Please enable JavaScript.
Coggle requires JavaScript to display documents.
Criando Programa de Governança em Proteção de Dados - Coggle Diagram
Criando Programa de Governança em Proteção de Dados
instaurar uma nova cultura de proteção de dados
CONSCIENTIZAÇÃO
antes de iniciar
qual o porte?
grande
necessidade de comitê
pelo menos 1 membro de cada área
visão global nas discussões do proj
médio ou pequeno
avaliar necessidade comitê
áreas com uma pessoa
para casos de const externa, selecionar 1 pessoa para contato/referência
quais as necessidades gerais?
qual o budget?
pois durante as fases pode chegar à concl de necessidade contratação de serviço de tecnologia, banco de dados, gestão de docs,...
para entregar serviço adequado...
contratação
software para gestão/arquivamento de documentos?
serviços rel. à bigdata ou de algum servidor?
consultoria externa? técnica, jurídica ou técnico-jurídica?
programa efetivo depende
apoio do board até chão de fábrica
estar em compliance é fruto de cultura
quando todos compreendem
gastar tempo para introjetar ideais
explicar importância
como afetará dia a dia
como pode ser oportunidade de crescimento
evangelizar para um mesmo mindset
Como fazer
workshops
em empresas menores às vezes 1
empresa maiores, por setor mais específico
inicialmente o mesmo treinamento a todos
trazer LGPD para realidade da pessoa como titular
empatia é gerada
"vocês se sentiram mal? Vocês gostariam que os seus clientes sintam a mesma coisa em relação à empresa de vocês?”
mais prático
MAPEAMENTO
fluxo de dados
entrevistar todos os funcionários
objetivo
identificar quais as principais exposições e contingências
ao final se verá problemas de trat
perguntas
de onde vem?
pra que é usado?
categoria? (comum, sensível, criança/adolescente)?
qual finalidade do trat?
é compartilhado?
se sim
com quem?
por que?
onde fica empresa?
brasileira ou estrangeira?
armazenamento
qual base legal?
onde fica armazenado?
qual BD?
qual o tempo de via? qnd sai do BD? nunca sai?
quem tem acesso?
pq tem acesso?
uma das fases mais demoradas
GAP ANALYSIS
objetivo
identificação dos problemas
e situações em desacordo com LGPD
desacordo com ideal de cultura de dados
indicar soluções viáveis
sem inviabilizar modelo de negócio
maior problema
modelos de adequação intransigentes
necessário ser criativo
ver condições da empresa
tratamento alternativo ao tradicional
não comprometer essência empresa ou próprio negócio
exceção às práticas ilegais. ex: venda direta de endereços de e-mail para mailing
chance de rever processos
DPIA
DPO pode ver necessidade de elaboração
Data Protection Impact Assessment
relatório de impacto à proteção de dados pessoais
não é obrigatório
Art.º10, inciso II, §3º: “A autoridade nacional poderá solicitar ao controlador relatório de impacto...”.
Com base na GDPR, obrigatório sempre que houver dados sensíveis ou BL for Legítimo Interesse
constar oq foi feito para mitigar os riscos rel. aos dados sensíveis
constar o teste LIA, do Legítimo Interesse.
mínimo
descrição dos tipos de dados coletados
metodologia para coleta de dados
soluções: medidas de segurança adotadas
análise do controlador sobre medidas tomadas para mitigar os riscos existentes.
quais os dados
problemas identificados
PLANEJAMENTO
objetivo
planejamento soluções
plano de ação
para solucionar ou minimizar mitigar riscos
cronograma com deadlines
focar primeiro nos principais problemas
no que mais expõe a empresa a riscos
ações a planejar
nova Política de Privacidade,
implementar aditivos aos contratos
notificar os fornecedores de que se caso eles não se
adequem à LGPD a empresa buscará novas parcerias
alteração de processos internos
contratação de bigdata
contrat IA/ software voltado para
gestão de documentos,
apresentado no relatório do projeto de conformidade em proteção de dados.
grande auxílio da prestação de contas
IMPLEMENTAÇÃO
objetivo
onde serão elaborados os documentos necessários
plano de ação posto em prática
instituída uma nova Política de Privacidade
redigidos os novos contratos
criados novos aditivos nos contratos já existentes
clientes serão notificados do programa de
conformidade
divulgação nas redes sociais. Ex:ações de marketing
elaborado o Código de Conduta
conjunto de regras para orientar e disciplinar a conduta de um determinado grupo de pessoas de acordo com os seus princípios,
práticas relacionadas à proteção de dados pessoais.
se prova qual conduta da empresa frente à proteção do dado do titular e frente à própria LGPD
vantagem competitiva começa a ser desenvolvida
No fim
possível dizer que empresa está em conformidade com LGPD
e que tem um programa de governança em proteção de dados
MONITORAMENTO
objetivo
perpétua conferência da conduta da empresa em relação à privacidade e à proteção de dados pessoais
se a empresa continua com cultura de proteção da privacidade
se continua em conformidade com a prot de dados dos clientes
Regularmente,é preciso rever o programa
avaliar a eficácia
aplicar mudanças necessárias
oriundas de necessidade da própria empresa
oriundas de mudança da LGPD. ex: lei não ter entrado em vigor e a ANPD não ter regulado diversos aspectos ainda
como tribunais estão compreendendo a lei?
Consultoria externa
delegar a função de monitorar para um funcionário ou DPO intenro
se necessário, é preciso treinar essa pessoa
apropriado entregar um relatório mensal sobre eficiência do programa desenvolvido
DPO
sempre atualizar e verificar programa
realizara interface entre o titular, a ANPD e a empresa
colaborador interno resp monitoramento
regularmente conferir todos os aspectos do programa e da aplicação da Lei
empreendedor
indicar outra pessoa para ser DPO
responsável pelo programa de governança
pedir relatórios mensais sobre como está funcionando o programa
DOCUMENTAÇÃO
Relatório do Projeto de Conformidade
relatar tudo o que foi feito para adequação a LGPD
muito claro e detalhado
contratação de consultorias
treinamentos
conscientização
mapeamento
gap analysis
planejamento
implementação
guardar digital e impresso
Código de Conduta em Proteção de Dados
conhecimento público das ações para conformidade
demonstrar para mercado, cliente e titular
que empresa valoriza, introduziu e está em conformidade com as mudanças que a LGPD trouxa
prova cultura de proteção
utilizar meios criativos para transmitir mensagem
estrutura do código é flexível, objetiva, de fácil entendimento e atrativa
DPIA
comentado no Gap Analisys
pode ser requisitado pela ANPD
algumas empresas não precisarão criar
LIA
sempre necessário quando BL legítimo interesse for utilizada
deve ser arquivado sempre que for feito
mesmo quando BL não aprovada
justificativa para uso de outra base ou mudança no negócio
Código de Boas Práticas
voltado para público interno
pode ser mais específico aos colaboradores
pode ser específico para cada área
peculiaridades
dificulta incidentes
Data Processing Agreements
contratos entre controlador e operador
regulará questão dados pessoais
medida de segurança importante
contrato que pode ser anexado aos contratos padrões de serviços (aditivo)
voltado especificamente para a proteção de dados pessoais
Algumas empresas terão entraves em relação à aceitação desses contratos
porque são muito intransigentes nos seus contratos
use poder de negociação
termos
Definição operador/controlador
responsabilidades de cada
atribuição de cada um
objeto do processamento (quais dados estão sendo processados) e pq estão sendo processados
finalidade processamento dados
BL q legitima essa transferência de dados
BL pra cada finalidade q dado é utilizado p cada tratamento
Se há algum outro compartilhamento de dado além de entre o controlador e operador
Com quem dados são compartilhados e qual BL
Direitos dos Titulares garantidos pelo controlador e pelo operador
O que deve ser feito caso haja um problema de segurança
Quem é o DPO delegado do controlador e do operador
Padrões de segurança que serão utilizados
Tudo o que estiver relacionado a dados pessoais;
para controladores
cláusula de auditoria. Permitirá auditar as operações do operador rel à prot dados pessoais, resguardando todo sigilo necessário
cláusula de direito de regresso
Ex: No caso de uma sanção aplicada ao controlador devido a um erro do operador (já que o controlador pode ser responsabilizado)
permite ao controlador o direito de regresso ao operador para que esse o restitua financeiramente
porém, não exime o controlador da responsabilidade, porque se trata de uma cláusula contratual, que não altera as predisposições da LGPD