Impactos da LGPD nas instituições de ensino

Impactos da LGPD nas instituições de ensino

Sempre que tocamos no assunto LGPD, seja em um texto ou em consultorias com clientes, é comum que enxerguem como os principais impactados sendo do setor financeiro e de saúde em decorrência da sensibilidade dos dados que são comumente tratados pelos agentes. Com certeza esse pensamento é verdadeiro. Contudo, existe um terceiro segmento que acreditamos que também será fortemente impactado pela LGPD, o da Educação. 

Levando em conta que o setor abarca desde Jardins de Infância, cursos livres, escolas e até Universidades, cada polo educacional deverá avaliar as suas particularidades quanto da adequação para a LGPD, avaliando impactos, riscos, estratégias comerciais, dentre outros.  

Contendo uma atividade intrinsecamente ligada a pessoas e por consequência a uma vasta gama de dados, o segmento educacional enfrentará um grande desafio para se adequar a realidade imposta pela LGPD. Em um exercício rápido, imagine uma criança que inicie sua vida educacional em uma escola aos 6 anos e permaneça nessa mesma instituição até se formar no ensino médio aos 18, serão 12 anos de dados coletados, tratados, armazenados e que deverão ser cuidados pela escola.  

Além disso, LGPD cria zelos adicionais relacionados dados de menores, sendo necessário coleta de consentimentos específicos como trazido no artigo 14 da LGPD e, também, a exigência de se observar o ECA e outras normas setoriais. 

Talvez o maior desafio não seja a aplicação de quesitos de segurança, contratação de profissionais ou parceiros, mas o controle e governança tanto dos dados quanto do tráfego de informações dentro do ambiente estudantil e também no compartilhamento dos dados pessoais para fora das instituições, sobretudo quando pensamos que grande parte das instituições de ensino lidam com crianças e adolescentes. Sobre esse ponto, outro grande desafio será cuidar do que as crianças fazem dentro do ambiente da escola, tendo em vista as imposições previstas no ECA. 

Impactos imediatos da LGPD na Educação 

Mudanças nos ambientes de ensino serão necessárias, assim como em qualquer outro segmento. Contudo, em se tratando de um ambiente educacional podemos imaginar que a adaptação dos membros será mais simples, seja pela relativa facilidade de treinamentos ou até pelo fato de ambiente proporcionar o aprendizado. Mas quais são os primeiros passos que uma instituição de ensino deve dar em direção a LGPD? 

1) Atualização de contratos 

Atualizar os contratos de matrícula e prestação de serviços é um fator muito importante, sobretudo quando falamos de crianças e adolescentes. Deixar claro para o cliente os motivos dos dados serem coletados, os tratamentos e as garantias protetivas são essenciais. 

2) Classificação etária 

Identificar a faixa etária dos alunos é outro ponto fundamental. Como falamos, a LGPD apresenta regras especiais em se tratando de menores e mais ainda para crianças. Assim, é necessário que a instituição saiba quais são os alunos até 12 anos, até 18 e os maiores de idade para que possa estabelecer padrões diferentes para cada faixa. 

3) Investimentos em Segurança da informação 

Muitas vezes vemos que as empresas buscam o processo de adequação iniciando com levantamentos, avaliações de riscos, estabelecimento de estratégias para então “colocar a mão na massa”. De fato, todo esse processo é essencial, mas ele também demanda muito tempo e sua empresa pode estar completamente exposta durante esse período. Pensando nessa grande vulnerabilidade recomendamos que as empresas iniciem a implantação de quesitos mínimos de segurança para que fechar inúmeras portas de vulnerabilidades já conhecidas pelo mercado e permitir que o projeto de implementação possa ocorrer de forma mais segura. 

Outros investimentos podem ser essenciais para permitir que sua empresa esteja 100% em conformidade, essas informações apenas serão obtidas após todos os levantamentos e criação das estratégias de negócio. 

4) Levantamento das autorizações legais para tratamento 

Entender onde estamos pisando é essencial para manter o negócio seguro. Assim, é importante que a instituição de ensino compreenda o arcabouço legal que permite que suas atividades ocorram, pois serão esses fundamentos que deverão servir de base para os tratamentos de dados pessoais realizados. 

Por fim, recomendamos que toda instituição de ensino passe primeiro por uma auto avaliação para compreender quais as classificações etárias e as consequentes implicações legais para a implementação da LGPD. Em seguida, é necessário criar uma equipe de implementação para que seja estabelecido o escopo a ser trabalhado, identificar as cláusulas contratuais existentes e as atualizações necessárias, a localização dos dados, seus principais pontos de compartilhamento e os quesitos atuais de proteção e o ambiente tecnológico. 

O projeto de adequação é longo e precisa ser feito de forma granular, observando a ótica de proteção tecnológica, processos documentais, riscos com parceiros e outros pontos que tocam dados pessoais. 

André Vieira Grochowski
DPO Portnet Tecnologia

Open Banking e LGPD

Open Banking e LGPD

Em 2019 o Banco Central do Brasil, deu um importante passo para a modernização do segmento bancário nacional, a implementação do Open Banking.  

Visualizando esse novo cenário e sua correlação com a LGPD, pretendemos nesse artigo abordar a relevância do sistema de Open Banking para o Brasil, os reflexos que a LGPD irá gerar sobre ele e os possíveis cenários que surgirão dessa integração. 

O que é Open Banking ?

Compreendido por um sistema que visa gerar a descentralização das informações financeiras, o Open Banking tem como fundamento a disponibilização dos dados bancários dos usuários e de transações financeiras com a finalidade de gerar um novo ecossistema integrado onde o cidadão passa a ser o real dono de suas informações, tendo total acesso e controle desses dados e permitindo que através do compartilhamento com outras instituições financeiras possa ser desenvolvido um novo tipo de experiência ao consumidor, incentivando a inovação, promoção da concorrência, aumento da eficiência do Sistema Financeiro Nacional, transparência dentre outros pontos. 

Traduzindo para termos práticos, o usuário poderá usufruir de serviços de instituições financeiras sem necessariamente ter um conta neste banco, além de poder gerenciar de forma facilitada as suas transações financeiras. 

Esse sistema já vem sendo amplamente aplicado na União Europeia, utilizando as consolidações trazidas no PSD2 (revised Payment Services Directive), expondo padrões de implementação, segurança e desenvolvimento de APIs conforme modelos básicos. 

A usabilidade do Open Banking em si necessita de outros artigos para o melhor desenvolvimento, contudo a questão principal é: Como o Open Banking vai lidar com Lei Geral de Proteção de Dados? 

Como o Open Banking irá se relacionar com a LGPD ?

Como já exposto em outros artigos a LGPD (Lei Geral de Proteção de Dados) é a normativa brasileira que dispõe sobre a proteção e privacidade de dados pessoais que deverá ser seguida pelas empresas atuantes no país, estabelecendo requisitos para operações de tratamento de dados e proteção destes.  

Em se tratando de dados de pessoas físicas, o Open Banking lida diretamente com dados pessoais de altíssimo impacto, sendo imprescindível a aplicação das diretrizes expostas na LGPD.  

Observando a necessidade o Bacen já deixou claro pontos de correlação Open Banking/LGPD como pode ser extraído da Resolução Conjunta nº 1 de 4 de maio de 2020:  

Art. 10. A instituição receptora de dados ou iniciadora de transação de pagamento, previamente ao compartilhamento de que trata esta Resolução Conjunta, deve identificar o cliente e obter o seu consentimento. 

O mesmo artigo define outras regras para a concretização das operações como o uso de linguagem clara, objetiva e adequada, as finalidades, prazos, instituições envolvidas, dados que serão compartilhados, a vedação de consentimento por meio de contrato de adesão, de forma generalista ou até mesmo presumida.  

Esse tipo de diretriz é totalmente condizente com o que a LGPD determina quanto a coleta de consentimento para o tratamento de dados pessoais, mostrando como o Open Banking é uma sequência lógica da lei de proteção de dados brasileira, inclusive tendo o início da sua implementação após o início da vigência da LGPD. 

Outro ponto relevante é a imposição de medidas de responsabilização pelo compartilhamento, sendo demandado pelo BACEN a necessidade da tomada de precauções que garantam a confiabilidade, integridade, disponibilidade, segurança e sigilo dos dados, além da realização de relatórios periódicos sobre o tema. 

Dito isso, a pergunta de “Como o Open Banking vai lidar com Lei Geral de Proteção de Dados?” tem como resposta que o BACEN e o segmento financeiro demonstram estarem cada vez mais avançados nos tópicos de proteção e privacidade das informações e dados pessoais, alinhando suas estratégias com as melhores práticas globais sobre o tema, e no caso brasileiro, se inspirando em muito nos aprendizados do Open Banking europeu e nas práticas do PSD2. 

Conclusão 

É possível dizer que a inovação que o Open Banking trará será revolucionária para os brasileiros, contudo devemos observar com certa cautela, pois é necessário que esse novo ecossistema seja muito bem desenvolvido de forma a garantir o máximo de privacidade e proteção das informações ali contidas.  

Assim, acreditamos que a LGPD deverá mais uma vez nortear ações, sendo estabelecidas novas formas de desenvolvimento seguro das aplicações que serão utilizadas, tomando como base os conceitos de Privacy by Design e By Defautalém de rigorosas avaliações tanto das entidades envolvidas quanto de parceiros selecionados por elas. 

Mais uma vez a LGPD se demostra essencial para nosso país, não para impedir ou burocratizar a inserção de nossas vidas ao mundo digital, mas sim para das aos brasileiros a segurança necessária para garantir nossa privacidade. 

André Vieira Grochowski
DPO Portnet Tecnologia

LGPD e os impactos nas instituições financeiras

LGPD e os impactos nas instituições financeiras

Pensar em proteção de dados ou segurança cibernética muitas vezes remete nossos pensamentos ao mercado financeiro, ou setor bancário. Esse tipo de pensamento não é à toa, afinal membros desse segmento lidam diretamente com o patrimônio de cada pessoa e com dados/informações de altíssimo valor econômico e social.

Em decorrência das exigências que o segmento possui, talvez um dos mais legislados do país, o setor financeiro já ocupa a vanguarda da proteção tecnológica, possuindo diversos processos e leis especificando a manutenção do sigilo do controle das informações e do fornecimento de segurança aos seus clientes. Além disso, não é novidade para o setor a existência de leis que cobrem grande segurança, padrões de proteção da informação e processo que busca em categorizar o tipo de informação em sua posse. Podemos colocar como exemplo a lei de sigilo da informação, Lei Complementar nº 105 de 2001, lei de Lavagem de Dinheiro, o Marco Civil da Internet, Lei de Crimes Contra o Sistema Financeiro Nacional, dentre outras.

Levando em conta que o setor já está acostumado em lidar com exigências legais e mercadológicas de proteção, a LGPD mesmo sendo algo que irá impactar o setor não será uma grande novidade para os processos internos da empresa e em muitos casos irá demandar algumas ajustes finos na realidade da organização.

Pensando nisso, o BACEN emitiu a Resolução 4.658/18 que trata de políticas de segurança cibernética, processos de segurança da informação, requisitos para a contratação de parceiros fornecedores tecnologias. É possível realizar a correlação entre essa resolução e a LGPD, mesmo ela não possuindo dispositivos diretos focados para o setor. Ambas tratam de segurança da informação, desenvolvimento de processos para a garantia da segurança do ambiente tecnológico, o desenvolvimento de processos de gestão interna e o desenvolvimento de um plano de ação e resposta a incidentes.

A observância dessas duas novas normas, além da reinterpretação de outros regramentos com base na LGPD, será necessário que o setor repense como irá atuar diante do novo consumidor que surgirá, tendo em vista os novos direitos que terão além da dissociação entre proteção de dados, confidencialidade e o sigilo.

Assim, o setor financeiro precisará se preparar para essa interação operacional, resguardando que processos, controles internos, gestão de riscos, mecanismos de proteção e o compliance estarão em perfeita sinergia e em comunicação com a nova realidade digital.

Mas qual seria o caminho das pedras? Ou até mesmo por onde as empresas desse setor devem começar?

Aconselhamos que seja formada uma equipe para o projeto multidisciplinar composta por membros do setor jurídico, setor de tecnologia, segurança e compliance. Esse time deverá se reportar diretamente à diretoria e iniciar o projeto avaliando o status que a organização se encontra em matéria de proteção de dados, avaliando onde se localizam os dados pessoais em sua posse, como sistemas, servidores, bases de dados, arquivos físicos e assim por diante. Em seguida, é necessário identificar e categorizar os dados, como dados pessoais, dados pessoais sensíveis, dados de menores etc., criando um sistema de inventário para a manutenção dessas informações. Uma estratégia interessante é a criação de uma base única de informações que pode facilitar a gestão dos dados para facilitar o mapeamento, dando uma visão macro de todo o pool de dados que podem ser utilizados e onde estão sendo utilizados.

Outra necessidade é a criação de sistema de gestão da privacidade, identificando os processos de sua empresa que necessitam do uso de dados pessoais, a vinculação dessas atividades com alguma das bases legais indicadas na LGPD, os riscos e impactos potenciais que podem estar envolvidos com aqueles dados, as formas de proteção empregadas e outras informações organizacionais. Além disso, dentro desse sistema deve ser indicando aos titulares de dados os seus direitos, um canal de comunicação com o DPO ou Encarregado de Dados e a política de privacidade empregada pela organização.

Infelizmente não existe uma “receita de bolo” ou uma “bala de prata” que irá solucionar todos os desafios, por isso recomendamos que sua empresa desenvolva a gestão de parceiros, mobilizando diversas ferramentas que ao serem compiladas e aplicadas a cada uma de suas necessidades gerarão uma estrutura coesa para a proteção de dados.

André Vieira Grochowski
DPO Portnet Tecnologia

O que fazer para facilitar a adequação à LGPD?

O que fazer para facilitar a adequação à LGPD?

A nova lei de privacidade e proteção de dados pessoais surge para modificar a relação entre pessoas, estabelecendo novas obrigações para aqueles que utilizam de dados para fins econômicos e direitos para os titulares desses dados.

Pensando nesses novos cenários que serão criados, listamos alguns pontos a serem observados que facilitarão o seu caminho para a adequação a LGPD:

Estabelecer uma estratégia de envolvimento geral

O primeiro passo que deve ser tomado é apresentar a LGPD e levantar a importância da nova lei para todos os envolvidos nas operações de sua empresa. É importante que o envolvimento abarque desde a alta gestão até os cargos mais simplórios, pois mesmo que aparentemente um processo não lide com dados pessoais é importante que todos saibam como se portar diante da nova legislação.

Outro elemento importante que é desenvolvido através do envolvimento de todos com a LGPD e a sensibilização e conscientização sobre a importância e respeitar a vida privada de cada um, facilitando, ainda, a detecção de eventuais incidentes de segurança e desrespeitos à lei

Estabelecer uma estrutura de governança de dados

Dados são o novo petróleo para o mundo corporativo, mas até então não recebiam o devido cuidado, sendo coletados de forma maciça, tratados sem qualquer conhecimento de seus titulares e compartilhados indiscriminadamente como uma moeda de troca entre empresas.

A partir de agosto de 2020 as empresas serão obrigadas a estarem como suas ações, em matéria de dados pessoais, totalmente modificadas. Será necessário a criação de controles específicos que demonstrem e protejam todo o ciclo de vida dos dados pessoais, além de elencar profissionais capacitados em gerir esse ciclo e proteger a privacidade e gestão de dados.

Incorporar privacidade e proteção de dados em todas as atividades da empresa

A LGPD nos apresenta o conceito do privacy by design que é a implementação dos quesitos de privacidade e proteção de dados pessoais em todos os processos, serviços e produtos desde a sua concepção.

As empresas deverão se vestir com esse novo modo de agir e não mais terminar o desenvolvimento de algo para somente depois pensar em questões de segurança, mas sim levar a segurança como um dos pontos do desenvolvimento, permitindo-se até abortar o processo caso visualize o não respeito à segurança.

Investir em capacitação de pessoal e em novas tecnologias

Outro ponto crucial é a composição de verbas especificamente voltadas para o investimento em pessoas e tecnologias condizentes com os novos requisitos globais de proteção e rastreabilidade.

A LGPD demanda que as empresas implementem novos meios que garantam a o controle do fluxo de dados, os direitos dos titulares e a segurança das informações, assim novas tecnologias e treinamentos para operá-las da forma correta serão necessários.

Estabelecer meios de comunicação com titulares e autoridade

Um dos elementos fundamentais para a lei é a existência de meios de comunicação assertiva que garantam o atendimento ágil com o cidadão a fim de responder as demandas deles e da autoridade.

Ressaltamos que a LGPD deve ser entendida como uma jornada que envolverá a todas e precisará ser continuamente revisitada. Esses são os primeiros passos elementares, sendo necessário a elaboração de um plano completo de adequação.

André Vieira Grochowski
DPO Portnet Tecnologia

Critérios para aplicação de multas e sanções previstas na LGPD

Critérios para aplicação de multas e sanções previstas na LGPD

Avaliar a aplicação de sanções prevista na LGPD ainda é algo voltado para a análise comparativa no âmbito LGPD x GDPR, tendo em vista que nossa autoridade regulamentadora, ANPD, ainda está em processo de formatação.

Como nossa lei possui forte inspiração da lei europeia é possível que as diretrizes acerca da aplicação das multas e outras sanções também busquem inspiração no cenário europeu. Até o momento são previstos apenas alguns pontos que deverão ser observados para a avaliação das punições, mas as metodologias e valor-base serão apresentadas em momento futuro pela ANPD, conforme exposto no art. 53, §1º da LGPD.

Sanções previstas na LGPD

Nossa lei prevê ao todo 6 tipos de sanções para infrações à lei, sendo elas:

  1. Advertência;
  2. Multa de até R$50.000.000,00 por infração;
  3. Multa diária;
  4. Divulgação da infração ao público;
  5. Bloqueio dos dados pessoais relativos à infração;
  6. Eliminação dos dados pessoais relativos à infração.

Apesar do alto valor da multa, entendemos que os danos financeiros oriundos de uma interrupção nas atividades em decorrência do bloqueio dos dados pessoais ou sua eliminação, e os fortes danos à imagem da empresa por conta de uma divulgação da infração podem apresentar um impacto mais significativo para a empresa.

Contudo, qualquer tipo de punição antes de ser aplicada deverá respeitar um procedimento administrativo que garanta a ampla defesa e observe o impacto da infração, quais medidas foram tomadas para evitar e combater o evento, o poder econômico do infrator, sua cooperação com a agência e vários outros elementos que servirão para a autoridade no momento de decidir se a empresa deve ou não ser punida

Critérios para aplicação de sanções da LGPD

Como havíamos falado, nossa agência ainda não disponibilizou nenhuma informação sobre como será o processo avaliativo, mas a LGPD já nos apresenta os principais elementos que a ANPD irá levar em consideração ao elaborar a metodologia de avaliação e aplicação de punições, sendo onze ao todo.

  • O impacto do incidente e quais dados ele afeta;
  • Se existe boa-fé por parte da empresa no tratamento dos dados;
  • O que motivou a empresa a tratar os dados;
  • O poder econômico da empresa;
  • Se a empresa é ou não reincidente;
  • Qual o dano gerado;
  • Cooperação com a ANPD e com os usuários
  • O desenvolvimento e aplicação de medidas tecnológicas e organizacionais que auxiliem na prevenção do dano;
  • Políticas de boas práticas e governança;
  • Adoção de medidas corretivas;
  • A proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Entendo que a ANPD irá exigir das empresas a comprovação que agiu através dos melhores meios tecnológicos existentes no mercado, não realizou nenhum tipo de tratamento não especificado ao titular e não agiu de forma abusiva.

Assim, é muito importante que as empresas para estarem seguras devem possuir mecanismos que possam comprovar, por histórico de registros, todas as ações tomadas dentro dos tratamentos de dados e criar processos que abarquem a segurança e proteção de dados pessoais

Exemplos de sanções aplicadas no GDPR

British Airways – multada em 183 milhões de libras em julho de 2019

A multa aplicada pela autoridade inglesa, ICO, ocorreu após a denúncia de que quinhentos mil usuários da companhia teriam sido vítimas de fraudes ao serem desviados do site da aérea para outro que estava realizando a coleta de dados pessoais como nome, endereço, dados bancários e outros.

A causa do elevado valor foi o altíssimo impacto causado aos usuários em decorrência dos fracos acordos firmados entre a companhia e serviços de segurança.

Esse evento demonstra a importância na revisão dos contratos de serviços e produtos de segurança, bem como os acordos de atendimento firmados e quais mecanismos de segurança são aplicados.

Marriott International – multada em 99 milhões de libras em julho de 2019

Após o vazamento de cerca de 339 milhões de registros de hospedes, a ICO aplicou a multa contra o grupo hoteleiro em decorrência de uma falha de segurança de um sistema de outro grupo de hotéis adquiridos pela empresa.

Assim, ao realizar a aquisição do grupo hoteleiro Starwood e não realizar a revisão dos sistemas de segurança e outras diligências necessárias para garantir a segurança dos usuários a Marriott sofreu a sanção de 99 milhões de libras.

Bounty – multado em 400 mil libras em abril de 2019

A multa em questão ocorreu devido à falta de informações claras aos usuários de como, quando e para quem os dados pessoais fornecidos seriam transferidos, o que demonstra como as leis de privacidade se importam com a transparência da relação empresa e titular de dados.

André Vieira Grochowski
DPO Portnet Tecnologia

Principais conceitos da Lei Geral de Proteção de Dados

Principais conceitos da Lei Geral de Proteção de Dados

Em nosso artigo “O que é LGPD e por que você deve enxergar como uma oportunidade?” introduzimos a relevância da nova lei de proteção de dados para o cenário econômico brasileiro, contudo é importante abordarmos os principais elementos trazidos pela lei para que as empresas compreendam a extensão e eventuais impactos da LGPD.

Dados pessoais segundo a LGPD

Como já abordados, o principal foco de proteção da Lei Geral de Proteção de Dados é a proteção de dados pessoais dos brasileiros e demais pessoas que compartilhem seus dados com empresas nacionais. Contudo, o termo “dados pessoais” pode conter um espectro não tão simples de compreensão, por que afinal de contas o que são dados pessoais?

A LGPD conceitua que dados pessoais são informações que permitem que uma pessoa seja identificada. Como apontamos esse conceito legal é vago e precisa de ser mais bem desenvolvido ao longo dos anos de aplicação e estudos sobre o tema.

Nossa equipe, observando o conceito de dados pessoais na ótica europeia entende esse tipo de dados como sendo toda informação que pode ser utilizada como um identificador para pessoas físicas, sejam elas informações que apontam diretamente para alguém ou que podem ser utilizadas em conjunto com outras.

Podemos apontar exemplos de dados pessoais como sendo: nome, sobrenome, endereço, CEP, identidade, CPF, geolocalização, IP de computadores, e-mail pessoal e profissional, MAC adress, cookies, número de telefone, identificadores de preferência e inúmeros outros elementos.

Dados Pessoais Sensíveis

Outro tipo de dados pessoais são os considerados sensíveis, uma categoria especial que lida com informações, que ao serem obtidas e utilizadas de forma indevida, podem gerar discriminação ou afetar de forma crítica o lado psicológico ou até mesmo físico de alguém.

Esses dados são categorizados de forma mais específica sendo relativos a: origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.

Assim, precisamos ter atenção redobrada quanto a esses dados, aplicando os melhores meios de proteção tecnológica e processos condizentes com a relevância desses dados, só podendo serem tratados em condições especiais determinadas pela LGPD.

Tratamento de Dados Pessoais na ótica da LGPD

O tratamento de dados é um conjunto de atividades que podem ser realizadas com dados pessoais, expostas na nossa lei como sendo acesso, armazenamento, arquivamento, avaliação, classificação, coleta, comunicação, controle, difusão, distribuição, eliminação, extração, modificação, processamento, produção, recepção, reprodução, transferência, transmissão, utilização.

É possível entendermos que tratamento pode ser qualquer tipo de ação tomada sobre os dados pessoais e que a lista apontada pela LGPD será ampliada com o passar do tempo e o desenvolvimento de novas atividades com dados pessoais, por isso recomendamos que sempre se mantenha informado e busque com o Encarregado informações atualizadas e o direcionamento apropriado para o cumprimento da lei.

Encarregado e DPO

A figura do Encarregado, ou DPO pela GDPR, é um dos principais personagens para a efetiva aplicação da LGPD e demais normas de proteção e privacidade de dados. Entendemos que consiste em um profissional multidisciplinar indicado pelo Controlador ou Operador para garantir que a entidade esteja, como um todo, ciente das obrigações e responsabilidades impostas pela lei para a proteção de dados e auxiliar na disseminação da cultura de proteção de dados pessoais.

É recomendável que este profissional possua conhecimentos tanto jurídicos quanto tecnológicos, mas que acima de tudo seja um profissional que entenda dos processos e do ambiente da empresa, sabendo transitar entre todos os setores de forma positiva, desde o nível estratégico até ao operacional.

Controlador e Processador

Outras duas figuras centrais da Lei Geral de Proteção de Dados são Controlador e Processador, sendo estes os verdadeiros responsáveis pelo tratamento de dados pessoais e implementação das medidas técnicas de organizacionais de proteção.

Controlador é o responsável pelas diretrizes que serão tomadas para o tratamento de dados pessoais, determinando quais dados serão tratados, como deve ser feito, com qual finalidade, comunicar-se com os usuários e todas as demais questões relevantes no que toca o assunto dados pessoais.

Por sua vez, o Processador, será o personagem da relação comercial a quem é atribuído pelo Controlador o dever de tratar os dados pessoais. Esse sujeito deverá respeitar todos os direcionamentos estabelecidos contratualmente entre ele e o Controlador. É possível que pela leitura da LGPD uma dúvida surja quanto quem poderá ser exemplificado como Processador, mas desde uma Contabilidade terceirizada a até a Microsoft podem ser tidos como Processadores.

André Vieira Grochowski
DPO Portnet Tecnologia