Manual de LGPD

Projeto de Preparação para LGPD

Primeiramente, a tutelas veio para assegurar as condições de demonstrar conformidade com a LGPD, em entender, documentar e validar os dados pessoais, onde coletamos, processamos e descartamos. Neste artigo, iremos falar mais sobre o manual geral da LGPD.

Ainda assim, introduzimos o uso apropriado de avaliações de impacto de proteção de dados, compreendemos e avaliamos o risco de descumprimento da legislação para realizar todas as mudanças necessárias em nossas políticas, como processos, procedimentos, registros, contratos e outros materiais para cumprir os requisitos da LGPD.

Os principais benefícios a serem obtidos com a entrega bem-sucedida deste projeto são os seguintes:

  1. Redução do risco no tratamento de dados pessoais;

  2. Evitar contravenções e multas da LGPD;

  3. Maior garantia aos nossos clientes de que seus dados pessoais estão protegidos;

  4. Melhor compreensão dos dados pessoais que coletamos e processamos;

  5. Oportunidade potencial de vendas;

1.1.1 Projeto de Iniciação

O Projeto de Iniciação é essencial para definir o que seu projeto deve prever e quais são seus objetivos e benefícios. Além disso, estabelece abrangência, pressupostos, equipe de trabalho, recursos necessários, etapas e prazos, comunicação interna e externa, documentos e atividades relevantes e avaliação inicial de risco.

Apesar disso, podemos afirmar que ele é um dos documentos mais importantes, pois define as diretrizes que se encontram usados para que a organização alcance a conformidade com a legislação pertinente.

Nesse sentido, use este documento para obter a confirmação, o compromisso da gerência e da equipe na implementação de processos e dos procedimentos que garantam o tratamento de dados pessoais em conformidade com os requisitos da LGPD.

A princípio, a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), conhecida como LGPD, é uma das legislações mais significativas criadas nos últimos anos. Ela estabelece diversos limites e implementações às organizações que controlam e processam dados pessoais dos cidadãos, para garantir uma proteção mais adequada a esses dados, respeitando direitos como privacidade, intimidade e liberdade de expressão.

Do mesmo modo, a adequação deste regulamento, exige que pesquisemos mais a fundo os dados pessoais que coletamos e processamos, para que torne-se de uma maneira mais apropriada, transparente e justa.

Além disso, para obter em conformidade com a LGPD, este documento inicia o projeto de implementação, que deve ser feito para alinhar seus processos e procedimentos.

Contudo, ele deve conter os seguintes pontos:

  1. Plano de Fundo;

  2. Objetivos e Benefícios;

  3. Abrangência, Restrições e Pressupostos;

  4. Comitê e Equipe do Projeto;

  5. Equipe do Projeto;

  6. Recursos do Projeto;

  7. Etapas e Prazos;

  8. Comunicação do Projeto;

  9. Entregas;

  10. Avaliação de Risco Inicial;

  11. Programação do Projeto Inicial.

1.1.2 Planilha Planejamento do Projeto de Implementação da LGPD

Em primeiro lugar, este é o planejamento do projeto de conformidade com a LGPD em formato de planilha. Em outras palavras, ele é melhor para facilitar o gerenciamento e obter uma melhor funcionalidade.

O plano inclui as principais tarefas envolvidas no projeto, desde a iniciação até a finalização. Você vai precisar decidir a duração provável de cada uma das tarefas e determinar os responsáveis.

Nesse sentido, é difícil prever exatamente como irá ser o andamento da implementação do projeto, porém, indicar tarefas em ordem aproximada de implementação ajudará a acompanhar o progresso.

1.1.3 Planilha Registro de Documentação LGPD

O Registro de documentação, fornece um resumo do esquema de numeração de referência, usados para documentos relevantes em conformidade com o LGPD, juntamente com seu status atual.

Você pode decidir manter essas informações em um sistema, como um sistema de gerenciamento de documentos ou também em uma planilha. Isso tudo é perfeitamente aceitável, desde que as informações estejam prontamente disponíveis.

Contudo, se estiver usando este documento, você deve garantir que ele se encontre atualizado com os documentos listados e alterados.

1.1.4 Carta de Compromisso da Alta Direção

Em primeiro lugar, esta carta de compromisso demonstra o comprometimento do executivo e diretores de acordo com a LGPD e deve aprovar pela alta direção.

1.1.5 Planilha de Evidência de Conformidade da LGPD

Esta planilha mapeia os documentos do e-book da LGPD com os artigos da legislação. Além disso, usa para adicionar seus próprios itens de evidência nos capítulos e artigos relevantes.

1.1.6 Ferramenta de Avaliação de Lacunas LGPD

Antes de tudo, nesta ferramenta de avaliação, a resposta “SIM” indica conformidade com a LGPD, e a resposta “NÃO”, indica não-conformidade parcial ou total com a LGPD. Além disso, se um requisito não for aplicável à empresa, a resposta deve ser “SIM” para que a avaliação aponte corretamente as informações.

Portanto, é importante mencionar que muitos artigos da LGDP são relevantes apenas para o Poder Público, o Conselho e a Autoridade Nacional de Proteção de Dados e da Privacidade. Dessa forma, órgãos de supervisão e outras agências não foram incluídos nos cálculos de avaliação de lacunas.

1.2 Papeis, Treinamento e Conscientização

1.2.1 Funções da LGPD e Responsabilidades

Este documento define algumas das principais funções envolvidas na conformidade com a LGPD, bem como suas responsabilidades relevantes.

Uma organização se torna estruturada de muitas maneiras diferentes, onde depende do tamanho, distribuição geográfica, tecnologia, cultura e se os clientes são internos ou externos. Em outras palavras, você precisará adaptar este documento para refletir a estrutura e os cargos da sua organização.

Nesse sentido, em uma organização maior, esses papéis serão frequentemente atribuídos a pessoas diferentes. Ao contrário de que, em uma organização menor, essas responsabilidades se encontram alocadas para poucas pessoas.

As funções exigidas vão depender da sua organização, ou seja, se é um controlador, operador ou ambos. E também, se o tratamento atende aos critérios para caso ter um encarregado ou não.

É certo de que trata a segurança dos dados pessoais com muita seriedade. Todavia, uma das principais características de uma abordagem eficaz à proteção de dados é a definição de funções.

É fundamental que encontram-se cientes do que devem desempenhar para manter os dados pessoais seguros. Este documento deve ser lido em conjunto com outros que definem como a proteção de dados é gerenciada dentro [do(a) Nome da Organização], incluindo:

  1. Política de Proteção de Dados;

  2. Procedimento de Desenvolvimento de Competências da LGPD;

  3. Processo de Avaliação do Impacto de Proteção de Dados;

  4. Procedimento de Resposta a Incidentes de Segurança da Informação;

  5. Procedimento de Notificação de Violação de Dados Pessoais;

  6. Procedimento de Solicitação de Dados.

Por fim, ao garantir que os papéis e responsabilidades estejam claramente definidos, podemos evitar incidentes de proteção de dados. Caso ocorra alguma situação, estamos capacitados para uma atuação efetiva e adequada.

1.2.2 Procedimento de Desenvolvimento de Competências da LGPD

Desde já, este documento descreve como determinar a competência necessária das pessoas que desempenham funções relacionadas à proteção de dados pessoais. Em seguida, avalia se elas têm esse nível de competência, resultando em recomendações de desenvolvimento.

Ele reúne dois aspectos importantes. Primeiro, as competências necessárias para apoiar o cumprimento da LGPD e, em segundo, as competências que existem atualmente na organização e para isso, é ideal que os dois sejam compatíveis.

Com isso, existem várias opções para que a organização desenvolva as competências necessárias ao LGPD. Cursos, treinamento, briefings internos com membros da equipe mais experientes, entre outros.

É essencial que os funcionários e interessados envolvidos na proteção de dados tenham as aptidões necessárias para proteger os dados pessoais coletados, armazenados e tratados. Desta forma, as consequências de não ter habilidades adequadas dentro da organização pode ser uma causa de descumprimento dos requisitos legais e aumento do risco para os negócios.

Antes de tudo, enfatiza a realização de treinamento periódicos para atender às necessidades do negócio e desenvolver funcionários para que possam desempenhar melhor suas funções. Nos departamentos técnicos, como TI, é necessário desenvolver e manter dentro da equipe as habilidades específicas de tecnologia.

O objetivo deste procedimento de desenvolvimento de funções é identificar se existem, atualmente, competências suficientes relacionadas à proteção de dados.

Com o intuito de produzir recomendações para o desenvolvimento de aptidões adicionais, exige os níveis de competências para cada função da LGPD, em que identifica e compara com níveis existentes de competência das pessoas que cumprem essas funções.

Este procedimento tem de ser em conjunto com os seguintes documentos que fornecem mais detalhes sobre o contexto, escopo, objetivos, recursos, funções e responsabilidades relacionadas à conformidade com a LGPD:

  1. Política de Proteção de Dados;

  2. Processo de Avaliação de Impacto de Proteção de Dados;

  3. Funções e Responsabilidades da LGPD;

  4. Procedimento de Resposta a Incidentes de Segurança da Informação.

Desde já, este documento descreve como determinar a competência necessária das pessoas que desempenham funções relacionadas à proteção de dados pessoais. Em seguida, avalia se elas têm esse nível de competência, resultando em recomendações de desenvolvimento.

Ele reúne dois aspectos importantes. Primeiro, as competências necessárias para apoiar o cumprimento da LGPD e, em segundo, as competências que existem atualmente na organização e para isso, é ideal que os dois sejam compatíveis.

Com isso, existem várias opções para que a organização desenvolva as competências necessárias ao LGPD. Cursos, treinamento, briefings internos com membros da equipe mais experientes, entre outros.

É uma boa prática avaliar a eficácia das ações tomadas e manter registros próprios que foi realizando.

É essencial que os funcionários e interessados envolvidos na proteção de dados tenham as aptidões necessárias para proteger os dados pessoais coletados, armazenados e tratados. Desta forma, as consequências de não ter habilidades adequadas dentro da organização pode ser uma causa de descumprimento dos requisitos legais e aumento do risco para os negócios.

Antes de tudo, enfatiza a realização de treinamento periódicos para atender às necessidades do negócio e desenvolver funcionários para que possam desempenhar melhor suas funções.

Nos departamentos técnicos, como TI, é necessário desenvolver e manter dentro da equipe as habilidades específicas de tecnologia.

O objetivo deste procedimento de desenvolvimento de funções é identificar se existem, atualmente, competências suficientes relacionadas à proteção de dados.

Com o intuito de produzir recomendações para o desenvolvimento de aptidões adicionais, os níveis de competências exigidos para cada função da LGPD, com níveis existentes de competência das pessoas que cumprem essas funções.

Este procedimento tem de ser em conjunto com os seguintes documentos que fornecem mais detalhes sobre o contexto, escopo, objetivos, recursos, funções e responsabilidades relacionadas à conformidade com a LGPD:

  1. Política de Proteção de Dados;

  2. Processo de Avaliação de Impacto de Proteção de Dados;

  3. Funções e Responsabilidades da LGPD;

1.2.3 Programa de Comunicação da LGPD

Em primeiro lugar, o Programa de Comunicação da LGPD vai estabelecer como a alta direção irá comunicar a importância da LGPD e de outros tópicos relacionados à segurança da informação para os colaboradores e outras partes interessadas.

Dessa forma, há várias maneiras dentro e fora da organização que a alta direção pode estabelecer a comunicação adequada e eficaz.

Sua organização pode ter métodos de comunicação estabelecidos que se usam para essa finalidade. O “ponto-chave” é que haja evidências do qual a alta direção está assumindo suas responsabilidades para transmitir:

  1. A importância do cumprimento dos requisitos e das obrigações contratuais em geral e da LGPD;

  2. A importância de cumprir os requisitos de segurança da informação;

  3. O conteúdo da política de gerenciamento de segurança da informação;

  4. Conscientização dos riscos e questões de segurança da informação.

Contudo, um briefing anual considera-se como razoável, mas recomenda-se que um programa mais regular seja feito, usando vários métodos de comunicação e por isso, não há determinação de tempo ou frequência nos treinamentos.

Levando em consideração de todos os direitos dos titulares de dados, a adequação deste regulamento exige que analisemos atentamente aos dados pessoais que coletamos e processamos, sendo tudo de uma maneira apropriada, transparente e justa.

Dessa forma, para que todas as partes interessadas, como funcionários, clientes, contratados e fornecedores, estejam cientes do que está acontecendo, há uma grande necessidade de informar essas mudanças, implicações e a abordagem. Nesse sentido, este documento identifica quem são as partes interessadas e como um canal de comunicação eficaz será prescrito.

Ainda mais, estabelece como as partes interessadas, dentro e fora, se comunicam sobre o assunto da LGPD, e os controles de segurança da informação para cumprir as exigências legais.

1.3 Mapeamento e Análise de Dados Pessoais

1.3.1 Procedimento de Análise de Dados Pessoais

A princípio, este documento descreve como os dados pessoais podem ser documentados e analisados para garantir a conformidade com a LGPD.

Há muitas maneiras diferentes de mapear e analisar dados, e esse procedimento descreve apenas um desses métodos. Se a sua organização tiver um recurso padrão, é perfeitamente aceitável usá-lo.

Um requisito da LGPD, é que você entenda quais dados coleta, trata e o porquê. Os mesmos dados são usados para muitas finalidades diferentes e é essencial esclarecer não apenas eles, mas também a justificativa legal dos usos dessas informações.

A LGPD coleta, armazena, faz o tratamento e transfere uma ampla variedade de dados pessoais como parte de suas operações comerciais. Esses dados, sobre os titulares, estão sujeitos a várias obrigações legais em relação a sua proteção e uso, inclusive aquelas previstas na Lei Geral de Proteção de Dados do Brasil (LGPD).

Para entender e comprovar que estamos cumprindo essas obrigações, precisamos ter uma visão clara e completa dos dados pessoais envolvidos.

Em outras palavras, o objetivo deste procedimento é definir e documentar os dados pessoais envolvidos em um ou mais processos de negócios. É fundamental recolher apenas dados necessários para os fins legais.

Apesar disso, usa este procedimento como parte de um exercício inicial, para capturar informações sobre todos os dados pessoais dentro da organização ou simplesmente para avaliar em único processo de negócio, sistema ou área.

Os seguintes documentos relacionados, são relevantes para este procedimento:

  1. Política de Proteção de Dados;

  2. Política de Retenção e Proteção de Registros;

  3. Procedimento Legítimo de Avaliação de Interesse;

  4. Processo de Avaliação de Impacto de Proteção de Dados;

  5. Procedimento para Transferências Internacionais de Dados Pessoais.

1.3.2 Procedimento de Avaliação de Interesse Legítimo

Antes de mais nada, este procedimento define como a verificação do interesse legítimo vai conduzir, a fim de determinar se a coleta de dados pessoais tem base legal e se pode receber tratamento.

O interesse legítimo é uma alternativa legal, na qual autoriza a coleta e tratamento de dados pessoais que se aplica em vários casos. Porém, é importante demonstrar os motivos que levaram a essa conclusão com base em justificativas razoáveis.

De acordo com o regulamento, existem algumas alternativas legais que autorizam o tratamento de dados pessoais sob a ótica da LGPD, como política e procedimento interno, onde identifica em qual base legal permite a coleta e o tratamento de dados pessoais. Depois, registra essa avaliação em documento específico.

As opções são as seguintes:

  1. Consentimento;

  2. Obrigação legal;

  3. Interesse Público;

  4. Realização de Estudo/Pesquisa;

  5. Contratual;

  6. Exercício Regular do Direito;

  7. Interesse Vital do Titular dos Dados;

  8. Interesse legítimo;

  9. Proteção de crédito.

Este método se utiliza quando identifica que a base legal do tratamento se apoia no interesse legítimo.

Deve-se analisar este procedimento em conjunto com os seguintes documentos relacionados:

  1. Política de Proteção de Dados;

  2. Política de Retenção e Proteção de Registros;

  3. Procedimento de Análise de Dados Pessoais;

  4. Procedimento de Solicitação de Dados;

  5. Processo de Avaliação de Impacto de Proteção de Dados.

1.3.3 Planilha de Registros de Atividades de Tratamento

Em primeiro lugar, a LGPD tem como exigência, manter registros de atividade de tratamentos relacionadas a dados pessoais.

Normalmente, os registros terão vários formulários diferentes, como políticas, registros e diretórios. Essa planilha, deve funcionar apenas como um resumo do tratamento regular de dados pessoais, contendo os motivos desse tratamento e que tem acesso a ele.

1.3.4 Planilha Formulário de Análise de Dados Pessoais

Este formulário analisa os dados pessoais coletados e tratados como parte de um projeto ou processo de negócio específico.

Este formulário usa-se para definir os dados pessoais que encontram-se coletados, e identificar vários atributos deles, como a base legal do tratamento.

Além disso, uma opção desse formulário, é a lista de ações que define o que precisa ser feito/investigado para poder preencher qualquer lacuna, por exemplo, como descobrir onde os dados pessoais estão armazenados na nuvem.

1.4 Política de Privacidade e Avisos

1.4.1 Política de Retenção e Proteção de Registros

Este documento define como os registros de dados devem se proteger e suas regras de retenção.

Você pode solicitar uma assessoria jurídica para entender quais partes da legislação se aplicam à sua organização, além da LGPD e suas implicações para armazenamento, e retenção de registros.

Desta forma, você não deve manter os dados por mais tempo do que o necessário, pois estaria contrariando a legislação e representaria um risco significativo para a sua organização.

Uma técnica recomendada pela LGPD é que, se você precisar armazenar esses dados por um longo período de tempo, é preciso realizar a anonimização, onde é o processo de tornar as informações anônimas.

Ainda assim, em suas operações ou processos comerciais diários, ele coleta e armazena registros de vários tipos e formatos diferentes. Também altera a importância relativa à sensibilidade desses registros e está sujeita ao regime de classificação de segurança de dados da organização.

É importante que esses registros tornam-se protegidos contra perda, destruição, falsificação, acesso e liberação não autorizada. Inclusive, usa-se uma variedade de controles para garantir isso, como backups, controle de acesso e criptografia.

Além disso, tem a responsabilidade de garantir que está em conformidade com todos os requisitos legais, regulatórios e contratuais, que são referentes a coleta, armazenamento, recuperação e destruição de registros de dados.

Por outro lado, esse controle se aplica a todos as operações, pessoas e processos que constituem o sistema de informações da organização, incluindo membros do conselho, diretores, funcionários, fornecedores e outros terceiros que têm acesso aos dados tratados [pelo (a) Nome da Organização].

Os documentos a seguir são relevantes para esta política:

  1. Política de Proteção de Dados;

  2. Processo de Avaliação de Impacto de Proteção de Dados;

  3. Procedimento de Aviso de Privacidade;

  4. Procedimento de Análise de Dados Pessoais.

1.4.2 Política de Proteção de Dados

Este documento define responsabilidades e a política para a proteção de dados pessoais.

Você pode solicitar uma assessoria jurídica para entender quais partes da legislação se aplicam à sua organização e suas implicações.

Contudo, tem que avaliar e gerenciar o risco de não cumprir a legislação de proteção de dados. As consequências podem incluir multas pesadas, por isso, a organização deve ter foco na aplicação desta política.

Em suas operações diárias de negócios [o Nome da Organização], faz uso de uma variedade de dados sobre as pessoas, incluindo:

  1. Empregados atuais;

  2. Antigos e potenciais clientes;

  3. Usuários de seus sites;

  4. Fornecedores;

  5. Outras partes interessadas.

Ao coletar e usar esses dados, a organização é sujeita a uma variedade de leis que definem como tais atividades se realizam e quais as consequências, caso não cumpre as determinações.

Em outras palavras, o objetivo desta política é estabelecer a legislação relevante e descrever as atitudes que está adotando para garantir sua conformidade com a lei.

Esse controle se aplica a todas as operações, pessoas e processos que constituem o sistema de informações da organização, tendo como exemplo, membros do conselho, diretores, funcionários, fornecedores e outros terceiros que tenham acesso a dados tratados [pelo (a) Nome da Organização].

Dessa forma, as políticas e procedimentos a seguir são relevantes para este documento:

  1. Processo de Avaliação de Impacto de Proteção de Dados;

  2. Procedimento de Análise de Dados Pessoais;

  3. Procedimento de Avaliação de Interesse Legítimo;

  4. Procedimento de Resposta a Incidentes de Segurança da Informação;

  5. Funções e Responsabilidades da LGPD;

  6. Política de Retenção e Proteção de Registros.

1.4.3 Procedimento de Aviso de Privacidade

Primeiramente, este procedimento define como a organização atenderá aos requisitos da LGPD ao coletar dados pessoais.

A LGPD necessita adquirir sobre as informações quando seus dados pessoais encontram-se coletados diretamente ou obtidos indiretamente. Nesse sentido, envolve informar aos titulares os dados usados e quais estão em seus direitos.

Contudo, utiliza este procedimento quando implementar um novo processo/projeto comercial ou no momento em que ocorrer alguma alteração já existente, na qual exige o recolhimento de dados pessoais dos titulares.

A LGPD exige que forneça informações específicas no momento da coleta ou recebimento de dados pessoais. Essas pesquisas, variam de acordo com as circunstâncias e além disso, usa esse procedimento de um modo que se apresente compatível com a LGPD.

Antigamente, forneciam as informações sobre privacidade em um único documento (“Política de Privacidade”). Contudo, com a LGPD, a abordagem passou a ser individual, ou seja, dependendo o tipo de atividades.

Para ter informações mais transparentes e menos confusas, tem-se como exemplo: exibe um aviso de privacidade quando um pedido é feito no site e, diferente quando o usuário se inscreve para receber um boletim informativo.

Nesse sentido, usa-se tais avisos de privacidade em conjunto com uma política de privacidade mais tradicional.

Portanto, leia este procedimento em conjunto com os seguintes documentos relacionados:

  1. Formulário de Planejamento de Aviso de Privacidade – Sujeito dos dados;

  2. Formulário de Planejamento de Aviso de Privacidade – Outros;

  3. Processo de Avaliação de Impacto de Proteção de Dados;

  4. Política de Retenção e Proteção de Registros;

  5. Política de Proteção de Dados;

  6. Procedimento de Avaliação de Interesse Legítimo.

1.4.4 Política de Privacidade do Site

Este documento estabelece as informações que fornece ao titular dos dados, principalmente para tratamento através de um website.

O uso de avisos de privacidade é visto como uma boa prática, de modo que as informações necessárias executem à transação específica. No entanto, desde que redige uma linguagem clara e fácil de encontrar a informação em que interessa, o fornecimento de um único documento ainda é aceitável.

Em outras palavras, significa usar o conceito de política “em camadas”, onde é flexível e usa uma combinação de índices, títulos expansíveis e hiperlinks para informações mais detalhadas. O conteúdo exato varia de acordo com fatores da sua organização, como as transações envolvidas, a base legal do processamento e de que maneira compartilha os dados pessoais.

1.4.5 Política do CCTV

A princípio, este documento define as responsabilidades e políticas da organização para o uso do Circuito Fechado de Televisão (closed-circuit television – CCTV).

Antes de tudo, você precisa se certificar de que seu uso do CCTV se apropria e não excessivamente intruso. Segundo a LGPD, os titulares dos dados solicitam imagens de suas gravações, e por isso, é bom se preparar. Além disso, é preciso cuidar com quem tem acesso às gravações e por quanto tempo elas vão manter.

A tecnologia do Circuito Fechado de Televisão (closed-circuit television – CCTV) se desenvolveu nos últimos anos para ser mais confiável, econômica e disponível.

Quando usado adequadamente, o CCTV pode ajudar a reduzir o risco de acesso não autorizado às instalações, tranquilizar os clientes e quando um incidente ocorre, fornece um registro preciso do que aconteceu.

Em outras palavras, faz o uso do CCTV em circunstancias apropriadas para abordar áreas específicas de risco a fim de proteger seus negócios, funcionários, clientes e outras partes interessadas.

Contudo, ao coletar e usar esses dados de vídeos (e áudio), a organização está sujeita a uma variedade de leis, incluindo a LGPD, onde controla de como as atividades realizam, e as proteções que têm de ser postas em prática para proteger as informações.

O objetivo desta política é definir as regras que seguem ao instalar e lidar com o CCTV, para que atendem as responsabilidades da organização em todos os momentos, e que também, maximize a utilidade dos dados.

É importante ressaltar que esta política, não aborda o uso de tecnologia especializada, como Reconhecimento Automático de Placas de identificação, reconhecimento facial ou veículos operados remotamente (drones, também conhecidos como sistemas aéreos não tripulados – VANT).

Ela aplica-se a todos as operações, pessoas e processos que constituem os sistemas de informação da organização, incluindo membros do conselho, diretores, funcionários, fornecedores e outros terceiros que tenham acesso a Sistemas do(a).

Dessa forma, as políticas e procedimentos a seguir são relevantes para este documento:

  1. Política de Proteção de Dados;

  2. Política de Retenção e Proteção de Registros;

  3. Processo de Avaliação de Impacto de Proteção de Dados;

  4. Procedimento de Avaliação de Interesse Legítimo.

1.4.6 Formulário de Planejamento de Aviso de Privacidade – Sujeito dos Dados

De acordo com a LGPD, utiliza este formulário como parte do planejamento da criação de um aviso de privacidade, em que obtém os dados diretamente do titular. Consulte o Procedimento do Aviso de Privacidade para adquirir mais detalhes sobre como preenche-lo.

1.4.7 Formulário de Pedido de Consentimento

[Este formulário (ou seu formato geral usando outro meio, por exemplo, em um site) usa para fornecer consentimento explícito no tratamento de dados pessoais sob as disposições da Lei Geral de Proteção de Dados (LGPD). No entanto, ele usa em conjunto com um aviso de privacidade adequado].

A princípio, este formulário solicita o seu consentimento para permitir que utilizemos seus dados pessoais pelos motivos indicados abaixo. Você só deve assiná-lo se optar por fornecer seu consentimento.

1.4.8 Formulário de Planejamento de Aviso de Privacidade

De acordo com a LGPD, utiliza este formulário como para do planejamento da criação de um aviso de privacidade, em que obtém os dados pessoais de uma forma direta. Para obter detalhes sobre como preenche-lo, consulte o Procedimento do Aviso de Privacidade.

1.5 Direitos do titular dos dados

1.5.1 Acesso aos Dados Pessoais Procedimento de Solicitação

Conforme estabelecido na LGPD, este procedimento descreve como é a organização para que cumpre os direitos do titular.

Antes de tudo, a LGPD fornece ao titular dos dados uma ampla gama de direitos que exercem sobre seus dados pessoais. É importante que a organização esteja pronta para atender às solicitações dos titulares, no exercício dos seus direitos e nos prazos necessários.

No entanto, o modo de solicitação varia de acordo com os dados pessoais envolvidos e as formas de armazenados e tratamento.

Este procedimento, oferece uma estrutura inicial aos próprios métodos existentes e fornece orientação sobre como os requisitos da LGPD pode afetar as solicitações de acesso aos dados pessoais.

Em outras palavras, este método utiliza quando um titular de dados exerce um ou mais dos direitos que concede na LGPD.

Os direitos do titular possuem seus próprios aspectos e desafios para que cumpre dentro do prazo necessário. Em geral, é adotado [pelo (a) Nome da Organização], uma abordagem proativa que coloque o máximo de acesso e controle, dos dados pessoais, nas mãos do titular, com uma quantidade mínima de intervenção ou envolvimento dos usuários.

Além disso, realiza por meio de acesso on-line, para que o titular dos dados possa verificá-lo e modificá-lo conforme necessário.

No entanto, em alguns casos, há um processo de atuação e decisão a ser seguido [pelo (a) Nome da Organização] em relação a uma solicitação permitida ou não. Nesses casos, as etapas envolvidas serão explanadas neste documento.

Portanto, deve ler este procedimento em conjunto com os seguintes documentos:

  1. Registro de Solicitação de Acesso de Dados;

  2. Processo de Avaliação de Impacto de Proteção de Dados;

  3. Política de Retenção e Proteção de Registros;

  4. Política de Proteção de Dados;

  5. Procedimento de Avaliação de Interesse Legítimo;

  6. Procedimento de Aviso de Privacidade.

1.5.2 Planilha Registro de Solicitação de Assunto de Dados

Este documento registra os detalhes de cada solicitação de acesso de assunto de dados.

Usa este registro em conjunto com o Procedimento de Solicitação de Acesso Aos Dados e o Formulário de Solicitação de Acesso aos Dados. Nesse sentido, você pode alterar ou adicionar colunas de acordo com o seu procedimento.

No entanto, o importante disso tudo, é que mantenha os registros das solicitações para demonstrar a conformidade com a LGPD.

1.5.3 Formulário de Solicitação de Acesso aos Dados

Use este formulário para enviar uma solicitação de acesso aos dados, conforme as disposições da LGPD.

1.6 Controladores e processadores

1.6.1 Política do Contrato do Controlador/Operador da LGPD

Este documento fornece orientação sobre as informações para adicionar em um contrato com finalidade de incluir os requisitos da LGPD.

Primeiramente, na data desta versão do kit LGPD, não há cláusulas contratuais-padrão disponíveis que já aprovou pelo Brasil.

Portanto, deve-se usar as informações com cautela. Ela baseia do que é necessário em nossa compreensão, mas deve revisar por um profissional jurídico qualificado antes de se firmar um contrato.

Contudo, a política compromete em proteger e garantir sua conformidade com toda a legislação relevante, os dados pessoais de seus funcionários, clientes, fornecedores e outras partes interessadas.

Como parte de seus negócios, ela conta com várias organizações terceirizadas para ajudar a fornecer um alto nível de serviço aos seus clientes e também, alcançar novos mercados e cuidar de seus funcionários em uma ampla gama de outras atividades.

Além disso, a Lei Geral de Proteção de Dados (LGPD), prevê obrigações para o controlador de dados pessoais para garantir a proteção desses dados quando eles tratam por terceiros, ou seja, um operador.

Contudo, ao formar um relacionamento controlador/operador, a LGPD é bastante específica sobre o fato de que um acordo contratual deve existir, e que tem de conter informações sobre os dados pessoais envolvidos.

Este documento define as informações que devem ser incluídas nos contratos que envolvem o tratamento de dados pessoais.

Dessa forma, os seguintes documentos são relevantes para este procedimento:

  1. Política de Proteção de Dados;

  2. Procedimento de Avaliação da LGPD do Operador;

  3. Procedimento para transferências internacionais de dados pessoais;

  4. Procedimento de solicitação de acesso aos dados.

1.6.2 Procedimento de Avaliação do Operador da LGPD

Este documento descreve como as avaliações de operadores que armazenam ou tratam dados pessoais se realizam.

A princípio, sua organização tem acesso a informações específicas sobre prestadores de serviços, e certamente, recomendamos que usem para obter uma visão mais completa possível da empresa com a qual você está contratando.

Embora este procedimento seja relevante para todos os fornecedores, é particularmente importante para os serviços em nuvem, armazenar os dados da sua organização de sua rede interna.

O uso de operadores apropriados, seguros e eficazes é fundamental para a conformidade [do (a) Nome da Organização] com a Lei Geral de Proteção de Dados (LGPD). Os operadores não usam apenas para ajudar na administração de uma empresa eficaz, mas, em muitos casos, para fornecer serviços diretamente ao cliente, como no caso de hospedagem na web.

No entanto, outros fornecedores desempenham um papel importante para que atinja seus objetivos, por exemplo, ao atrair visitantes para seu site.

Contudo, os operadores não devem apenas fornecer bons produtos e serviços, mas também fazê-lo de maneira segura, sem colocar em risco os dados pessoais [do (a) Nome da Organização] e de seus clientes.

Este procedimento garante que ações suficientes, se retirem para chegar a conclusão sobre um operador, na condição de que ele está cumprindo suas obrigações conforme a LGPD.

Portanto, os seguintes documentos são relevantes para este procedimento:

  1. Política de Proteção de Dados;

  2. Política do Contrato do Controlador/Operador LGPD;

  3. Procedimento para transferências internacionais de dados pessoais.

1.6.3 Controles de Segurança do Processador LGPD

Este documento descreve os controles de segurança da informação que devem estar vigentes em uma organização que atua como um operador no contexto da LGPD.

A princípio, ele define os níveis gerais de serviços que fornecem pelo operador e prevê o que precisa se adaptar em torno destes serviços e a sua natureza, por exemplo, serviços em nuvem, como laaS, PaaS e SaaS.

A previsão exata das responsabilidades deve estar no contrato de prestação de serviço, onde é específico para cada cliente. Portanto, este documento apenas fornece um ponto de partida para as áreas que precisam abordar. Com isso, você pode fornecer essas informações em seu site ou em resposta a perguntas específicas do cliente.

A ideia deste documento é se seus serviços atendem aos requisitos da LGPD e antecipar os tipos de perguntas que seus clientes podem querer saber com relação a proteção de dados pessoais.

Este documento é um provedor de serviços bem-sucedido com usuários em muitos países e leva muito a sério a proteção dos dados de seus clientes.

Contudo, a fim de fornecer um nível maior de proteção, ele investe em um alto nível de segurança da informação, também adota controles e melhores práticas definidos nos códigos.

Um componente-chave desses controles, é a definição clara da divisão de responsabilidades entre o provedor de serviços e o cliente.

Além disso, é importante lembrar que os controles técnicos, processuais e físicos implementados [pelo (a) Nome da Organização] como parte de seus serviços, sejam compreendidos pelo cliente, para que uma avaliação dos riscos aos seus dados pessoais possa ser feita.

Logo, o objetivo deste documento, é descrever em linhas gerais, os controles que encontram-se em vigor ou que oferecem como opção.

Por outro lado, a computação em nuvem consiste nos seguintes tipos de serviços:

Software como serviço (SaaS) – o fornecimento de um aplicativo hospedado para uso como parte de um processo de negócios. A hospedagem geralmente inclui todos os componentes de suporte para o aplicativo, como hardware, software operacional, bancos de dados e etc.

Plataforma como serviço (PaaS) – hardware e software de suporte, tendo como exemplo o sistema operacional, banco de dados, plataforma de desenvolvimento, servidor da Web etc. No entanto, eles fornecem, mas nenhum aplicativo de negócios

Infraestrutura como serviço (IaaS) – somente fornecem componentes de hardware físicos ou virtuais. Dessa forma, a combinação exata de controles que se aplicam a cada um dos modelos acima, varia de acordo com o escopo acordado dos serviços de tratamento fornecido. Nesse sentido, declara-se dentro do contrato, o início da prestação dos serviços.

1.6.4 Declaração de Conformidade da LGPD

Este documento garante a terceiros que a organização está em conformidade com a LGPD.

Antes de tudo, fornece esta declaração em várias partes, onde inclui clientes, controladores para os quais tratamos dados pessoais e, se possível, publicar no site. O conteúdo desta declaração é mencionar o cumprimento das obrigações legais. No entanto, pode haver áreas que você ainda não concluiu e neste caso, deve declarar, em que diz que o trabalho continua.

1.6.5 Carta LGPD para os Operadores

Esta carta destina-se a enviar para organizações que você usa como operador para confirmar sua conformidade com a LGPD.

Como parte da LGPD, você também deve ter um contrato com cada um de seus operadores, portanto, esta carta deve ser suplementar a isso.

Do mesmo modo, o contrato é a proteção do controlador de muitas maneiras, de uma forma que é priorizado em relação às respostas a essa carta. Mas, ela pode ajudar a destacar áreas de risco, especialmente se categorias especiais de dados estiverem envolvidas.

Note que esta carta pretende ser uma confirmação final, não como um exercício de coleta de dados. Portanto, use a Avaliação do Operador LGPD como uma ferramenta para a descoberta inicial de fatos.

1.6.6 Planilha Ferramenta de Revisão de Contrato LGPD

Use essa planilha para rastrear quais contratos existentes são compatíveis com a LGPD, e os que ainda precisam de alterações.

Em outras palavras, você precisa revisar todos os contratos existentes que representam um relacionamento de controlador e operador, para garantir que as cláusulas e os termos necessários sejam incluídos neles.

Esta planilha ajuda a identificar seus contratos verificados quanto à conformidade, e acompanhar as alterações até a conclusão. Dessa forma, é importante observar que todos os novos contratos devem, por padrão, incluir as cláusulas e termos exigidos.

1.6.7 Contrato de Confidencialidade do Funcionário

Conforme exigido pela LGPD, o Contrato de Confidencialidade do Funcionário ajuda a garantir a proteção de dados pessoais.

Todavia, este documento tem potenciais legais e, você precisa garantir que ele esteja em conformidade com os requisitos relevantes em seu país.

Para divulgações menores, este modelo pode ser suficiente. Portanto, se você compartilhar dados pessoais muito sensíveis, recomenda-se que você obtenha aconselhamento jurídico específico para as circunstâncias individuais, a fim de garantir que o acordo seja executável, se necessário.

1.6.8 Lista de Verificação de Conformidade com a LGPD

Este documento funciona como uma lista de verificação resumida para os preparativos da LGPD.

Inevitavelmente, esta lista de verificação é de alto nível e pode haver ações adicionais necessárias para garantir que você esteja pronto para a LGPD. Use esta lista de verificação em conjunto com o seu plano de projeto para garantir que todas as áreas sejam cobertas. Para uma análise mais completa, reveja sua avaliação das lacunas da LGPD para identificar as coisas que talvez ainda seja necessário esclarecer ou investigar.

1.6.9 Contrato de Tratamento de Dados

Este modelo é um ponto de partida para um acordo entre um controlador e um operador que contém os requisitos da LGPD.

Antes de tudo, na data desta versão do kit LGPD, não há clausulas contratuais-padrão disponíveis, que aprovaram pelo Brasil.

Portanto, deve-se usar com cautela, as informações que fornecem neste documento. Baseia-se em nossa compreensão, mas tem de revisar por um profissional jurídico qualificado antes de se firmar um contrato.

É importante lembrar que a lei dos contratos varia significativamente de país para país, de modo que, o que é aceitável em um país, pode não ser para outro. Por outro lado, usa-se este acordo como um contrato independente (caso em que pode haver cláusulas adicionais que precisam adicionar de acordo com a lei do seu país sobre contratos) ou (mais provável) como um adendo a um acordo existente para a prestação de serviços.

1.6.10 Acordo do Sub Processador

Esta forma é um ponto de partida para um acordo entre um processador e um sub processador para cobrir os requisitos da LGPD.

Na data desta versão do kit, LGPD, não há cláusulas contratuais padrão disponíveis que aprovaram pelo Brasil. Portanto, as informações que fornecem neste documento, devem se usar com cautela.

Todavia, baseia-se em nossa compreensão, mas tem de revisar por um profissional jurídico qualificado antes de se firmar um contrato.

Note também que a lei dos contratos varia significativamente de país para país, de modo que o que é aceitável em um país pode não estar em outro.

Usa-se este acordo como um contrato independente (caso em que pode haver cláusulas adicionais que adicionam de acordo com a lei de seu país sobre contratos) ou (mais provável) como um adendo a um acordo existente para a prestação de serviços. Além disso, é importante observar que o Controlador não faz parte deste contrato

Nesse sentido, deve haver um contrato separado entre o Controlador e o Processador, para cobrir o processamento dos dados pessoais envolvidos.

1.7 Avaliação de impacto na proteção de dados

1.7.1 Processo de Avaliação de Impacto da Proteção de Dados

O Processo de Avaliação de Impacto de Proteção de Dados documenta como as avaliações ao tratamento de dados pessoais se realizam, e os riscos referentes aos direitos e liberdades dos titulares de dados.

Em primeiro lugar, a abrangência da avaliação do impacto da proteção de dados, depende do tamanho do projeto, da quantidade e do tipo de dados pessoais envolvidos.

Para as primeiras avaliações, pode ser necessária a intervenção de um responsável pela proteção de dados (se tiver), e a autoridade fiscalizadora para garantir que você esteja atualizado com as orientações atuais.

Apesar disso, é importante notar que os riscos que abordam neste processo são aqueles para os direitos e liberdades do sujeito dos dados, e não para a organização do tratamento.

Contudo, ela está totalmente comprometida em proteger os dados pessoais de seus clientes, funcionários, fornecedores e outras partes interessadas, de acordo com os requisitos da LGPD.

Levamos a privacidade dos dados pessoais muito a sério, onde incluímos uma variedade de métodos e controles para garantir quais dados que coletam e armazenam.

Por outro lado, garante que as atividades e projetos de negócios que envolvem o uso de dados pessoais, estão sujeitos a uma avaliação de impacto de proteção de dados (“Avaliação do Impacto na Privacidade).

O objetivo da avaliação, é garantir que a nossa utilização de dados pessoais compreenda os riscos para os direitos e liberdades dos titulares e que examinem cuidadosamente.

Por fim, este documento define nosso processo para realizar uma avaliação de impacto de proteção de dados e, em conjunto com os formulários e orientações, deve-se usar para garantir que cumprem nossas obrigações e políticas.

Definições

As seguintes definições de termos usados neste documento, são retiradas da LGPD:

‘dados pessoais’ informação relacionada a pessoa natural identificada ou identificável (“titular dos dados”); uma pessoa singular identificável é aquela que pode ser identificada, direta ou indiretamente, por uma informação como um nome, um número de identificação, dados de localização ou fatores específicos como físico, biológico, identidade genética, mental, econômica, cultural ou social;

‘tratamento’ toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, tratamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

‘controlador’ pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; sendo que os propósitos e meios desse tratamento são determinados pela legislação, pelo responsável pelo tratamento ou por critérios específicos;

‘Operador’ pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

1.7.2 Relatório da Avaliação de Impacto da Proteção de Dados

O relatório da avaliação de impacto de proteção de dados documenta os resultados de uma avaliação que realiza para um projeto específico.

A avaliação pode começar com os dados pessoais que a organização possui, ou com a identificação direta de cenários de risco. Mas, de qualquer forma, é importante compreender e documentar antes de iniciar a avaliação os dados pessoais.

A ideia é identificar os riscos para os direitos e liberdades dos titulares de dados e prever medidas para diminui-los, quer isso implique em reduzir a probabilidade de ocorrência de um evento de segurança ou reduzir o impacto, caso ocorra. As ações específicas definem em um plano de tratamento de risco.

É adequado vincular a avaliação do risco com o tratamento correspondente, resultando em uma grande planilha. Seja qual for a forma como você decide fazê-lo, você deve mostrar um fluxo claro dos dados pessoais existentes, os riscos e a opção de tratamento ou controle selecionado.

O objetivo deste relatório é apresentar os resultados de uma avaliação de impacto de proteção de dados realizado de [data] a [data]. O principal objetivo da avaliação foi verificar os riscos para os direitos e liberdades dos titulares em relação aos dados pessoais coletados e tratados [pelo (a) Nome da Organização], e identificar quais deles poderiam ser aceitos e quais necessitam de alguma atuação da organização.

Quando aprova este relatório, ele gerencia até a sua conclusão a implementação das ações específicas nele descritas. O processo utilizado para esta avaliação está estabelecido no documento Processo de Avaliação de Impacto de Proteção de Dados.

Este relatório descreve:

  1. as operações de tratamento e os dados pessoais envolvidos;

  2. a finalidade do tratamento, incluindo, quando aplicável, o interesse legítimo do responsável pelo tratamento dos dados pessoais, conforme definido pela LGPD;

  3. uma avaliação da necessidade e proporcionalidade do tratamento;

  4. os resultados da avaliação dos riscos para os direitos e liberdades dos titulares dos dados;

  5. se recomenda cada risco para aceitação ou correção;

  6. prioridade de riscos para correção;

  7. responsável do risco;

  8. opções de correção recomendadas;

  9. implementa controle(s);

  10. responsabilidade pelas ações identificadas;

  11. cronogramas para ações;

  12. níveis de risco residual após os controles terem sido implementados.

1.7.3 Manual de Avaliação de Impacto da Proteção de Dados

Usa-se este documento para realizar uma avaliação de impacto da proteção de dados, onde inclui a avaliação dos efeitos esperados das correções aplicadas.

O objetivo principal da avaliação de impacto da proteção de dados, é garantir que identifiquem todos os riscos aos dados pessoais que precisam de correção, para que algo possa ser feito a respeito deles. Tenha cuidado para não tornar sua avaliação muito grande ou complicada, pois pode perder o impacto.

Este planilhamento, também destina-se a usar para avaliar os efeitos das correções propostas, de modo que o nível de risco residual possa mostrar.

1.7.4 Questionário de Avaliação de Impacto de Proteção de Dados

Este formulário deve-se usar para registrar as principais informações sobre uma avaliação de impacto de proteção de dados.

1.8 Transferências

1.8.1 Procedimento para Transferências de Dados Pessoais

Este procedimento define como a organização atenderá os requisitos da LGPD ao transferir dados pessoais para países terceiros ou para uma organização internacional.

Portanto, existem vários requisitos que cumprem para garantir que permaneçam dentro da legalidade. Isso afeta pela política internacional e se muda com o tempo.

Apesar disso, é importante estar atento ao que a autoridade fiscalizadora publica, tanto da lista de países aceitáveis, com as orientações úteis sobre regras corporativas de transferência de dados.

Utiliza este procedimento quando se estabelece um novo acordo para a transferência de dados pessoais para um país de fora, ou para uma organização internacional. Além disso, usa-se para validar as disposições existentes que atendem aos requisitos da Lei Geral de Proteção de Dados (LGPD).

Define-se uma organização de cunha internacional como: a organização e seus órgãos subordinados regidos pelo direito internacional público, ou qualquer outro órgão que estabelece por um acordo entre dois ou mais países.

Em outras palavras, a intenção da LGPD é proteger os dados pessoais dos cidadão brasileiros.

Existem requisitos rigorosos que determinam para onde os dados pessoais se transferem, e as medidas que devem estar em vigor para a transferência legal. As penalidades por infringir a LGPD são significativas e deve tomar os devidos cuidados para garantir a conformidade com a lei.

Portanto, deve-se ler este procedimento com os seguintes documentos:

  1. Política do Contrato do Controlador na LGPD;

  2. Processo de Avaliação de Impacto de Proteção de Dados;

  3. Política de Retenção e Proteção de Registros;

  4. Política de Proteção de Dados;

  5. Procedimento de Solicitação de Assunto de Dados.

1.9 Gerenciamento de Violação de Dados Pessoais

1.9.1 Procedimento de Incidente de Segurança da Informação

O procedimento de resposta ao incidente de segurança da informação, estabelece inicialmente, em detalhes, como a organização reagirá (que pode ou não afetar os dados pessoais) e o gerenciará daqui para frente. Além disso, usa-se no momento em que ocorre um incidente.

Em outras palavras, no caso de um incidente, você precisará definir um responsável na estrutura de resposta, para que a pessoa certa esteja disponível.

Os procedimentos que contém neste documento, precisam ser claros e concisos, pois podem utilizar em momentos de grande interesse para as pessoas envolvidas. No entanto, é útil ter parcerias com terceiros, como investigadores forenses.

Além disso, tente sempre ter um “Plano B” para cada procedimento, como substitutos para os responsáveis, acesso a documentos e recursos críticos.

Este documento destina-se a ser usado quando ocorrer algum tipo de incidente que afete a segurança da informação [do (a) Nome da Organização]. Além do mais, garante uma resposta rápida, eficaz e ordenada a uma violação de segurança da informação.

Os procedimentos descritos neste documentos usam-se apenas como orientação para resposta a um incidente. A natureza exata de um incidente e seu impacto não podem ser previstos com certezas, e portanto, é importante usar o bom senso ao decidir as ações.

No entanto, pretende-se que apresentem as estruturas para permitir que as ações corretas apreendam mais rapidamente e com base em informações precisas.

Logo, os objetivos deste procedimento de resposta a incidentes são:

  1. fornece uma visão geral e concisa de como responderá a um incidente;

  2. definir quem responderá a um incidente e suas funções e responsabilidades;

  3. descrever as instalações que irão ajudar na gestão do incidente;

  4. definir como tomam as decisões com relação à nossa resposta a um incidente;

  5. explicar como será a comunicação dentro da organização e com partes externas;

  6. fornecer detalhes de contato para pessoas chave e agências externas.

Lembrando que todos os membros da equipe mencionados neste documento receberão uma cópia deste, que deverá ficar disponível sempre que necessário.

Apesar disso, verificam e atualizam os detalhes do contrato pelo menos três vezes por ano. As alterações do contrato ou de outros detalhes relevantes que ocorrem, comunicam o mais breve possível.

Todas as informações pessoais que coleta como parte do procedimento de respostas a incidentes, usam-se exclusivamente para fins de gerenciamento de incidentes de segurança da informação e que também, estão sujeitas à legislação de proteção de dados.

1.9.2 Procedimento de Notificação de Violação de Dados Pessoais

Este procedimento define como a organização que atua como controladora atenderá, no mínimo, aos requisitos de notificação da LGPD em caso de violação de dados pessoais.

Em primeiro lugar, a LGPD determina que deve haver a informação à autoridade supervisora, nos casos em que ocorra uma violação e as condições que atendem, se a notificação aos titulares dos dados for necessária.

É importante entender esses requisitos e ser capaz de tomar decisões em relação à notificação, em que não apenas cumprem a LGPD, mas que também atendem às necessidades e aspirações éticas e comerciais da organização.

Observe que esse procedimento se aplica principalmente à situação, em que a organização é uma controladora dos dados pessoais. Se a organização for um processador, uma das principais obrigações é informar o controlador de dados para que eles possam cumprir suas obrigações em relação à notificação de violação.

A princípio, usa-se este procedimento quando ocorre algum tipo de incidente que resultou, ou que deu em perda de dados pessoais.

Este documento deve ser usado em conjunto com o Procedimento de Resposta a Incidente de Segurança da Informação, que descreve o processo geral de reação a um incidente que afeta a segurança da informação [do (a) Nome da Organização].

No entanto, é uma exigência da Lei Geral de Proteção de Dados (LGDP) que, incidentes que afetam dados pessoais na qual possam resultar em risco aos direitos e liberdades dos titulares, sejam reportados à autoridade supervisora de proteção de dados sem atraso e, quando viável, ir imediatamente tomar conhecimento.

No caso de não ser feita a comunicação imediata, deve-se esclarecer as razões para o atraso.

Na situação em que estamos atuando como um processador, existe a obrigação de informar o(s) controlador(es) dos dados pessoais sobre a violação.

Apesar disso, quando um incidente afeta dados pessoais, deve-se tomar uma decisão sobre a extensão, o tempo e o conteúdo da comunicação com os titulares dos dados.

Se a violação for suscetível de resultar em “um alto risco para os direitos e liberdades dos titulares”, a LGPD exige que a comunicação ocorra “imediatamente”.

No entanto, as ações descritas neste documento, devem-se usar apenas como orientação para resposta a um incidente. Além disso, a natureza exata de um acontecimento e seu impacto nem sempre é possível prever. Portanto, é importante usar o bom senso ao decidir o que fazer.

Contudo, pretende-se que os passos descritos aqui sejam úteis para garantir as nossas obrigações no âmbito do LGPD.

Dessa forma, deve-se ler em conjunto este procedimento, com os seguintes documentos relacionados:

  1. Procedimento de Resposta a Incidentes de Segurança da Informação;

  2. Política do Contrato do Controlador;

  3. Processo de Avaliação de Impacto de Proteção de Dados;

  4. Política de Retenção e Proteção de Registros;

  5. Política de Proteção de Dados.

1.9.3 Planilha Registro de Violação de Dados Pessoais

Este documento registra os detalhes de cada violação de dados pessoais dentro da organização.

A princípio, é um requisito da LGPD que registram todas as violações de dados pessoais para que a conformidade possa verificar pela autoridade supervisora. Todavia, informações adicionais sobre a violação também apontam como parte do procedimento de resposta a incidentes. Além disso, este documento encontra-se visto principalmente como um resumo do que aconteceu e das ações que tomaram para solucionar a violação.

1.9.4 Carta de Notificação de Violação aos Sujeitos dos Dados

Caso ocorra uma violação, envie esta carta aos titulares de dados, garantindo uma informação aos interessados.

Por outro lado, existem itens específicos de informações que a LGPD exige em que você inclua na carta dos titulares de dados. Contudo, você pode decidir colocar elementos adicionais que possam ser úteis, para deixar algo difícil, um pouco melhor.

1.10 Políticas de Segurança da Informação

1.10.1 Política de Segurança da Informação

A Política de Segurança da Informação é o documento pelo qual a organização se compromete a garantir a segurança de uma forma mais adequada.

Como demonstração do seu compromisso, deve aprovar a política de segurança da informação pela alta direção.

Nesse sentido, você deve garantir que esta política, e quaisquer outras, comunique a todos os responsáveis, e que eles entendam o seu conteúdo. No entanto, é importante demonstrar essa comunicação, como por exemplo, via atas de reunião. O convite, como perguntas e respostas durante essa reunião, mostrará evidências de compreensão.

Além disso, se você tiver disponível, recomenda-se que disponibiliza o documento pela internet ou por qualquer outro meio apropriado.

Este documento define a política de segurança da informação [do (a) Nome da Organização].

Como uma empresa moderna e voltada para o futuro, reconhece a necessidade de garantir que seus negócios operem sem problemas e interrupções, para o benefício de seus clientes e outras partes interessadas.

Além disso, para fornecer tal nível de operação contínua, implementou um conjunto de controles de segurança da informação para tratar os riscos identificados.

Dessa forma, segurança da informação tem muitos benefícios para o negócio, incluindo:

  1. Proteção de fluxos de receita e lucratividade da empresa;

  2. Garantir o fornecimento de bens e serviços aos clientes;

  3. Manutenção e aprimoramento do valor do negócio;

  4. Cumprimento dos requisitos legais e regulamentares.

Apesar disso, esta política se aplica a todos as operações, pessoas e processos que constituem os sistemas de informações da organização, incluindo membros do conselho, diretores, funcionários, fornecedores e outros terceiros que têm acesso aos sistemas.

Assim, os documentos de suporte a seguir são relevantes para esta política de segurança da informação e fornecem esclarecimentos adicionais sobre como se aplica:

  1. Política de Computação em Nuvem;

  2. Política de Dispositivos Móveis;

  3. Política de Controle de Acesso;

  4. Política Criptográfica;

  5. Política de Segurança Física;

  6. Política Antimalware;

  7. Política de Segurança de Rede;

  8. Política de Mensagens Eletrônicas;

  9. Política de Proteção de Dados.

1.10.2 Política de Dispositivos Móveis

Este documento define a política da organização em relação a dispositivos móveis, incluindo o TSPD (Traga seu próprio dispositivo).

Primeiramente, essa política fornece a todos os funcionários e outras partes interessadas que usam dispositivos móveis pela organização ou que desejam usar. Além disso, talvez seja necessário alterá-lo com base na atitude da sua organização em relação ao TSPD.

Também pode ser necessário adicionar mais detalhes a este documento, dependendo do seu ambiente técnico. Apesar disso, você também vai precisar atualizá-lo conforme os avanços da tecnologia.

A computação móvel é uma parte cada vez maior da vida cotidiana, à medida que os dispositivos se tornam menores e mais poderosos. No entanto, à medida que as capacidades aumentam, os riscos também aumentam. Os controles de segurança que evoluíram para proteger o ambiente de trabalho estático, ignoram quando se usa um dispositivo móvel além dos limites dos escritórios.

Portanto, dispositivos móveis incluem itens como:

  1. Laptops;

  2. Tablets;

  3. Smartphones;

  4. Relógios inteligentes.

Além disso, o objetivo desta política é definir os controles que devem estar em vigor ao usar dispositivos móveis. Destina-se a conter os seguintes riscos:

  1. Perda ou roubo de dispositivos móveis, incluindo os dados neles;

  2. Introdução de vírus e malwares para a rede;

  3. Perda da reputação.

Todavia, é importante lembrar que para estabelecer nesta política, é observar em todos os momentos, inclusive no uso e transporte de dispositivos móveis.

Esta política se aplica a todos as operações, pessoas e processos que constituem os sistemas de informações da organização, incluindo membros do conselho, diretores, funcionários, fornecedores e outros terceiros que têm acesso aos sistemas.

As políticas e procedimentos a seguir são relevantes para este documento:

  1. Política de Controle de Acesso;

  2. Política Criptográfica.

1.10.3 Política de Controle de Acesso

A Política de Controle de Acesso é um documento abrangente que define como o acesso a sistemas e informações será gerenciado.

Além disso, talvez seja necessário adicionar mais detalhes a este documento, dependendo do seu ambiente técnico.

O controle de acesso aos nossos ativos de informação é a parte fundamental da estratégia de defesa para a segurança da informação. Se quisermos proteger efetivamente a confidencialidade, a integridade e a disponibilidade de dados confidenciais, devemos garantir que haja uma combinação abrangente de controles.

No entanto, a política de controle de acesso deve garantir que as medidas se adequam a proteção e não sejam desnecessariamente rigorosas. A política, portanto, deve se basear em um entendimento claro dos requisitos do negócio.

Em suma, esses requisitos podem depender de fatores como:

  1. A classificação de segurança das informações armazenadas e tratadas por um determinado sistema ou serviço;

  2. Legislação relevante que pode aplicar, por ex. a LGPD;

  3. Obrigações contratuais com terceiros externos;

  4. As ameaças, vulnerabilidades e riscos envolvidos;

  5. A preferência da organização com relação ao risco.

Em outras palavras, projeta essa política de controle de acesso para levar em conta os requisitos de segurança dos negócios e informações da organização, e ainda, está sujeita a revisão regular para garantir que ela permaneça apropriada.

Esse controle se aplica a todos as operações, pessoas e processos que constituem os sistemas de informações da organização, incluindo membros do conselho, diretores, funcionários, fornecedores e outros terceiros que têm acesso aos sistemas.

Assim, as políticas e procedimentos a seguir são relevantes para este documento:

  1. Política de Dispositivos Móveis;

  2. Política de Segurança de Rede;

  3. Política de Computação em Nuvem.

1.10.4 Política Criptográfica

Este documento define a política da organização com relação ao uso e gerenciamento de controles criptográficos.

Primeiramente, a criptografia pode ser uma área muito complexa e você precisa garantir que sua política cobre os aspectos técnicos específicos da sua organização. Lançam regularmente pelos fornecedores novos dispositivos e técnicas, e sua política se atualiza à medida que métodos mais eficazes entrem em uso de seu ambiente.

Além disso, você também precisa garantir que o uso da criptografia permaneça dentro dos limites legais.

Um componente chave no conjunto de controles disponíveis, para que as organizações protegem suas informações, é o uso de técnicas criptográficas para “embaralhar” dados, de modo que não acessem sem o conhecimento de uma chave.

Além disso, usam controles criptográficos para alcançar vários objetos relacionados à segurança da informação, que inclui:

  1. Confidencialidade – garantindo que as informações não possam ser lidas por pessoas não autorizadas;

  2. Integridade – provando que os dados não foram alterados em trânsito ou no armazenamento;

  3. Não-repúdio – demonstra se um evento ocorreu ou não ou que enviou uma mensagem por um indivíduo.

A necessidade de controles criptográficos será destacada na avaliação de risco [do(a) Nome da Organização] e obviamente não será aplicável em todos os casos. No entanto, quando seu uso puder fornecer o nível de proteção, ele deve se aplicar de acordo com as disposições estabelecidas nesta política.

Nesse sentido, o controle se aplica a todos as operações, pessoas e processos que constituem os sistemas de informações da organização, incluindo membros do conselho, diretores, funcionários, fornecedores e outros terceiros que têm acesso aos sistemas.

Portanto, as políticas e procedimentos a seguir são relevantes para este documento:

  1. Política de Aceitação pelo Usuário;

  2. Política de Dispositivos Móveis;

  3. Política de Segurança de Rede.

1.10.5 Política de Segurança Física

Este documento define a política da organização com relação aos controles usados para garantir a segurança física de seus edifícios, escritórios etc.

Antes de tudo, segurança física é um dos aspectos mais visíveis da segurança da informação. No entanto, muitas vezes, é muito fácil obter acesso a um prédio ou local de armazenamento.

Em outras palavras, não presuma que o provedor de serviços de segurança seja suficiente. Observe atentamente as necessidades específicas de sua organização e esteja preparado para implementar controles adicionais, se necessário.

Além disso, não se esqueça de que o treinamento e a conscientização é uma parte fundamental da segurança física, para garantir que os controles de procedimentos se ergam e que não contornem facilmente os controles físicos, como por exemplo, através do tailgating.

A proteção do ambiente físico é uma das tarefas mais óbvias e mais importantes, na área de segurança da informação. No entanto, falta de controle de acesso físico pode desfazer precauções técnicas mais cuidadosas e potencialmente colocar vidas em risco.

Contudo, ela está comprometida em garantir a segurança de seus funcionários, contratados e ativos. Esta política define as principais precauções que devem tomar e, juntamente com o suporte documentado, forma uma parte significativa do nosso conjunto de controle de segurança da informação.

Além disso, esse controle se aplica a todos as operações, pessoas e processos que constituem os sistemas de informações da organização, incluindo membros do conselho, diretores, funcionários, fornecedores e outros terceiros que têm acesso aos sistemas.

As políticas e procedimentos a seguir são relevantes para este documento: Política de Dispositivos Móveis.

1.10.6 Política Anti-Malware

Este documento define a política da organização em relação à proteção contra software mal-intencionado.

A princípio, este documento define os principais pontos de uma estratégia de “defesa em profundidade” para proteger a organização contra malware. Portanto, se houver algum controle que não se apropria para o seu ambiente, você deve removê-lo deste documento.

A ameaça representada pelo malware nunca foi tão séria como atualmente. Os sistemas e usuários estão sob constante bombardeio de tentativas de contornar a segurança, a fim de obter algum tipo de ganho ou interromper o funcionamento normal da organização.

Logo, essa ameaça pode vir de várias fontes, incluindo:

  1. Gangues organizadas que tentam roubar dinheiro ou cometer chantagem;

  2. Organizações concorrentes tentando obter informações confidenciais;

  3. Grupos politicamente motivados;

  4. Funcionários desonestos dentro da organização;

  5. Unidades de “guerra cibernética” patrocinadas por outros locais;

  6. Indivíduos com curiosidade ou testando suas habilidades.

Em outras palavras, seja em qual fonte, o resultado de uma violação de segurança bem-sucedida é a que organização e seus interessados são afetados, podendo até causar dano.

Além disso, uma das principais ferramentas usadas por esses invasores é o malware, e é essencial que sejam tomadas precauções efetivas [pelo (a) Nome da Organização] para se proteger contra essa ameaça.

Portanto, este documento define a política da organização em relação à defesa contra malware. Seu público-alvo é o pessoal de gerenciamento, suporte de TI e segurança da informação que implementará e manterá as defesas da organização. As informações e conselhos relacionados a malware para usuários estão incluídos nos documentos de políticas referenciados abaixo.

Esse controle se aplica a todos as operações, pessoas e processos que constituem os sistemas de informações da organização, incluindo membros do conselho, diretores, funcionários, fornecedores e outros terceiros que têm acesso aos sistemas.

As políticas e procedimentos a seguir são relevantes para este documento:

  1. Política de Dispositivos Móveis;

  2. Política de Aceitação pelo Usuário;

  3. Política de Mensagens Eletrônicas;

  4. Procedimento de Resposta a Incidentes de Segurança da Informação.

1.10.7 Política de Segurança de Rede

Este documento descreve a política da organização sobre como as redes estabelecem, de que modo protegem e gerenciam.

Acima de tudo, este documento destina a documentar os princípios que utilizam na concepção e implementação da segurança da rede. No entanto, existem muitas maneiras diferentes de estabelecer redes e você vai precisar adaptar essa política para sua estrutura, afim de fornecer confidencialidade, integridade e disponibilidade à sua organização.

O uso de redes é uma parte essencial dos negócios do dia a dia [do (a) Nome da Organização]. As redes não apenas conectam, internamente, mas também vincula a organização a seus fornecedores, clientes, partes interessadas e ao mundo externo.

Apesar disso, as redes da organização evoluíram ao longo período de tempo para se tornar um sistema circulatório da empresa, em que transporta as informações para onde precisam ir e que permitem os negócios a realizarem de uma forma eficaz.

Mas o fato de tantas informações percorrerem em nossas redes, torna um alvo para aqueles que tentam roubar essas informações e atrapalhar nossos negócios. Portanto, essas redes precisam proteger para garantir que a confidencialidade, integridade e disponibilidade das nossas informações se garantem a todo momento.

Contudo, a proteção efetiva de nossas redes exige que adotemos boas práticas de segurança da informação e garantimos que todos os envolvidos sigam essas práticas.

Essa política define as regras e os padrões que se dá para proteção da rede e atua como um guia para aqueles que criam e mantêm nossa infraestrutura de TI. Seu público-alvo é o pessoal de gerenciamento, suporte de TI e segurança da informação que implementará e manterá as defesas da organização.

Como um provedor de serviços de nuvem (PSN), essa política também se aplica aos métodos usados para projetar, criar as redes físicas e virtuais para fornecer serviços a nossos clientes na nuvem.

Esse controle se aplica a todos as operações, pessoas e processos que constituem os sistemas de informações da organização, incluindo membros do conselho, diretores, funcionários, fornecedores e outros terceiros que têm acesso aos sistemas.

Logo, as políticas e procedimentos a seguir são relevantes para este documento:

  1. Política de dispositivos móveis;

  2. Política antimalware.

1.10.8 Política de Mensagens Eletrônicas

Este documento define as responsabilidades do funcionário em relação ao uso de mensagens eletrônicas, incluindo e-mail.

Considera o uso apropriado e seguro de mensagens eletrônicas, uma área importante como parte do seu regime de segurança da informação. No entanto, essa política fornece a todos os funcionários ao ingressar na organização e ter acesso à(s) conta(s) de mensagens eletrônicas pela primeira vez.

Além disso, as mensagens eletrônicas abrangem e-mails e também várias formas de mensagens instantâneas, de armazenamento e encaminhamento, como mensagens de texto, aplicativos de mensagens, chats na Web e recursos de mensagens nas plataformas de mídia social.

Ainda assim, as mensagens eletrônicas agora se tornaram uma ferramenta comercial necessária para a comunicação interna, e com clientes e fornecedores. No entanto, devido à sua flexibilidade e disponibilidade geral, o uso de mensagens eletrônicas traz consigo uma série de riscos significativos, e todos os usuários devem permanecer vigilantes, adotando boas práticas ao enviar e receber mensagens.

Contudo, as mensagens eletrônicas abrangem e-mails e também várias formas de mensagens instantâneas, de armazenamento e encaminhamento, como mensagens de texto, aplicativos de mensagens, chats na web e recursos de mensagens nas plataformas de mídia social.

Este documento de política informa como você pode usar os recursos de mensagens eletrônicas fornecidos [pelo (a) Nome da Organização], incluindo o que você deve e não deve fazer. Portanto, aplica-se a todas as utilizações destas instalações, independentemente do meio ou localização.

Se você não entender as implicações desta política ou como ela pode se aplicar a você, você deve abordar seu supervisor.

Esse controle se aplica a todos as operações, pessoas e processos que constituem os sistemas de informações da organização, incluindo membros do conselho, diretores, funcionários, fornecedores e outros terceiros que têm acesso aos sistemas.

Em suma, as políticas e procedimentos a seguir são relevantes para este documento:

  1. Política de Aceitação pelo Usuário.

1.10.9 Política de Computação em Nuvem

Este documento descreve como os serviços fornecem por terceiros que monitoram e revisam.

Primeiramente, a computação em nuvem agora está em uso geral e apresenta seus próprios desafios específicos. A chave é garantir que você esteja mantendo o controle e a diligência suficientes sobre a seleção e o uso de serviços em nuvem para que os dados não sejam expostos a riscos inaceitáveis.

Muitas das outras políticas que controlam aspectos como controle de acesso e backups, também se aplicam aos serviços em nuvem, e isso se torna ainda mais importante quando os dados armazenam fora de sua rede interna.

O objetivo deste documento é definir a política da organização na área de computação em nuvem.

No entanto, ele faz uso extensivo de serviços de computação em nuvem em seus principais sistemas de negócios. A natureza desses serviços é que armazenam os dados fora da rede interna, e também estão sujeitos a acesso e gerenciamento por terceiros.

Além disso, muitos serviços em nuvem oferecem em uma base de múltiplas concessões, na qual a infraestrutura compartilha entre vários clientes do Provedor de Serviços em Nuvem (PSN), em que torna a segregação eficiente e segura um requisito essencial.

Portanto, é essencial que estabeleça as regras para a seleção e o gerenciamento dos serviços de computação em nuvem, de modo que os dados protejam de acordo com seu valor comercial e classificação.

A computação em nuvem é geralmente aceita para os seguintes tipos de serviços:

Software como serviço (SaaS) – o fornecimento de um aplicativo hospedado para uso como parte de um processo de negócios. A hospedagem geralmente inclui todos os componentes de suporte para o aplicativo, como hardware, software operacional, bancos de dados etc.

Plataforma como serviço (PaaS) – hardware e software de suporte, como sistema operacional, banco de dados, plataforma de desenvolvimento, servidor da web etc. No entanto, eles fornecem, mas nenhum aplicativo de negócios

Infraestrutura como serviço (IaaS) – somente fornecem os componentes de hardware físico ou virtual. Esta política se aplica ao uso de todos os tipos de serviços de computação em nuvem e é particularmente relevante quando armazenam os dados.

1.10.10 Política de Aceitação pelo Usuário

Este documento define as responsabilidades do funcionário pelo uso das informações e dos ativos da organização.

Antes de tudo, este é efetivamente um resumo de vários outros documentos, porém ele solicita uma assinatura. Contudo, em muitas organizações, a política de uso aceitável assinada é necessária antes que o funcionário tenha acesso aos sistemas de TI.

Lembre-se de que, se você alterar alguma das políticas de suporte, talvez seja necessário atualizar este documento.

Ele leva o assunto da segurança da informação muito a sério. Temos o dever de proteger as informações que coletamos e usamos para o benefício da organização e de seus clientes. Como funcionário, espera-se que você cumpra integralmente todas as políticas de segurança da informação em vigor e que denuncie quaisquer violações dessas políticas das quais possa ter conhecimento.

Este documento fornece um resumo dos principais pontos das políticas relevantes e pede que você assine para dizer que leu e compreende suas disposições.

Além disso, qualquer pessoa que violar a política de segurança das informações pode estar sujeita a ações disciplinares. Se um delito tiver sido cometido, outras medidas podem ser tomadas para auxiliar na acusação do(s) infrator(es).

Se você não entende as implicações desta política ou como ela pode se aplicar a você, por favor, busque orientação de seu gerente imediato.

Esse controle se aplica a todos as operações, pessoas e processos que constituem os sistemas de informações da organização, incluindo membros do conselho, diretores, funcionários, fornecedores e outros terceiros que têm acesso aos sistemas.

Dessa forma, as políticas e procedimentos a seguir são relevantes para este documento:

  1. Política de Segurança da Informação;

  2. Política de Mensagens Eletrônicas;

  3. Política de Dispositivos Móveis;

  4. Política de Proteção de Dados;

  5. Política de Computação em Nuvem;

  6. Política de Controle de Acesso;

  7. Política Antimalware;

  8. Procedimento de Resposta a Incidentes de Segurança da Informação.

64 visualizações0 comentário