jun 29, 2020 | LGPD
Sempre que tocamos no assunto LGPD, seja em um texto ou em consultorias com clientes, é comum que enxerguem como os principais impactados sendo do setor financeiro e de saúde em decorrência da sensibilidade dos dados que são comumente tratados pelos agentes. Com certeza esse pensamento é verdadeiro. Contudo, existe um terceiro segmento que acreditamos que também será fortemente impactado pela LGPD, o da Educação.
Levando em conta que o setor abarca desde Jardins de Infância, cursos livres, escolas e até Universidades, cada polo educacional deverá avaliar as suas particularidades quanto da adequação para a LGPD, avaliando impactos, riscos, estratégias comerciais, dentre outros.
Contendo uma atividade intrinsecamente ligada a pessoas e por consequência a uma vasta gama de dados, o segmento educacional enfrentará um grande desafio para se adequar a realidade imposta pela LGPD. Em um exercício rápido, imagine uma criança que inicie sua vida educacional em uma escola aos 6 anos e permaneça nessa mesma instituição até se formar no ensino médio aos 18, serão 12 anos de dados coletados, tratados, armazenados e que deverão ser cuidados pela escola.
Além disso, LGPD cria zelos adicionais relacionados dados de menores, sendo necessário coleta de consentimentos específicos como trazido no artigo 14 da LGPD e, também, a exigência de se observar o ECA e outras normas setoriais.
Talvez o maior desafio não seja a aplicação de quesitos de segurança, contratação de profissionais ou parceiros, mas o controle e governança tanto dos dados quanto do tráfego de informações dentro do ambiente estudantil e também no compartilhamento dos dados pessoais para fora das instituições, sobretudo quando pensamos que grande parte das instituições de ensino lidam com crianças e adolescentes. Sobre esse ponto, outro grande desafio será cuidar do que as crianças fazem dentro do ambiente da escola, tendo em vista as imposições previstas no ECA.
Impactos imediatos da LGPD na Educação
Mudanças nos ambientes de ensino serão necessárias, assim como em qualquer outro segmento. Contudo, em se tratando de um ambiente educacional podemos imaginar que a adaptação dos membros será mais simples, seja pela relativa facilidade de treinamentos ou até pelo fato de ambiente proporcionar o aprendizado. Mas quais são os primeiros passos que uma instituição de ensino deve dar em direção a LGPD?
1) Atualização de contratos
Atualizar os contratos de matrícula e prestação de serviços é um fator muito importante, sobretudo quando falamos de crianças e adolescentes. Deixar claro para o cliente os motivos dos dados serem coletados, os tratamentos e as garantias protetivas são essenciais.
2) Classificação etária
Identificar a faixa etária dos alunos é outro ponto fundamental. Como falamos, a LGPD apresenta regras especiais em se tratando de menores e mais ainda para crianças. Assim, é necessário que a instituição saiba quais são os alunos até 12 anos, até 18 e os maiores de idade para que possa estabelecer padrões diferentes para cada faixa.
3) Investimentos em Segurança da informação
Muitas vezes vemos que as empresas buscam o processo de adequação iniciando com levantamentos, avaliações de riscos, estabelecimento de estratégias para então “colocar a mão na massa”. De fato, todo esse processo é essencial, mas ele também demanda muito tempo e sua empresa pode estar completamente exposta durante esse período. Pensando nessa grande vulnerabilidade recomendamos que as empresas iniciem a implantação de quesitos mínimos de segurança para que fechar inúmeras portas de vulnerabilidades já conhecidas pelo mercado e permitir que o projeto de implementação possa ocorrer de forma mais segura.
Outros investimentos podem ser essenciais para permitir que sua empresa esteja 100% em conformidade, essas informações apenas serão obtidas após todos os levantamentos e criação das estratégias de negócio.
4) Levantamento das autorizações legais para tratamento
Entender onde estamos pisando é essencial para manter o negócio seguro. Assim, é importante que a instituição de ensino compreenda o arcabouço legal que permite que suas atividades ocorram, pois serão esses fundamentos que deverão servir de base para os tratamentos de dados pessoais realizados.
Por fim, recomendamos que toda instituição de ensino passe primeiro por uma auto avaliação para compreender quais as classificações etárias e as consequentes implicações legais para a implementação da LGPD. Em seguida, é necessário criar uma equipe de implementação para que seja estabelecido o escopo a ser trabalhado, identificar as cláusulas contratuais existentes e as atualizações necessárias, a localização dos dados, seus principais pontos de compartilhamento e os quesitos atuais de proteção e o ambiente tecnológico.
O projeto de adequação é longo e precisa ser feito de forma granular, observando a ótica de proteção tecnológica, processos documentais, riscos com parceiros e outros pontos que tocam dados pessoais.
André Vieira Grochowski
DPO Portnet Tecnologia
maio 27, 2020 | LGPD
Em 2019 o Banco Central do Brasil, deu um importante passo para a modernização do segmento bancário nacional, a implementação do Open Banking.
Visualizando esse novo cenário e sua correlação com a LGPD, pretendemos nesse artigo abordar a relevância do sistema de Open Banking para o Brasil, os reflexos que a LGPD irá gerar sobre ele e os possíveis cenários que surgirão dessa integração.
O que é Open Banking ?
Compreendido por um sistema que visa gerar a descentralização das informações financeiras, o Open Banking tem como fundamento a disponibilização dos dados bancários dos usuários e de transações financeiras com a finalidade de gerar um novo ecossistema integrado onde o cidadão passa a ser o real dono de suas informações, tendo total acesso e controle desses dados e permitindo que através do compartilhamento com outras instituições financeiras possa ser desenvolvido um novo tipo de experiência ao consumidor, incentivando a inovação, promoção da concorrência, aumento da eficiência do Sistema Financeiro Nacional, transparência dentre outros pontos.
Traduzindo para termos práticos, o usuário poderá usufruir de serviços de instituições financeiras sem necessariamente ter um conta neste banco, além de poder gerenciar de forma facilitada as suas transações financeiras.
Esse sistema já vem sendo amplamente aplicado na União Europeia, utilizando as consolidações trazidas no PSD2 (revised Payment Services Directive), expondo padrões de implementação, segurança e desenvolvimento de APIs conforme modelos básicos.
A usabilidade do Open Banking em si necessita de outros artigos para o melhor desenvolvimento, contudo a questão principal é: Como o Open Banking vai lidar com Lei Geral de Proteção de Dados?
Como o Open Banking irá se relacionar com a LGPD ?
Como já exposto em outros artigos a LGPD (Lei Geral de Proteção de Dados) é a normativa brasileira que dispõe sobre a proteção e privacidade de dados pessoais que deverá ser seguida pelas empresas atuantes no país, estabelecendo requisitos para operações de tratamento de dados e proteção destes.
Em se tratando de dados de pessoas físicas, o Open Banking lida diretamente com dados pessoais de altíssimo impacto, sendo imprescindível a aplicação das diretrizes expostas na LGPD.
Observando a necessidade o Bacen já deixou claro pontos de correlação Open Banking/LGPD como pode ser extraído da Resolução Conjunta nº 1 de 4 de maio de 2020:
Art. 10. A instituição receptora de dados ou iniciadora de transação de pagamento, previamente ao compartilhamento de que trata esta Resolução Conjunta, deve identificar o cliente e obter o seu consentimento.
O mesmo artigo define outras regras para a concretização das operações como o uso de linguagem clara, objetiva e adequada, as finalidades, prazos, instituições envolvidas, dados que serão compartilhados, a vedação de consentimento por meio de contrato de adesão, de forma generalista ou até mesmo presumida.
Esse tipo de diretriz é totalmente condizente com o que a LGPD determina quanto a coleta de consentimento para o tratamento de dados pessoais, mostrando como o Open Banking é uma sequência lógica da lei de proteção de dados brasileira, inclusive tendo o início da sua implementação após o início da vigência da LGPD.
Outro ponto relevante é a imposição de medidas de responsabilização pelo compartilhamento, sendo demandado pelo BACEN a necessidade da tomada de precauções que garantam a confiabilidade, integridade, disponibilidade, segurança e sigilo dos dados, além da realização de relatórios periódicos sobre o tema.
Dito isso, a pergunta de “Como o Open Banking vai lidar com Lei Geral de Proteção de Dados?” tem como resposta que o BACEN e o segmento financeiro demonstram estarem cada vez mais avançados nos tópicos de proteção e privacidade das informações e dados pessoais, alinhando suas estratégias com as melhores práticas globais sobre o tema, e no caso brasileiro, se inspirando em muito nos aprendizados do Open Banking europeu e nas práticas do PSD2.
Conclusão
É possível dizer que a inovação que o Open Banking trará será revolucionária para os brasileiros, contudo devemos observar com certa cautela, pois é necessário que esse novo ecossistema seja muito bem desenvolvido de forma a garantir o máximo de privacidade e proteção das informações ali contidas.
Assim, acreditamos que a LGPD deverá mais uma vez nortear ações, sendo estabelecidas novas formas de desenvolvimento seguro das aplicações que serão utilizadas, tomando como base os conceitos de Privacy by Design e By Defaut, além de rigorosas avaliações tanto das entidades envolvidas quanto de parceiros selecionados por elas.
Mais uma vez a LGPD se demostra essencial para nosso país, não para impedir ou burocratizar a inserção de nossas vidas ao mundo digital, mas sim para das aos brasileiros a segurança necessária para garantir nossa privacidade.
André Vieira Grochowski
DPO Portnet Tecnologia
maio 7, 2020 | LGPD
Pensar em proteção de dados ou segurança cibernética muitas vezes remete nossos pensamentos ao mercado financeiro, ou setor bancário. Esse tipo de pensamento não é à toa, afinal membros desse segmento lidam diretamente com o patrimônio de cada pessoa e com dados/informações de altíssimo valor econômico e social.
Em decorrência das exigências que o segmento possui, talvez um dos mais legislados do país, o setor financeiro já ocupa a vanguarda da proteção tecnológica, possuindo diversos processos e leis especificando a manutenção do sigilo do controle das informações e do fornecimento de segurança aos seus clientes. Além disso, não é novidade para o setor a existência de leis que cobrem grande segurança, padrões de proteção da informação e processo que busca em categorizar o tipo de informação em sua posse. Podemos colocar como exemplo a lei de sigilo da informação, Lei Complementar nº 105 de 2001, lei de Lavagem de Dinheiro, o Marco Civil da Internet, Lei de Crimes Contra o Sistema Financeiro Nacional, dentre outras.
Levando em conta que o setor já está acostumado em lidar com exigências legais e mercadológicas de proteção, a LGPD mesmo sendo algo que irá impactar o setor não será uma grande novidade para os processos internos da empresa e em muitos casos irá demandar algumas ajustes finos na realidade da organização.
Pensando nisso, o BACEN emitiu a Resolução 4.658/18 que trata de políticas de segurança cibernética, processos de segurança da informação, requisitos para a contratação de parceiros fornecedores tecnologias. É possível realizar a correlação entre essa resolução e a LGPD, mesmo ela não possuindo dispositivos diretos focados para o setor. Ambas tratam de segurança da informação, desenvolvimento de processos para a garantia da segurança do ambiente tecnológico, o desenvolvimento de processos de gestão interna e o desenvolvimento de um plano de ação e resposta a incidentes.
A observância dessas duas novas normas, além da reinterpretação de outros regramentos com base na LGPD, será necessário que o setor repense como irá atuar diante do novo consumidor que surgirá, tendo em vista os novos direitos que terão além da dissociação entre proteção de dados, confidencialidade e o sigilo.
Assim, o setor financeiro precisará se preparar para essa interação operacional, resguardando que processos, controles internos, gestão de riscos, mecanismos de proteção e o compliance estarão em perfeita sinergia e em comunicação com a nova realidade digital.
Mas qual seria o caminho das pedras? Ou até mesmo por onde as empresas desse setor devem começar?
Aconselhamos que seja formada uma equipe para o projeto multidisciplinar composta por membros do setor jurídico, setor de tecnologia, segurança e compliance. Esse time deverá se reportar diretamente à diretoria e iniciar o projeto avaliando o status que a organização se encontra em matéria de proteção de dados, avaliando onde se localizam os dados pessoais em sua posse, como sistemas, servidores, bases de dados, arquivos físicos e assim por diante. Em seguida, é necessário identificar e categorizar os dados, como dados pessoais, dados pessoais sensíveis, dados de menores etc., criando um sistema de inventário para a manutenção dessas informações. Uma estratégia interessante é a criação de uma base única de informações que pode facilitar a gestão dos dados para facilitar o mapeamento, dando uma visão macro de todo o pool de dados que podem ser utilizados e onde estão sendo utilizados.
Outra necessidade é a criação de sistema de gestão da privacidade, identificando os processos de sua empresa que necessitam do uso de dados pessoais, a vinculação dessas atividades com alguma das bases legais indicadas na LGPD, os riscos e impactos potenciais que podem estar envolvidos com aqueles dados, as formas de proteção empregadas e outras informações organizacionais. Além disso, dentro desse sistema deve ser indicando aos titulares de dados os seus direitos, um canal de comunicação com o DPO ou Encarregado de Dados e a política de privacidade empregada pela organização.
Infelizmente não existe uma “receita de bolo” ou uma “bala de prata” que irá solucionar todos os desafios, por isso recomendamos que sua empresa desenvolva a gestão de parceiros, mobilizando diversas ferramentas que ao serem compiladas e aplicadas a cada uma de suas necessidades gerarão uma estrutura coesa para a proteção de dados.
André Vieira Grochowski
DPO Portnet Tecnologia
mar 4, 2020 | LGPD, Segurança em TI
A nova lei de privacidade e proteção de dados
pessoais surge para modificar a relação entre pessoas, estabelecendo novas
obrigações para aqueles que utilizam de dados para fins econômicos e direitos
para os titulares desses dados.
Pensando nesses novos cenários que serão criados, listamos alguns pontos a serem observados que facilitarão o seu caminho para a adequação a LGPD:
Estabelecer uma estratégia de envolvimento geral
O primeiro passo que deve ser tomado é apresentar a
LGPD e levantar a importância da nova lei para todos os envolvidos nas
operações de sua empresa. É importante que o envolvimento abarque desde a alta
gestão até os cargos mais simplórios, pois mesmo que aparentemente um processo
não lide com dados pessoais é importante que todos saibam como se portar diante
da nova legislação.
Outro elemento importante que é desenvolvido através do envolvimento de todos com a LGPD e a sensibilização e conscientização sobre a importância e respeitar a vida privada de cada um, facilitando, ainda, a detecção de eventuais incidentes de segurança e desrespeitos à lei
Estabelecer uma estrutura de governança de dados
Dados são o novo petróleo para o mundo corporativo,
mas até então não recebiam o devido cuidado, sendo coletados de forma maciça,
tratados sem qualquer conhecimento de seus titulares e compartilhados
indiscriminadamente como uma moeda de troca entre empresas.
A partir de agosto de 2020 as empresas serão obrigadas a estarem como suas ações, em matéria de dados pessoais, totalmente modificadas. Será necessário a criação de controles específicos que demonstrem e protejam todo o ciclo de vida dos dados pessoais, além de elencar profissionais capacitados em gerir esse ciclo e proteger a privacidade e gestão de dados.
Incorporar privacidade e proteção de dados em todas as atividades da empresa
A LGPD nos apresenta o conceito do privacy by
design que é a implementação dos quesitos de privacidade e proteção de
dados pessoais em todos os processos, serviços e produtos desde a sua
concepção.
As empresas deverão se vestir com esse novo modo de agir e não mais terminar o desenvolvimento de algo para somente depois pensar em questões de segurança, mas sim levar a segurança como um dos pontos do desenvolvimento, permitindo-se até abortar o processo caso visualize o não respeito à segurança.
Investir em capacitação de pessoal e em novas tecnologias
Outro ponto crucial é a composição de verbas
especificamente voltadas para o investimento em pessoas e tecnologias
condizentes com os novos requisitos globais de proteção e rastreabilidade.
A LGPD demanda que as empresas implementem novos meios que garantam a o controle do fluxo de dados, os direitos dos titulares e a segurança das informações, assim novas tecnologias e treinamentos para operá-las da forma correta serão necessários.
Estabelecer meios de comunicação com titulares e autoridade
Um dos elementos fundamentais para a lei é a
existência de meios de comunicação assertiva que garantam o atendimento ágil
com o cidadão a fim de responder as demandas deles e da autoridade.
Ressaltamos que a LGPD deve ser entendida como uma jornada que envolverá a todas e precisará ser continuamente revisitada. Esses são os primeiros passos elementares, sendo necessário a elaboração de um plano completo de adequação.
André Vieira Grochowski
DPO Portnet Tecnologia
fev 28, 2020 | LGPD, Segurança em TI
Avaliar a aplicação de sanções prevista na LGPD
ainda é algo voltado para a análise comparativa no âmbito LGPD x GDPR, tendo em
vista que nossa autoridade regulamentadora, ANPD, ainda está em processo de
formatação.
Como nossa lei possui forte inspiração da lei
europeia é possível que as diretrizes acerca da aplicação das multas e outras
sanções também busquem inspiração no cenário europeu. Até o momento são
previstos apenas alguns pontos que deverão ser observados para a avaliação das
punições, mas as metodologias e valor-base serão apresentadas em momento futuro
pela ANPD, conforme exposto no art. 53, §1º da LGPD.
Sanções previstas na LGPD
Nossa lei prevê ao todo 6 tipos de sanções para infrações
à lei, sendo elas:
- Advertência;
- Multa de
até R$50.000.000,00 por infração;
- Multa
diária;
- Divulgação
da infração ao público;
- Bloqueio
dos dados pessoais relativos à infração;
- Eliminação
dos dados pessoais relativos à infração.
Apesar do alto valor da multa, entendemos que os
danos financeiros oriundos de uma interrupção nas atividades em decorrência do
bloqueio dos dados pessoais ou sua eliminação, e os fortes danos à imagem da
empresa por conta de uma divulgação da infração podem apresentar um impacto
mais significativo para a empresa.
Contudo, qualquer tipo de punição antes de ser
aplicada deverá respeitar um procedimento administrativo que garanta a ampla
defesa e observe o impacto da infração, quais medidas foram tomadas para evitar
e combater o evento, o poder econômico do infrator, sua cooperação com a
agência e vários outros elementos que servirão para a autoridade no momento de
decidir se a empresa deve ou não ser punida
Critérios para aplicação de sanções da LGPD
Como havíamos falado, nossa agência ainda não
disponibilizou nenhuma informação sobre como será o processo avaliativo, mas a
LGPD já nos apresenta os principais elementos que a ANPD irá levar em
consideração ao elaborar a metodologia de avaliação e aplicação de punições,
sendo onze ao todo.
- O impacto do incidente e
quais dados ele afeta;
- Se existe boa-fé por parte
da empresa no tratamento dos dados;
- O que motivou a empresa a
tratar os dados;
- O poder econômico da empresa;
- Se a empresa é ou não
reincidente;
- Qual o dano gerado;
- Cooperação com a ANPD e com
os usuários
- O desenvolvimento e
aplicação de medidas tecnológicas e organizacionais que auxiliem na prevenção
do dano;
- Políticas de boas práticas e
governança;
- Adoção de medidas
corretivas;
- A proporcionalidade entre a
gravidade da falta e a intensidade da sanção.
Entendo que a ANPD irá exigir das empresas a
comprovação que agiu através dos melhores meios tecnológicos existentes no
mercado, não realizou nenhum tipo de tratamento não especificado ao titular e
não agiu de forma abusiva.
Assim, é muito importante que as empresas para
estarem seguras devem possuir mecanismos que possam comprovar, por histórico de
registros, todas as ações tomadas dentro dos tratamentos de dados e criar
processos que abarquem a segurança e proteção de dados pessoais
Exemplos de sanções aplicadas no GDPR
British Airways – multada em 183 milhões de libras em julho de 2019
A multa aplicada pela autoridade inglesa, ICO,
ocorreu após a denúncia de que quinhentos mil usuários da companhia teriam sido
vítimas de fraudes ao serem desviados do site da aérea para outro que estava
realizando a coleta de dados pessoais como nome, endereço, dados bancários e
outros.
A causa do elevado valor foi o altíssimo impacto
causado aos usuários em decorrência dos fracos acordos firmados entre a
companhia e serviços de segurança.
Esse evento demonstra a importância na revisão dos
contratos de serviços e produtos de segurança, bem como os acordos de
atendimento firmados e quais mecanismos de segurança são aplicados.
Marriott International – multada em 99 milhões de libras em julho de 2019
Após o vazamento de cerca de 339 milhões de
registros de hospedes, a ICO aplicou a multa contra o grupo hoteleiro em
decorrência de uma falha de segurança de um sistema de outro grupo de hotéis
adquiridos pela empresa.
Assim, ao realizar a aquisição do grupo hoteleiro
Starwood e não realizar a revisão dos sistemas de segurança e outras
diligências necessárias para garantir a segurança dos usuários a Marriott
sofreu a sanção de 99 milhões de libras.
Bounty – multado em 400 mil libras em abril de 2019
A multa em questão ocorreu devido à falta de informações claras aos usuários de como, quando e para quem os dados pessoais fornecidos seriam transferidos, o que demonstra como as leis de privacidade se importam com a transparência da relação empresa e titular de dados.
André Vieira Grochowski
DPO Portnet Tecnologia
jan 27, 2020 | LGPD
Em nosso artigo “O que é LGPD e por que você deve enxergar como uma oportunidade?” introduzimos a relevância da nova lei de proteção de dados para o cenário econômico brasileiro, contudo é importante abordarmos os principais elementos trazidos pela lei para que as empresas compreendam a extensão e eventuais impactos da LGPD.
Dados pessoais segundo a LGPD
Como já abordados, o principal foco de proteção da
Lei Geral de Proteção de Dados é a proteção de dados pessoais dos brasileiros e
demais pessoas que compartilhem seus dados com empresas nacionais. Contudo, o
termo “dados pessoais” pode conter um espectro não tão simples de compreensão,
por que afinal de contas o que são dados pessoais?
A LGPD conceitua que dados pessoais são informações
que permitem que uma pessoa seja identificada. Como apontamos esse conceito
legal é vago e precisa de ser mais bem desenvolvido ao longo dos anos de
aplicação e estudos sobre o tema.
Nossa equipe, observando o conceito de dados
pessoais na ótica europeia entende esse tipo de dados como sendo toda
informação que pode ser utilizada como um identificador para pessoas físicas,
sejam elas informações que apontam diretamente para alguém ou que podem ser
utilizadas em conjunto com outras.
Podemos apontar exemplos de dados pessoais como sendo: nome, sobrenome, endereço, CEP, identidade, CPF, geolocalização, IP de computadores, e-mail pessoal e profissional, MAC adress, cookies, número de telefone, identificadores de preferência e inúmeros outros elementos.
Dados Pessoais Sensíveis
Outro tipo de dados pessoais são os considerados
sensíveis, uma categoria especial que lida com informações, que ao serem
obtidas e utilizadas de forma indevida, podem gerar discriminação ou afetar de
forma crítica o lado psicológico ou até mesmo físico de alguém.
Esses dados são categorizados de forma mais específica sendo relativos a: origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.
Assim, precisamos ter atenção redobrada quanto a esses dados, aplicando os melhores meios de proteção tecnológica e processos condizentes com a relevância desses dados, só podendo serem tratados em condições especiais determinadas pela LGPD.
Tratamento de Dados Pessoais na ótica da LGPD
O tratamento de dados é um conjunto de atividades que podem ser realizadas com dados pessoais, expostas na nossa lei como sendo acesso, armazenamento, arquivamento, avaliação, classificação, coleta, comunicação, controle, difusão, distribuição, eliminação, extração, modificação, processamento, produção, recepção, reprodução, transferência, transmissão, utilização.
É possível entendermos que tratamento pode ser qualquer tipo de ação tomada sobre os dados pessoais e que a lista apontada pela LGPD será ampliada com o passar do tempo e o desenvolvimento de novas atividades com dados pessoais, por isso recomendamos que sempre se mantenha informado e busque com o Encarregado informações atualizadas e o direcionamento apropriado para o cumprimento da lei.
Encarregado e DPO
A figura do Encarregado, ou DPO pela GDPR, é um dos
principais personagens para a efetiva aplicação da LGPD e demais normas de
proteção e privacidade de dados. Entendemos que consiste em um
profissional multidisciplinar indicado pelo Controlador ou Operador para
garantir que a entidade esteja, como um todo, ciente das obrigações e
responsabilidades impostas pela lei para a proteção de dados e auxiliar na
disseminação da cultura de proteção de dados pessoais.
É recomendável que este profissional possua conhecimentos tanto jurídicos quanto tecnológicos, mas que acima de tudo seja um profissional que entenda dos processos e do ambiente da empresa, sabendo transitar entre todos os setores de forma positiva, desde o nível estratégico até ao operacional.
Controlador e Processador
Outras
duas figuras centrais da Lei Geral de Proteção de Dados são Controlador e
Processador, sendo estes os verdadeiros responsáveis pelo tratamento de dados
pessoais e implementação das medidas técnicas de organizacionais de proteção.
Controlador
é o responsável pelas diretrizes que serão tomadas para o tratamento de dados
pessoais, determinando quais dados serão tratados, como deve ser feito, com qual
finalidade, comunicar-se com os usuários e todas as demais questões relevantes
no que toca o assunto dados pessoais.
Por sua vez, o Processador, será o personagem da relação comercial a quem é atribuído pelo Controlador o dever de tratar os dados pessoais. Esse sujeito deverá respeitar todos os direcionamentos estabelecidos contratualmente entre ele e o Controlador. É possível que pela leitura da LGPD uma dúvida surja quanto quem poderá ser exemplificado como Processador, mas desde uma Contabilidade terceirizada a até a Microsoft podem ser tidos como Processadores.
André Vieira Grochowski
DPO Portnet Tecnologia
