Programa é realizar a Gestão de Riscos dos processos de tratamento de dados.

Em relação à LGPD é necessário que o tratamento de dados pessoais leve em consideração o tratamento legal desses dados, respaldadas as medidas de segurança utilizadas. É preciso que o controlador trate de maneira correta e segura os dados pessoais, mitigando os riscos de incidentes.

A Lei determina que os agentes de tratamento de dados adotem medidas de segurança, técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações ilícitas ou inadequadas. Sendo assim, o controlador e o operador dos dados precisam ter esse controle.

O que são Riscos?

Risco é a combinação da probabilidade de ocorrer um incidente e seu impacto caso venha a acontecer. Dentro do Programa de Proteção de Dados o risco é gerenciado da mesma forma. O risco é algo incerto, que caso ocorra, pode vir a prejudicar ou impedir algum processo.

É essencial que, para cada uma das atividades que lidam com os dados pessoais dentro de uma instituição, os responsáveis realizem a avaliação dos riscos. O risco, frente ao tratamento dos dados pessoais, está relacionado a qualquer ação incerta que venha a trazer alguma circunstância negativa a esses dados, como por exemplo, o seu vazamento.

Riscos Vinculados à Proteção de Dados

Em relação à privacidade dos dados pessoais, é preciso gerenciarmos os riscos. Para cada um dos processos que lidam com os dados pessoais, é necessário examinar se algo pode vir a prejudicar a utilização e tratamento desses dados.

À vista disso, é preciso analisar se o tratamento dos dados está de acordo com a Lei Geral de Proteção de Dados. A Lei traz diversos requisitos necessários para a captação e tratamento desses dados, dessa maneira, segue uma lista de alguns riscos que carecem de atenção:

1. Base Legal: É preciso que cada processo de tratamento de dados pessoais sejam justificados por uma base legal, que estão dispostas na Lei Geral de Proteção de Dados, em seu artigo 7°.
2. Captação necessária: Quando realizamos a captação de dados pessoais, é preciso que a coleta seja apenas daqueles dados necessários para realização da atividade final, de acordo com a finalidade específica do processo. Os dados não devem ser captados acima do necessário e nem utilizados para outro tipo de finalidade.
3. Segurança: Utilize seguranças para o armazenamento de seus dados pessoais. Segurança está relacionada tanto aos dados armazenados fisicamente, quanto, digitalmente. Invista na segurança, proteja os dados pessoais utilizados para o sucesso da instituição.
4. Exclusão periódica: De acordo com a LGPD, o dado deve ser excluído após atingir sua finalidade, possuindo o período que deve ser armazenado e depois excluído. O prazo pode diferir dependendo do processo, há algumas atividades que têm o prazo definido por Lei, que deve ser armazenado após obtido a finalidade do uso dos dados. Tudo isso deve ser definido pelo DPO.
5. Gestão de operadores: Os operadores são os agentes de tratamento que fazem a utilização e gestão dos dados pessoais do controlador. Sendo assim, é de suma importância a integridade desse operador. É preciso que a empresa gerencie e analise os operadores que vão fazer o tratamento dos seus dados, levando em consideração que o controlador pode ser responsabilizado por qualquer incidente que venha a ocorrer por meio dos seus operadores.
6. Revisão: Revise seus processos periodicamente, defina uma periodicidade para as revisões e gestões dos dados. Qualquer controlador pode passar por mudanças, adições ou exclusões de processos durante o tempo, por conta disso, os processos devem ser sempre reavaliados. O mesmo deve ocorrer em relação aos seus riscos, já que com o decorrer do tempo, pode ser alterada a forma de tratar os dados, ou ainda, que novos tipos de ataques sejam descobertos. Sendo assim, tudo isso deve ser revisado de forma periódica, para manter a integridade e disponibilidade desses dados.

Posto isso, podemos verificar que todos os riscos estão dispostos no corpo da LGPD e em suas disposições. Verificando esses e outros riscos que podem vir a surgir no tratamento dos dados pessoais, podemos classificar o seu impacto e sua probabilidade, para observar sua classificação (muito baixo; baixo; médio; alto; muito alto) e dessa maneira definir as prioridades de gestão e mitigação.

Como Mitigar os Riscos para Proteção de Dados Pessoais?

Diante dos riscos destacados em cada um dos processos, é preciso mitigá-los, para diminuir a chance de vir a acontecer um incidente com os dados pessoais tratados pela empresa. Para mitigação há diversas ferramentas e técnicas que podem ser utilizadas.

Primeiramente, a utilização de mecanismos de segurança da informação, como utilização de senhas fortes atualizadas periodicamente, antivírus sempre atualizado, criptografia, firewall, entre outros instrumentos que podem ser usufruídos para essa finalidade.

Outra atividade de mitigação é dispor de controle de acesso, ou seja, transmitir o acesso às informações apenas pelas pessoas necessárias à execução da atividade final, isso pode ser realizado pela equipe de tecnologia, que fará uma autenticação de permissões de cada um dos colaboradores.

Além disso, realize backups frequentes, para que, caso aconteça incidente como perda ou exclusão dos dados de forma errônea, haja como recuperar essas informações. O backup salva cópias seguras das informações da empresa, realizadas em servidor próprio ou em nuvem de terceiros.

Outro ponto importante, executar análises de vulnerabilidade periódica, monitorar e realizar testes de segurança frente ao armazenamento e tratamento dos dados, sempre reavaliando os processos e procedimentos já implementados, visando ter maior controle das informações, sem permitir acessos não autorizados, realizando varreduras por todo sistema, para garantir que as possíveis ameaças sejam identificadas com antecedência e tratadas.

Segurança Física e Controle de Acesso

Além de toda segurança focada no tratamento de dados armazenados digitalmente, não podemos esquecer dos dados físicos, eles também necessitam de um controle e segurança. Sendo necessário também o controle de acesso, o armazenamento seguro, como utilização de câmeras de segurança, alarmes, crachás e outras ferramentas que podem ser utilizadas, para que o acesso seja apenas dos colaboradores autorizados pela finalidade do processo.

E ao fim, não menos importante, treinamentos e políticas. Os colaboradores precisam saber quais são os recursos que podem ser utilizados e como devem ser utilizados. Nas políticas e nos treinamentos a empresa explicita de que forma o colaborador deve agir frente aos processos e tratamentos de dados, já que sem essa indicação muitos não vão saber como colocar as atividades de segurança em prática. Por isso, aplicar treinamentos e políticas ajudam a conscientização da necessidade da proteção e como realizá-la diariamente.

Conclusão

Em um mundo onde a privacidade dos dados pessoais são uma prioridade, a gestão de riscos desempenha um papel crucial na conformidade com a LGPD. Identificar e mitigar os riscos associados ao tratamento de dados pessoais é essencial para proteger a integridade e a segurança dessas informações. Ao adotar estratégias como a implementação de medidas de segurança, controle de acesso e treinamento de colaboradores, as empresas podem fortalecer sua posição de conformidade e garantir a proteção de dados pessoais de maneira eficaz.

Matéria escrita por:

Agende uma demonstração e conheça as nossas soluções!

O post Você Sabe Como Mitigar Riscos na LGPD? apareceu primeiro em Be Compliance.

Como as Investigações Digitais Fortalece o Compliance Empresarial

Gabrielle Serafim — Mon, 03 Jul 2023 14:36:05 +0000

Introdução

Neste artigo, exploraremos a importância das investigações digitais no contexto do Compliance empresarial, abordando sua relevância na geração de provas e indícios, bem como no ajuste de procedimentos internos. Discutiremos os desafios e riscos enfrentados pelas empresas na era tecnológica, e como a investigação digital desempenha um papel fundamental na identificação e solução de irregularidades. Ao longo do texto, você descobrirá técnicas e precauções necessárias para garantir a validade das informações coletadas durante as investigações digitais. Além disso, apresentaremos uma solução eficaz oferecida pela Be Compliance, que fortalece as práticas de Compliance e garante a segurança das operações empresariais.

A Importância do compliance na era digital

Na atualidade, com a grande crescente da tecnologia, as relações e maneiras de realizar muitas coisas ficaram mais práticas, rápidas e eficientes, contudo, ficaram, também, mais perigosas e trouxeram alguns riscos. Frente a isso, é necessário que o setor de Compliance acompanhe essa expansão, principalmente focando na área de investigação.

Investigação no Compliance

A investigação é um dos pilares do programa de Compliance. A investigação primeiramente tem a intenção de gerar provas, sendo esses os elementos que ligam o fato a uma pessoa diretamente, ou gerar indícios, que ligam indiretamente os fatos a essa pessoa. Isto é, a investigação é importante para apurar situações e embasar atitude mais apropriada.

Frente às investigações e as decisões tomadas, a empresa consegue analisar irregularidades e ajustar seus procedimentos, como por exemplo, rever suas políticas, seus riscos, realizar auditorias, entre outros.

A investigação pode ser realizada de forma externa, quando um agente externo realiza toda a apuração dos fatos, como por exemplo, investigação policial. A investigação pode ser feita de forma interna, pelos próprios responsáveis da empresa, como por exemplo, pelo Comitê de Compliance.

No momento da investigação interna do caso é importante lembrar de se respaldar nas normas e leis nacionais ligadas à investigação, exemplo, não poder grampear um telefone sem autorização judicial.

Investigação Digital

Na atualidade, diante da grande evolução da tecnologia e sistemas digitais, alguns grandes riscos empresariais foram “modernizados”. Levando em consideração a investigação no setor de Compliance, frente às irregularidades empresariais, também foi necessário atualização.

Quando há uma irregularidade empresarial, como fraude e corrupção dentro da empresa, sendo ela suspeita ou confirmada, é necessário o início de uma investigação mais profunda. Na maioria dos casos, esses atos têm o auxílio de um dispositivo tecnológico, como computadores e celulares para sua consumação, e para a investigação ser conclusiva, muitas vezes é preciso investigar esses aparelhos.

Contudo, nesse momento, é preciso muito cuidado para captar indícios pois, se eles não forem manuseados de forma correta, as informações podem ser perdidas, ou até inválidas perante a legislação brasileira.

A investigação digital precisa ser feita por técnicos, podendo ser realizada por um agente interno ou externo contratado pela empresa. O responsável pela investigação desses aparelhos precisa ter expertise para tratar sobre o tema, precisa saber, muitas vezes, recuperar informações que foram excluídas, buscar o IP que realizou o ato, rastrear mensagens e horários, entre diversos outros movimentos para que, dessa forma, consiga chegar a um indício ou prova concreta, do executor do ato.

Caso Concreto

Para elucidar mais sobre o tema, segue um caso concreto onde foi utilizada a investigação digital:

Em uma empresa houve vazamento de dados pessoais, por conta de phishing. Esse vírus normalmente capta tudo que digitamos no teclado. Captando essas informações, o criminoso conseguiu senhas que daria acesso ao sistema da empresa, como se fosse o colaborador, acessando alguns documentos (Word/Excel), contendo dados de clientes. O criminoso expôs alguns dos dados desse cliente, e iniciou a extorsão, para que ele não publicasse o restante.

Diante desse problema, a empresa iniciou a investigação do caso. Os responsáveis técnicos iniciaram uma busca frente ao e-mail que foi enviado pelo Extorquista, buscando IP’s, buscando a fonte da mensagem, visando o horário. Diante de toda essa busca, eles chegaram a um indício, o IP de um ex-colaborador, conseguindo uma conclusão da investigação e do caso.

Como evitar ataques digitais

Para evitar que aconteçam ataques nos sistemas digitais é preciso diversos cuidados. Em primeiro lugar, treinamento. É de suma importância treinar os colaboradores sobre segurança digital e sobre seus riscos, aplicar um treinamento sobre crimes cibernéticos, como por exemplo o Phishing. É necessário mostrar aos colaboradores como a empresa pode ser invadida e quais são as consequências.

Além disso, é preciso que a empresa invista em segurança da informação, programas de antivírus, firewall, autenticação, entre diversos outros mecanismos para escapar desses ataques. Ademais, realização de backups e gestão de armazenamento seguro, para casos de exclusão forçada ou não de dados.

Considerando que os ataques podem vir a acontecer de dentro da empresa, por algum colaborador interno, para conseguir evitar e tentar se proteger, é importante que a empresa tenha controles internos regulados, registros dos atos executados e seus responsáveis e tenha mapeamento de processos. Isto é, tenha regulamentado e registrado toda gestão, independente do departamento da empresa e dos processos que venham a executar.

Conclusão

A investigação digital precisa ser feita de maneira técnica por alguém que entenda de tecnologia e internet, para que dessa forma, busque de forma correta os indícios e provas de alguma irregularidade empresarial. Contudo um dos pontos mais importantes é a prevenção dessas irregularidades, tendo um programa efetivo de Compliance, gestão de processos, controles internos, treinamentos, canal de denúncia, isto é, um programa eficaz.

Como a Be pode ajudar na investigação digital

Para gestão de todo esse programa a Plataforma da Be Compliance auxilia as empresas a aplicarem essa administração de maneira efetiva e facilitada!

Matéria escrita por:

Agende uma demonstração e conheça as nossas soluções!

O post Como as Investigações Digitais Fortalece o Compliance Empresarial apareceu primeiro em Be Compliance.

ANPD: Imaturidade das Farmácias na Proteção de Dados

Gabrielle Serafim — Mon, 05 Jun 2023 19:04:09 +0000

Imaturidade das Farmácias

A ANPD publicou no dia 12/05/2023 uma nota técnica sobre o tratamento de dados pessoais e dados pessoais sensíveis no setor farmacêutico. Com auxílio da Coordenação-Geral de Tecnologia e Pesquisa – CGTP, se analisou o tratamento de dados nas farmácias. Por meio desta Nota, é possível observar a imaturidade do setor farmacêutico em relação ao tratamento de dados pessoais.

Tratamento de Dados no Setor Farmacêutico

No Setor Farmacêutico é muito comum fazer o tratamento de dados pessoais e dados pessoais sensíveis, tanto para atividades cotidianas do setor, como por exemplo, gestão de receitas nominais fornecidas pelo consumidor, quanto para programas de fidelidade e desconto, muitas vezes utilizados nas farmácias.

Para qualquer tipo de tratamento de dados pessoais, principalmente aos dados sensíveis, é preciso que a empresa esteja apta, de acordo com a Lei Geral de Proteção de Dados (LGPD), para fazer esse tratamento. Importante a clareza nessa relação, deixar explícito ao consumidor como vai ser o tratamento dos dados, em caso de compartilhamento, realizar a comunicação, além de investir em segurança para que não haja incidentes com os dados, há diversos pontos a serem observados no momento de realizar os tratamentos. Visando a Nota a Técnica nº 4/2023/CGTP/ANPD, ANPD deixou bem claro, que a grande maioria desse setor não cumpre a Lei ou está imatura diante a esse cenário.

Pontos de Imaturidade das Farmácias em Relação à LGPD

Por meio do estudo, em um primeiro momento foi realizado a análise das políticas de privacidade das farmácias, e pode-se notar em muitos casos:

Falta de Política de Privacidade;
Falta de transparência das condições que os dados dos titulares são tratados;
Falta de apresentação de quais dados são coletados e a base legal utilizada;
Falta de precisão conceitual, pouca maturidade, insuficiência de informações ao titular e pouca clareza quanto ao tratamento.

Em conjunto com a imaturidade das políticas de privacidade se encontrou a grande dificuldade de os titulares conseguirem solicitar seus direitos. É necessário que o controlador disponibilize, de fácil acesso, um meio de comunicação para que o titular dos dados consiga solicitar seus pedidos em relação aos seus próprios dados pessoais (Artigo 17° e 18° da LGPD). Essa falta de canal de comunicação pode vir a se tornar uma requisição/denúncia junto à ANPD (Autoridade Nacional de Proteção de Dados).

Além disso, foi visto indícios de coleta de dados excessivos. De acordo com a LGPD, a captação e tratamento dos dados deve ser apenas daqueles necessários para atividade, no caso de dados captados em excesso, que não vão ser utilizados para finalidade da atividade em questão, é preciso que sejam excluídos e/ou suspensa sua captação.

Esses são os casos mais comuns de inadequação do setor em relação a LGPD, contudo, é preciso que estejam atentos quanto aos tratamentos desses dados pessoais, com maior cuidado aos dados sensíveis.

Quais Práticas Foram Analisadas Pela ANPD?

No estudo exercido pela ANPD, em conjunto com a CGTP foram analisados diversos exercícios de tratamento de dados do setor farmacêutico. Um dos estudos foi em cima dos Programas de Benefícios em Medicamento, conhecidos também como PBM, que se refere a um programa onde os consumidores podem comprar medicamentos com descontos, caso tenham autorização do laboratório ou da indústria. Neste caso, o controlador dos dados são as indústrias e não as farmácias diretamente, elas apenas realizam o cadastro (CPF; nome; assinatura) para verificar a exigibilidade do cliente.

Outra prática analisada foram os programas de fidelização. Esses programas são destinados a publicidade e programa de pontos, com ofertas exclusivas. A ANPD realizou vários workshops e estudos para entender mais sobre o programa de fidelização das farmácias e o tratamento e compartilhamento desses dados, contudo, não foi possível, por hora, fazer uma análise concreta sobre o caso, será necessário um estudo mais aprofundado do tema. Contudo a ANPD já ressaltou a atenção aos dados compartilhados com terceiros, o prejuízo do desconto apenas a clientes cadastrados no programa e o atendimento e captação do consentimento dos titulares.

Além disso, a ANPD comunicou sobre os programas de parceria com convênios. Neste caso as farmácias são operadoras dos dados pessoais, uma vez que sua função é conferir os dados dos titulares, para checar se eles são beneficiários do convênio, e em caso positivo, aplicar desconto.

Biometria como Autentificação de Identidade

A ANPD relatou na Nota Técnica sobre o uso de biometria como autenticação de identidade nos setores farmacêuticos. Por ser um tratamento de dados sensíveis, a Autoridade abordou o fato de que possui outras medidas para autenticação que sejam de menor risco. Ademais, é necessário para esse tratamento medidas de seguranças rigorosas, em conjunto com uma explicação da utilização de acordo com a LGPD.

Qual o Papel da ANPD no Caso em Tela?

Frente à situação de imaturidade no setor farmacêutico a ANPD tem a função educativa, elaborar materiais e estudos que auxilie o setor a estar em conformidade com o tratamento de dados.

Conclusão

Frente a todos os estudos realizados pela Coordenação-Geral de Tecnologia e Pesquisa – CGTP da ANPD foi possível observar a grande falta de maturidade e adequação do setor farmacêutico em relação a LGPD. Ainda não foi possível a finalização de alguns assuntos, que necessitarão de estudos mais aprofundados, contudo, reforçou o compromisso em proteger o direito dos titulares de dados. Para esse fim, a ANPD irá monitorar, fiscalizar e normatizar o setor, além de trabalhar em conjunto com a Secretaria Nacional do Consumidor para analisar os limites do consentimento como hipótese legal na concessão de descontos.

Sobre a Be

A Be possui uma Plataforma Completa de Proteção de Dados, para auxiliar toda adequação à privacidade, gerenciando consentimento, riscos, treinamentos, entre outros facilitadores.

Matéria escrita por:

Agende uma demonstração e conheça as nossas soluções!

O post ANPD: Imaturidade das Farmácias na Proteção de Dados apareceu primeiro em Be Compliance.

Tudo o que você precisa sobre a LGPD no E-commerce

Gabrielle Serafim — Mon, 15 May 2023 18:49:54 +0000

Introdução

Em relação a Lei nº 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados (LGPD), que trata sobre a captação e gestão de dados pessoais, é necessário diversas adequações para estar em conformidade com este tratamento. Neste Guia Orientativo, iremos trazer alguns pontos importantes para te ajudar a estar adequado à LGPD no e-commerce..

Os e-commerces tratam inúmeros dados pessoais em seu dia a dia, seja de seus clientes, prospects ou colaboradores. Estando obrigado a se adaptar a LGPD. Essa adequação vai desde a captação, tratamento, armazenamento e segurança desses dados.

O que é a LGPD?

A Lei Geral de Proteção de Dados foi promulgada com intuito de proteger os dados pessoais de pessoa física, visando proteger sempre sua privacidade e liberdade. A Lei é aplicada por cada transação feita com dados pessoais, independente do meio e local da execução.

Hoje em dia, por conta do mundo tecnológico que vivemos, qualquer pessoa que possua seus dados pessoais pode se passar por você. Conseguindo, por exemplo, abrir uma conta em um banco digital, trazendo prejuízo ao dono real dos dados. Há diversas outras situações que podem ser lesivas.

Frente a isso, veio a importância da proteção desses dados e com isso a LGPD. A Lei visa trazer maior segurança ao titular dos dados pessoais e do tratamento de seus dados por terceiros. E essa segurança vai desde a captação e tratamento seguro, até a eliminação desse dado após o período correto.

LGPD no E-commerce

Os e-commerces têm, dentro de seu escopo de trabalho, a venda virtual de produtos. Dessa forma, para a execução da sua função, usa-se muito o tratamento de dados pessoais, principalmente o tratamento de dados pessoais de clientes e prospects.

Para realizar compras online é necessário efetuar um cadastro com os dados pessoais, dados de entrega e na maioria das vezes, dados financeiros. São com esses dados que o e-commerce consegue realizar a entrega de sua mercadoria para o comprador certo.

Levando em consideração o tratamento desses dados pessoais e a Lei Geral de Proteção de Dados, entendemos que é um setor que precisa estar muito bem regulado com a Lei. E quais são as principais frentes que esse setor precisa se regular?

1° Mapeamento dos Dados

Um dos primeiros passos para o e-commerce iniciar sua adequação a LGPD é fazer o mapeamento de todos seus processos. O mapeamento conta com a listagem de todas as atividades internas da empresa que lidam com os dados pessoais, e para cada uma dessas atividades, fazer uma relação de todo tratamento em relação aos dados desse processo, contendo:

Identificação dos agentes de tratamento e do encarregado;
Outras partes interessadas/envolvidas. Informar se foram consultadas na elaboração do RIPD e pareceres emitidos;
Justificativa da necessidade de elaboração do relatório (por exemplo: alto risco, solicitação da ANPD, gestão de riscos e prevenção, outros);
Projeto/Processo que justifica a elaboração do RIPD;
Sistemas de informação relacionados ao projeto/processo;
Tratamento de dados;
Descrição do tratamento (desde a coleta até a eliminação);
Dados pessoais (informar todos os tipos de dados pessoais tratados, de forma completa);
Dados pessoais sensíveis (informar todos os tipos de dados pessoais sensíveis tratados, de forma completa);
Categorias de titulares (por exemplo, clientes, funcionários do controlador, filhos de funcionários do controlador, funcionários de clientes, autores de ações judiciais, beneficiários de apólices, terceiros prestadores de serviços);
Dados de crianças e adolescentes ou de outra categoria de vulneráveis, como idosos, se houver;
Volume de dados pessoais tratados e número de titulares envolvidos no tratamento; Fonte de coleta;
Finalidade do tratamento (Justifique a finalidade de tratamento para cada dado);
Informar quais são os compartilhamentos internos e externos (inclusive transferência internacional, se houver);
Política de armazenamento (descrever os prazos de retenção e métodos de descarte);
Análise de hipótese legal. Justifique a escolha da hipótese legal para cada finalidade de tratamento;
Análise de princípios da LGPD;
Riscos identificados ao titular;
Resultado apurado com base na metodologia utilizada pelo agente de tratamento;
Medidas, salvaguardas e mecanismos de mitigação de risco.

Essas são as informações básicas que devem conter um Mapeamento de Dados. Este documento é importante para a empresa ter uma visão clara de como funciona todo processo de tratamento de dados. Dessa forma, é possível visualizar se o tratamento feito é abusivo, excessivo e seguro. Com essas informações já conseguimos partir para a próxima etapa.

2° Gestão de Risco

Para um segundo momento, seguimos fazendo a gestão dos riscos das atividades de tratamento de dados. Nesse momento é necessário visualizar o que está em desconformidade em relação à Lei, ou seja, minuciosamente passar por cada processo, vendo quais são suas falhas, seja de segurança ou de desconformidade à Lei.

Para isso, muitas empresas costumam fazer uma matriz de risco, de impacto x probabilidade. Impacto caso venha a acontecer algum incidente com os dados, ou seja, qual a consequência ou efeito desse ato e probabilidade de acontecer um incidente, visualizando a segurança daquele tratamento, qual a chance de acontecer um evento.

Com essa matriz de risco é fácil perceber os processos com risco mais alto, qual deve ter mais atenção, além de utilizar essa relação de risco, para mitigá-los, tentando trazê-los ao menor risco possível.

3° Adequação de Contratos e Políticas

Uma das etapas para adequar o seu e-commerce à LGPD é revisar todos os seus contratos e gerar políticas sobre o assunto. Levando em consideração os contratos, com aquelas empresas que você compartilha dados pessoais, que nós chamamos de Operadores, é necessário deixar reservado uma cláusula em seu contrato frisando o assunto, de como será o tratamento dos dados, a segurança, e se a empresa terceira está de acordo em seguir conforme os tratamentos legais.

Já os contratos com os responsáveis dos dados, no e-commerce, na maioria do tempo, os dados dos clientes, é preciso deixar sempre muito claro e transparente como acontecerá esse tratamento, e se possível, captar o seu consentimento. Isso que chamamos de contrato pode vir a estar descrito na política de privacidade e nos termos de uso, que falaremos mais a fundo no próximo tópico.

Gere políticas sobre a Lei Geral de Proteção de Dados, sobre segurança, compartilhamento, entre diversas outras diretrizes que precisam ser seguidas quando se fala do tratamento de dados na empresa. Políticas são normas e procedimentos que devem ser seguidos para manter a legislação e cultura alinhadas. Além de criar essas políticas, aplicá-las aos colaboradores, deixá-las disponíveis para leitura de maneira fácil e se possível, capte o seu aceite sobre elas, mas o mais importante, é aplicá-las no dia a dia.

4° Adequar os Cookies

Um dos consentimentos que a LGPD nos indica a captar são dos cookies do site, principalmente os e-commerces.

Primeiramente, o que são cookies? Cookies são fragmentos de dados que são trocados entre o computador e o usuário para salvar as preferências do usuário. Nos e-commerces é normal captar pelos cookies as preferências do usuário, para que posteriormente, ofereça a ele produtos de seus interesses em propagandas.

Neste caso, é preciso dar a autonomia para que o usuário decida se ele quer compartilhar com o site suas preferências, a ANPD já lançou um guia orientativo sobre o tema, para que as empresas saibam como captar e tratar esses cookies.

Conjuntamente no banner de cookies, é normal que se vincule os termos de uso e as políticas de privacidade, esses dois documentos vão trazer diretrizes e regras para utilização e relacionamento do sistema e, entre essas especificações, como o e-commerce tratará os seus dados pessoais.

Sendo assim, para o e-commerce, que faz o tratamento de alto volume de dados pessoais, sem a captação de assinaturas em um contrato, e captando os dados para conseguir funcionar de forma eficiente, é muito importante deixar explícito nesse documento como será feito esse processo, isso servirá como forma de contrato com o usuário. A relação da empresa e titular deve ser sempre transparente, levando em consideração o princípio da transparência da LGPD, ou seja, deixe claro como será todo tratamento desses dados, desde a captação, finalidade, até sua exclusão.

5° Canal de Comunicação com Titular

Um dos canais mais importantes que o e-commerce precisa ter é um Canal de Comunicação com o titular dos Dados Pessoais. A Lei Geral de Proteção de Dados deixa explícito que a empresa precisa ter um canal aberto para atender a 9 direitos, que estão dispostos no Artigo 18 da Lei:

Confirmação da existência de tratamento;
Acesso aos dados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e
Revogação do consentimento.

A empresa precisa, em 15 dias, dar seu primeiro retorno ao titular e fazer o tratamento da sua solicitação em tempo hábil. Em caso de não atendimento dessa solicitação, o titular pode entrar com uma solicitação na ANPD contra o Controlador, contudo, ele precisa demonstrar que, primeiramente, tentou contato com a empresa e seu DPO.

Este fato faz com que seja muito importante deixar de forma explícita esse canal de comunicação, receber e tratar esses pedidos.

6° Aplicar treinamentos

Este é um dos tópicos mais importantes do momento para se adequar a LGPD, que é realizar o treinamento de seus colaboradores. Vale mencionar aqui que, no que se refere aos incidentes com dados pessoais, a interação e o erro humano são as causas principais dos acontecimentos.

Visando este cenário, o treinamento pode ser uma forte arma para combater esses incidentes. Esses treinamentos devem ser aplicados de forma clara aos colaboradores, explicando sobre a Lei Geral de Proteção de Dados, sua importância e maneiras de tratamento. Ademais, vale a pena aplicar treinamentos de segurança, como Phishing, malware e segurança da informação, pelo fato de que muitos dos ataques acontecem por esses meios.

Mais um ponto que podemos ressaltar neste tópico é que aplicar treinamentos aos colaboradores pode servir de atenuante caso venha a ocorrer alguma notificação da ANPD (mostrar de forma clara que a empresa treinou seus colaboradores de como fazer o tratamento de forma segura).

7° Gerenciar Incidentes

Para um tratamento completo de Proteção de Dados, é importante tratarmos qualquer incidente que venha a ocorrer com os dados pessoais. Vale ressaltar, que incidentes são, conforme descrito pela ANPD: “Qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.”

Frente a isso, primeiramente, o ponto mais relevante é implementar mecanismos de segurança para evitar e mitigar a ocorrência de incidentes. Contudo, caso venha a ocorrer, é necessário fazer seu tratamento adequado. Os passos necessários para o cuidado com o incidente são:

Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados pessoais afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis. Comunicar ao encarregado;
Se você for operador, deve comunicar ao controlador;
Comunicar à ANPD e aos titulares de dados, em caso de risco ou dano relevante aos titulares, por meio do formulário fornecido pela própria;
Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas.

Estes são os atos necessários para tratar o incidente e mitigar o risco de ser autuado pela ANPD.

8° Acompanhamento do Programa

E por fim, mas não menos importante, fazer o acompanhamento e atualização de todos os processos mencionados anteriormente. O programa de proteção de dados é contínuo, o que quer dizer que é preciso sempre complementar e reciclar as atividades.

Levando em consideração que pode haver alterações nos processos internos, fazer o atendimento regular dos titulares, riscos novos que venham a surgir, treinamentos regulares, entre diversos outros pontos que aplicamos ao programa.

Conclusão

Apresentamos durante ao longo do texto mecanismos de tratamento e adequação ao Programa de Proteção de Dados dentro do e-commerce, contudo, vale ressaltar, que esses processos podem vir a se adaptar de acordo com cada realidade empresarial. Os pontos expostos neste documento são os mínimos de tratamento que um programa eficaz deve conter, além de claro, das boas práticas relacionadas.

A Be Compliance é uma empresa de software especializada neste programa, nossa Plataforma auxilia toda adequação e implementação, de forma a trazer mecanismos facilitadores da gestão do programa.

Agende um horário e venha entender como podemos auxiliá-los nesses processos.

Matéria escrita por:

Agende uma demonstração e conheça as nossas soluções!

O post Tudo o que você precisa sobre a LGPD no E-commerce apareceu primeiro em Be Compliance.

Enfermeiro viola a LGPD e é punido com Justa Causa

Gabrielle Serafim — Thu, 02 Mar 2023 17:47:12 +0000

Um enfermeiro de um hospital de São Paulo foi penalizado com justa causa por conta do compartilhamento de dados pessoais em processo judicial. No processo o enfermeiro solicita a rescisão indireta do contrato de trabalho, para que a demissão solicitada pelo colaborador fosse revertida para os moldes da dispensa sem justa causa.

No processo, o ex-funcionário acusava o hospital de não cumprir o contrato de trabalho, exigir dobra de plantões, cuidar de número de pacientes acima do permitido pelo conselho de enfermagem, além de realizar pagamentos por fora da folha.

O uso indevido de dados pessoais e a LGPD

Para justificar e provar o erro do Hospital, o enfermeiro se utilizou das fichas dos pacientes, contendo dados sensíveis, como nome completo, data de nascimento, identificação dos planos de saúde e dos seus médicos, data de internação, e todo programa de tratamento.

A Juíza do caso em questão, por conta da Lei Geral de Proteção de Dados (LGPD), puniu o enfermeiro com Justa Causa, pela utilização dos dados pessoais e dados pessoais sensíveis dos pacientes, de forma errônea e ilegal.

Responsabilidade do Controlador dos dados pessoais

O compartilhamento de dados pessoais não pode ocorrer em qualquer momento, para isso é necessário o consentimento expresso e específico do titular de dados, pela administração pública, seus agentes e correspondentes ou para o tratamento de dados necessários à execução de políticas públicas previstas em lei e regulamentos respaldadas em contratos. E para os dados sensíveis, apenas com o consentimento expresso ou para a adequada prestação de serviços de saúde e de assistência à saúde.

Consequentemente, o controlador dos dados pessoais, por ser responsável pelo tratamento dos dados, pode eventualmente vir a ser também penalizado pelo uso errôneo da utilização dos dados. É este que responde pelo tratamento dos dados ao qual está em posse.

A importância do treinamento dos colaboradores sobre a LGPD

Frente a situação observamos o quão é importante e necessário treinar seus colaboradores de acordo com a LGPD, para introduzir a cultura de proteção de dados. Os colaboradores devidamente informados sobre o tema, conseguiriam distinguir o erro e ilegalidade no procedimento de tratamento de dados pessoais, além disso, traz maior proteção para a empresa frente às sanções da Lei Geral de Proteção de Dados.

A plataforma da Be oferece treinamentos específicos para seus colaboradores sobre a LGPD. Com isso, a empresa garante que seus funcionários estão devidamente informados sobre o tema e capacitados para lidar com os dados pessoais dos pacientes de acordo com a legislação em vigor. Clique no botão a baixo para conhecer mais sobre nossos treinamentos.

Agende uma demonstração e conheça as nossas soluções!

Matéria escrita por:

O post Enfermeiro viola a LGPD e é punido com Justa Causa apareceu primeiro em Be Compliance.

Gabrielle Serafim, Autor em Be Compliance

Requisitos para utilização da hipótese legal do legítimo interesse do controlador

Legítimo Interesse e o poder público

Teste de balanceamento

Conclusão

Você Sabe Como Mitigar Riscos na LGPD?

Introdução

A Importância da Conformidade e da Gestão de Riscos na LGPD

O que são Riscos?

Riscos Vinculados à Proteção de Dados

Como Mitigar os Riscos para Proteção de Dados Pessoais?

Segurança Física e Controle de Acesso

Conclusão

Agende uma demonstração e conheça as nossas soluções!

Agende uma demonstração e conheça as nossas soluções!

Como as Investigações Digitais Fortalece o Compliance Empresarial

Introdução

A Importância do compliance na era digital

Investigação no Compliance

Investigação Digital

Caso Concreto

Como evitar ataques digitais

Conclusão

Como a Be pode ajudar na investigação digital

Agende uma demonstração e conheça as nossas soluções!

Agende uma demonstração e conheça as nossas soluções!

ANPD: Imaturidade das Farmácias na Proteção de Dados

Imaturidade das Farmácias

Tratamento de Dados no Setor Farmacêutico

Pontos de Imaturidade das Farmácias em Relação à LGPD

Quais Práticas Foram Analisadas Pela ANPD?

Biometria como Autentificação de Identidade

Qual o Papel da ANPD no Caso em Tela?

Conclusão

Sobre a Be

Agende uma demonstração e conheça as nossas soluções!

Agende uma demonstração e conheça as nossas soluções!

Tudo o que você precisa sobre a LGPD no E-commerce

Sumário

Introdução

O que é a LGPD?

LGPD no E-commerce

1° Mapeamento dos Dados

2° Gestão de Risco

3° Adequação de Contratos e Políticas

4° Adequar os Cookies

5° Canal de Comunicação com Titular

6° Aplicar treinamentos

7° Gerenciar Incidentes

8° Acompanhamento do Programa

Conclusão

Agende uma demonstração e conheça as nossas soluções!

Agende uma demonstração e conheça as nossas soluções!

Enfermeiro viola a LGPD e é punido com Justa Causa

O uso indevido de dados pessoais e a LGPD

Responsabilidade do Controlador dos dados pessoais

A importância do treinamento dos colaboradores sobre a LGPD

Agende uma demonstração e conheça as nossas soluções!

Agende uma demonstração e conheça as nossas soluções!