Notícias LGPD

 

O Consentimento no tratamento de dados pessoais

  • Nenhum

De acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD), todas as operações de tratamento de dados pessoais realizadas pelas cooperativas devem estar fundamentadas em uma das hipóteses de tratamento de dados pessoais previstas na legislação. Elas constituem os pilares que legitimam o tratamento de dados pessoais, sendo imprescindível indicar uma delas para cada finalidade existente nas atividades que envolvam dados pessoais.

Por exemplo, se a cooperativa necessita utilizar dados pessoais para cumprir um contrato, a hipótese mais adequada é a da Execução de Contrato. Já quando o tratamento de dados é obrigatório para atender, por exemplo, uma legislação municipal, estadual ou federal, a justificativa do tratamento será o Cumprimento de Obrigação Legal ou Regulatória. Para saber mais sobre o tema, confira o nosso conteúdo LGPD | Bases Legais.

Entre as hipóteses de tratamento disponíveis, o consentimento é uma das mais conhecidas. No entanto, o seu uso deve ser reservado a situações específicas e adequadas.

Afinal, quando utilizar o consentimento para justificar o tratamento de dados pessoais na cooperativa?

Embora não haja hierarquia entre as hipóteses de tratamento, o consentimento deve ser considerado uma das últimas opções entre as disponíveis devido a algumas dificuldades que ela pode introduzir. No entanto, ela pode ser utilizada em casos como:

  • Uso de imagem: fotografias em eventos ou publicações institucionais envolvendo o titular, seja ele cooperado, colaborador ou terceiro sem vínculo com a cooperativa.
  • Personalização de serviços online: A coleta de dados de navegação e cookies não essenciais, usados para análise comportamental ou personalização de anúncios e funcionalidades, requer a concordância do usuário.
  • Contato para marketing: contato por e-mail e/ou telefone, só podem ser utilizados para ofertar produtos ou serviços da cooperativa mediante a anuência do titular.

Como coletar o consentimento

Embora a lei não determine uma forma específica para a coleta do consentimento, é fundamental que se mantenham registros que comprovem a autorização do titular para o tratamento dos seus dados pessoais.
Sempre que possível, recomenda-se a assinatura de um termo de consentimento, que pode ser inserido em formulários eletrônicos, por exemplo. Nestes casos, é importante que a leitura e concordância com o termo sejam confirmadas por meio de campos obrigatórios.

Nos acessos a websites, o consentimento pode ser obtido por meio de banners de cookies. Acerca do assunto já publicamos material abordando o guia orientativo da ANPD sobre cookies (Acesse aqui).

Não é recomendável incluir termos de consentimento em contratos, uma vez que o tratamento de dados vinculado à execução de um contrato geralmente se fundamenta na Execução Contratual, e não no consentimento.

Dificuldades relacionadas ao consentimento como base legal

Como mencionado, o consentimento traz alguns desafios, como:

  • Coleta e armazenamento: Diferentemente de outras hipóteses de tratamento, o consentimento exige uma manifestação específica do titular, de modo que a cooperativa precisa empregar esforços para coletar e registrar o consentimento.
  • Revogação: O titular pode revogar o consentimento a qualquer momento, obrigando a cooperativa a interromper o tratamento, o que pode impactar processos organizacionais.

Validade do consentimento

Para não ser considerado inválido, o consentimento deve atender aos requisitos previstos na legislação:

  •  Específico: O titular deve concordar com o tratamento de dados específicos para finalidades previamente determinadas. A cooperativa deve informar claramente quais dados pretende coletar e para que serão utilizados.
  • Livre: O titular não pode ser coagido a conceder o consentimento; ele deve fazê-lo de forma voluntária.
  • Informado: É essencial que a cooperativa forneça informações claras sobre o uso dos dados. O termo de consentimento deve ser redigido em linguagem acessível e incluir detalhes sobre os dados coletados e as suas finalidades, especialmente no caso de dados pessoais sensíveis.

Crianças e adolescentes

É importante lembrar que crianças e adolescentes não possuem capacidade civil para consentir de forma independente. Nesses casos, é necessário obter o consentimento de um dos pais ou do responsável legal, conforme dispõem o §1º do artigo 14 da LGPD.

Lembre-se...

O uso correto do consentimento não é apenas uma exigência da LGPD, mas também um instrumento para fortalecer a transparência e a confiança entre a cooperativa e os titulares dos dados. Ao aplicar essa prática de forma responsável, a cooperativa reforça seu compromisso com a proteção de dados e o respeito aos direitos de cooperados, de colaboradores e dos demais envolvidos nas atividades de tratamento de dados pessoais desenvolvidas.

Privacy by Design: a privacidade desde a concepção

  • Nenhum

O que é “Privacy by Design”?

Conhecer o conceito de "Privacy by Design" (ou também chamado “Privacidade desde a concepção”) é indispensável para as cooperativas que buscam respeitar a Lei Geral de Proteção de Dados Pessoais (LGPD). Essa ideia, que surgiu no âmbito da engenharia de sistemas informáticos, pode ser aplicada não só na criação de soluções tecnológicas, mas também nos processos internos das cooperativas, isto é, nos fluxos de trabalho que envolvem o tratamento de dados pessoais.

O objetivo é que a privacidade seja parte integrante das atividades desenvolvidas desde o seu surgimento, em vez de ser uma preocupação que surge depois, atrapalhando um fluxo de trabalho já estabelecido. Assim, é possível antecipar e prevenir riscos aos direitos dos titulares dos dados pessoais, cumprindo a LGPD de maneira eficiente.

Os sete princípios:

A seguir, destacamos os sete princípios do “Privacy by Design” aplicados ao cooperativismo. Vamos conferir:

  1. Proatividade, não reatividade; prevenção, não remediação: Em vez de esperar que os problemas ocorram para depois remediá-los, a cooperativa deve atuar de forma preventiva, antecipando os riscos e evitando incidentes de segurança ou infrações à privacidade dos titulares de dados pessoais (colaboradores, cooperados ou até mesmo clientes).
  1. Privacidade como padrão: A proteção de dados ocorre automaticamente. Ou seja, o titular dos dados não deve precisar solicitar a sua privacidade e nem a procurar, nos sistemas, por configurações que protejam os seus dados pessoais. Isso porque as práticas da cooperativa já respeitam a privacidade do usuário e as configurações padrão dos sistemas já são as melhores para proteger os seus direitos.

Importante: Isso não exclui a necessidade de manter canais de comunicação e de receber solicitações dos titulares dos dados pessoais.

  1. Privacidade incorporada ao design: Quando surgem novas atividades ou fluxos de trabalho, as ações necessárias para manter a privacidade das pessoas devem ser pensadas e aplicadas desde o início. Essa abordagem evita a necessidade de modificações posteriores, prevenindo violações e incidentes, além de poupar esforço desnecessário.
  1. Funcionalidade completa ou ganho positivo: Pensar a privacidade desde o início permite planejar o processo ou o fluxo de trabalho para não causar prejuízo aos objetivos da cooperativa. Em outras palavras, essa abordagem permite que as medidas de proteção aos dados pessoais não interfiram negativamente no trabalho das cooperativas, que poderão conservar a privacidade de todos sem abdicar da eficiência.
  1. Segurança em todo o ciclo de vida: A cooperativa deve estabelecer as medidas de proteção de privacidade antes mesmo da primeira coleta de dados pessoais de qualquer pessoa. Deve também manter essas medidas até que seja encerrado o processo que envolve esses dados. Dessa forma, fica garantida a proteção da privacidade desde o primeiro usuário até o último.
  1. Visibilidade e transparência: Os processos que tratam de dados pessoais devem ser transparentes, garantindo que todos os interessados possam confiar na cooperativa. Para isso, é importante manter atualizado o Aviso de Privacidade no site da sua cooperativa, para incluir, desde o início, novas atividades ou tecnologias que envolvam dados pessoais.

Lembrando: O Aviso de Privacidade é um texto que fica no site da sua cooperativa e que explica em que casos dados pessoais são usados pela sua organização e em quais circunstâncias são transferidos para organizações parceiras, dentro e fora do Brasil (Confira a matéria publicada no nosso site sobre este documento e a sua distinção da política interna).

  1. Foco no usuário: As necessidades e direitos dos indivíduos devem ser colocados em primeiro plano. Isso significa que as cooperativas devem se empenhar em facilitar a experiência das pessoas preocupadas com os seus dados pessoais ao interagirem com a organização. Isso quer dizer, por exemplo, que o site da cooperativa deve indicar e manter canais de comunicação de maneira clara e acessível, facilitando as solicitações relacionadas a dados pessoais, como indicado na LGPD.

Como implementar na cooperativa?

Para aplicar o Privacy by Design, as cooperativas devem ficar atentas ao surgimento de novos processos que envolvam dados pessoais. Isso inclui, por exemplo, o uso de um novo sistema, o oferecimento de um novo serviço e também a realização de um novo evento ou atividade educacional. Assim que a área da cooperativa tiver a ideia de uma nova atividade, é importante comunicar e envolver o Encarregado pelo tratamento de dados pessoais, para que esse profissional se envolva com o novo processo e contribua com a manutenção da conformidade com a LGPD desde o início.

Lembre-se:

O “Privacy by Design” é uma abordagem estratégica para cooperativas que pretendem não só se adequar à legislação, mas também melhorar a qualidade dos seus serviços e a satisfação dos titulares alcançados pelas atividades de tratamento de dados pessoais. Ao incorporar a privacidade desde a concepção dos seus processos, as cooperativas criam um ambiente mais seguro, mais eficiente e mais confiável para todos.

Aviso de Privacidade e Política de Privacidade: conheça as diferenças

  • Nenhum

A distinção entre Aviso de Privacidade e Política de Privacidade é de extrema relevância, especialmente com a recente publicação da Resolução CD/ANPD n.º 20/2024, que estabelece a política interna de proteção de dados pessoais pela Autoridade Nacional de Proteção de Dados (ANPD). Confira a matéria sobre o assunto no nosso site.

A confusão entre esses termos é bastante comum, principalmente porque o conceito de "Política de Privacidade" já era amplamente utilizado no mercado antes da entrada em vigor da LGPD. No entanto, é essencial que as cooperativas compreendam as diferenças entre esses dois documentos fundamentais para assegurar a conformidade com a legislação de proteção de dados. Ambos desempenham papéis importantes na proteção de dados pessoais, mas com propósitos distintos.

Aviso de Privacidade

O Aviso de Privacidade é o documento utilizado para comunicar ao público em geral como a cooperativa trata os dados pessoais. Ele deve ser facilmente acessível, normalmente publicado no site da cooperativa, para garantir que titulares de dados — como colaboradores, cooperados, parceiros comerciais e outros — estejam cientes de como suas informações são coletadas, utilizadas e protegidas.

Além de detalhar quais dados são armazenados, como são usados e os motivos para isso, o Aviso de Privacidade também deve fornecer informações sobre como os titulares podem exercer os seus direitos, como solicitar o acesso, a correção ou a exclusão dos seus dados. É imprescindível que esse documento seja redigido em uma linguagem clara e acessível, facilitando a compreensão por parte de todos os envolvidos.

Política de Privacidade

Por sua vez, a Política de Privacidade é um documento mais extenso e técnico, voltado para a definição das normas internas da cooperativa relativamente à proteção de dados pessoais. Ele estabelece diretrizes que os colaboradores e parceiros devem seguir para garantir a conformidade com a LGPD, abordando desde rotinas de exclusão de dados até procedimentos para o compartilhamento de informações com terceiros.

A Política pode prever, por exemplo, os processos para atender às solicitações dos titulares, as responsabilidades das áreas envolvidas nas operações de tratamento de dados, bem como as sanções aplicáveis em caso de descumprimento das normas. Este documento é essencial para estruturar um sistema de governança de dados sólido dentro da cooperativa, assegurando que todas as operações de tratamento de dados sejam realizadas com segurança e de acordo com a legislação.

Importância de Ambos os Documentos

A criação e a implementação tanto do Aviso quanto da Política de Privacidade são passos indispensáveis para garantir a conformidade com a LGPD e, ao mesmo tempo, assegurar a proteção dos dados pessoais. A compreensão clara das diferenças entre esses documentos permite que os cooperados e demais stakeholders possam se comunicar de maneira mais assertiva, promovendo uma cultura de privacidade e transparência dentro da organização.

Além disso, ao capacitar seus cooperados e colaboradores sobre as boas práticas de proteção de dados, a cooperativa pode se destacar no mercado, atraindo associados e clientes que valorizam a privacidade e a segurança das suas informações pessoais.

Gostou do tema? Nos acompanhe e fique por dentro de todas as novidades e informações essenciais para o fortalecimento da cultura de proteção de dados pessoais.

ANPD publica a sua política interna de proteção de dados pessoais
Featured

ANPD publica a sua política interna de proteção de dados pessoais

A  Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar e regulamentar a proteção de dados pessoais no Brasil, instituiu a sua Política Interna de Proteção de Dados Pessoais através da Resolução CD/ANPD n.º 20/2024 (Confira a íntegra do documento aqui).

O documento é para uso interno pela Autoridade, mas serve de inspiração para todas as cooperativas, que também são obrigadas a elaborar normas internas de proteção de dados pessoais para estarem em conformidade com a LGPD.

Abaixo, destacamos alguns dos principais pontos da política aprovada pela ANPD:

  • Princípios e Objetivos: estabelece regras básicas para o tratamento de dados pessoais, os quais devem estar de acordo com a LGPD, seguindo os valores de transparência e de responsabilidade.
  • Tratamento de Dados: define que o tratamento de dados pessoais deve ocorrer somente com os dados pessoais estritamente necessários para cumprir as suas finalidades, devendo eliminar os dados quando encerrado o tratamento.
  • Segurança dos Dados: prevê o dever de implementação de medidas de segurança da informação, a fim de proteger os dados contra acessos não autorizados.
  • Direitos dos Titulares: destaca que devem ser adotadas medidas para garantir o exercício dos direitos dos titulares dos dados e de forma gratuita.
  • Conscientização e Capacitação: estabelece o compromisso de promover campanhas para conscientizar e qualificar os colaboradores em matéria de proteção de dados pessoais.

Fique atento!

A Política de Privacidade é documento interno da cooperativa que estabelece normas a serem seguidas pelos colaboradores. Ela não se confunde com o Aviso de Privacidade, direcionado ao público e normalmente disponibilizado no site institucional da cooperativa, o qual tem por objetivo informar ao titular de que forma a organização trata dados pessoais.

 

Para que a sua cooperativa esteja em conformidade com a Lei, ela precisa criar regras internas de proteção de dados similares às da Política Interna disponibilizada pela ANDP. A LGPD e os regulamentos aplicáveis exigem a elaboração de diversos documentos internos que formalizem o compromisso das cooperativas em proteger os dados pessoais dos seus colaboradores, cooperados e clientes.

Lembre-se: implementar políticas robustas de proteção de dados não apenas protege a cooperativa, mas também fortalece a confiança dos titulares e a integridade da organização no mercado em que atua.

E a sua cooperativa? Já implementou uma política interna de proteção de dados pessoais que foi devidamente aprovada e comunicada a todos?

Gostou do tema? Nos acompanhe e fique por dentro de todas as informações relevantes para o desenvolvimento de uma cultura de proteção de dados pessoais.

INSS é condenado a divulgar incidente de vazamento de dados
Featured

INSS é condenado a divulgar incidente de vazamento de dados

O Conselho Diretor da ANPD negou o recurso do INSS e confirmou a sanção que obriga a divulgação da infração à LGPD cometida pela autarquia, que não notificou os titulares sobre o vazamento de dados. Com essa decisão, o INSS terá que publicar um comunicado em sua página principal detalhando quais dados podem ter sido comprometidos. Ainda, o Instituto deve enviar notificação a todos os beneficiários sobre o incidente de segurança.

O que aconteceu com o INSS?

O INSS sofreu um incidente de segurança em 2022, que levou ao vazamento de dados pessoais de pessoas cadastradas, como CPF, dados bancários e data de nascimento. Esses dados podem ser usados por criminosos para cometer vários tipos de fraudes.

A LGPD determina que incidentes de segurança que possam causar danos aos titulares devem ser comunicados a todos os afetados, mas o Instituto preferiu não divulgar o problema, e foi sancionado pela ANPD. O INSS alegou que seria impossível saber quais beneficiários foram afetados, de modo que não haveria possibilidade de comunicação individualizada. Ainda, argumentou que a divulgação poderia causar pânico e desconfiança. Entretanto, a ANPD decidiu que a comunicação é indispensável, e poderia ter sido feita de forma indireta, ou seja, com ampla divulgação em seus canais de comunicação.

O INSS foi penalizado, sendo obrigado a publicar aviso sobre o incidente de vazamento de dados em seu site e no aplicativo Meu INSS pelo prazo de 60 dias.

Lições para as cooperativas

Esse caso oferece lições valiosas para todos os controladores de dados pessoais, dentre eles as cooperativas:

  1. Cumprimento da LGPD: A LGPD estabelece regras sobre como os dados pessoais devem ser protegidos e como os incidentes de segurança devem ser comunicados. É crucial seguir essas regras para evitar as sanções e proteger os dados dos associados.
  2. Política de Segurança da Informação: As organizações devem adotar os meios técnicos e as boas práticas necessárias para evitar os incidentes envolvendo dados, como os vazamentos. É importante que os todos colaboradores que têm contato com dados pessoais tenham esses riscos em mente (Saiba mais sobre os documentos essenciais para a conformidade com a LGPD).
  3. Comunicação de Incidentes: Em caso de vazamento de dados, a comunicação com os titulares afetados é essencial. A transparência ajuda a diminuir os danos, porque permite que os indivíduos tomem medidas para proteger suas informações. As cooperativas devem observar as disposições do Regulamento de Comunicação de Incidente de Segurança (saiba mais sobre o assunto).
  4. Responsabilidade: A decisão da ANPD demonstra que não há tolerância para o descumprimento da LGPD. As cooperativas devem adotar boas práticas de proteção de dados e demonstrar que têm processos adequados para prevenir e gerenciar incidentes de segurança.

Resumindo...

Para as cooperativas, seguir a LGPD não é apenas uma obrigação legal, mas uma medida fundamental para conservar a confiança dos associados. Um incidente de violação de dados pessoais ou uma penalização pela ANPD pode ferir a reputação da Cooperativa e do Cooperativismo. A recente decisão da ANPD sobre o INSS destaca a necessidade de ter políticas claras e eficazes para proteger informações pessoais e comunicar incidentes de forma apropriada. O esforço na proteção de dados é crucial para evitar problemas legais e proteger o bom nome da organização.

Gostou do tema? Nos acompanhe e fique por dentro de todas as informações relevantes para o desenvolvimento de uma cultura de proteção de dados pessoais.

ANPD regulamenta dispositivos da LGPD que tratam da Transferência Internacional de Dados
Featured

ANPD regulamenta dispositivos da LGPD que tratam da Transferência Internacional de Dados

Dados pessoais circulam pelo mundo com velocidade e volume impressionantes, atravessando fronteiras nacionais a cada instante. Para garantir que a privacidade dos titulares seja protegida mesmo assim, a Autoridade Nacional de Proteção de Dados (ANPD) estabeleceu novas regras, que as cooperativas também precisam seguir.

 

Essas regras estão na Resolução n. 19/2024, que regulamenta a transferência internacional de dados pessoais. Se a sua cooperativa transfere dados para parceiros em outros países, é essencial estar em conformidade com essas novas diretrizes para evitar multas e danos à reputação.


Acesse o normativo.

 

Conceitos importantes

Aqui estão alguns termos que você precisa entender:

  • Exportador: A cooperativa que envia dados pessoais para fora do país;
  • Importador: O agente de tratamento, localizado em país estrangeiro ou que seja organismo internacional, que recebe os dados pessoais;
  • Transferência internacional de dados: Envio de dados pessoais para fora do Brasil;
  • Coleta internacional de dados: Coleta de dados pessoais do titular efetuada diretamente pelo agente de tratamento localizado fora do Brasil;
  • Mecanismos de transferência: Hipóteses previstas na LGPD que autorizam a transferência internacional;
  • Grupo de empresas: conjunto de empresas diferentes sob o comando de uma única organização ou grupo de pessoas.

 

O que diz a LGPD e a nova Resolução?

A LGPD, em seu artigo 33, elenca as possibilidades de transferência internacional de dados. A resolução, por sua vez, busca regulamentar apenas algumas dessas possibilidades, sem proibir as demais. Sua redação classifica os mecanismos em dois grandes grupos:

  1. Transferência para países com proteção adequada: Os dados podem ser transferidos para países ou organismos internacionais que a ANPD considera que oferecem proteção equivalente à da LGPD. Nenhuma medida adicional é necessária.
  2. Transferência com garantias específicas: Os dados podem ser transferidos se a cooperativa garantir a proteção dos dados através de:
    • Cláusulas-padrão: A cooperativa pode incluir as cláusulas-padrão aprovadas pela ANPD. Alternativamente, pode ser solicitado à ANPD o reconhecimento de equivalência de cláusulas-padrão de outros países ou de organismos internacionais;
    • Cláusulas contratuais específicas: Em casos excepcionais, a cooperativa poderá solicitar à ANPD a validação de cláusulas específicas, desde que não possam ser usadas as cláusulas-padrão aprovadas;
    • Normas corporativas globais: Grupos de empresas podem criar normas internas globais que garantam a proteção dos dados. Essas normas precisam ser aprovadas pela ANPD.

 

Importante: A coleta de dados realizada diretamente por um agente de tratamento localizado no exterior, não é afetada pela resolução. Em outras palavras, as novas regras se aplicam apenas quando há transferência de dados coletados pela cooperativa e enviado para parceiros no exterior.

 

Diretrizes Gerais

A resolução estabelece algumas diretrizes que devem ser observadas pelas cooperativas na realização da transferência internacional de dados:

  1. Proteção Adequada: Os direitos dos titulares dos dados devem ter proteção equivalente ou maior que aquela garantida pela lei brasileira;
  2. Facilitação do Fluxo de Dados: O fluxo de dados deve ser facilitado para promover o desenvolvimento, sempre respeitando a legislação e os direitos dos titulares;
  3. Transparência: Os titulares devem ter acesso a informações claras sobre a transferência dos dados, podendo solicitar explicações que deverão ser fornecidas pela organização em até 15 dias;
  4. Minimalismo: Devem ser transferidos apenas os dados estritamente necessários para os objetivos da organização.

 

Próximos passos para as cooperativas

Com a nova resolução, as cooperativas têm até 12 meses para ajustar seus processos internos e seus contratos que envolvem transferências internacionais de dados.

A seguir, separamos algumas ações que podem ser adotadas:

  • Mapeamento e minimização: Identifique e avalie as transferências internacionais de dados realizadas, conferindo se cada uma delas está justificada em um dos mecanismos legais. Também adote cautela para que as transferências sejam restritas ao mínimo necessário;
  • Ajuste contratual: Atualize contratos para incluir cláusulas-padrão ou outras garantias necessárias;
  • Transparência e atendimento: Garanta que informações sobre transferências internacionais de dados sejam claras e acessíveis aos titulares. Para fazer isso, revise seus canais de atendimento, para que estejam preparados para fornecer explicações aos usuários que as solicitarem. Também confira se o aviso de privacidade no portal da sua cooperativa conta com informações claras e detalhadas sobre as transferências internacionais;
  • Documentação e monitoramento: Mantenha registros detalhados de todas as transferências e monitore alterações contratuais que necessitem comunicação prévia à ANPD.

Lembre-se: Falhas na conformidade com essas novas regras podem resultar em multas e danos à reputação da cooperativa. Seguir as diretrizes do novo regulamento é crucial para proteger os dados dos titulares (colaboradores, cooperados etc.) e manter a confiança destes com a cooperativa. Ao se adaptar às novas regras, sua cooperativa não só evita problemas legais, mas também demonstra transparência e responsabilidade.

 

Gostou do tema? Nos acompanhe e fique por dentro de todas as informações relevantes para o desenvolvimento de uma cultura de proteção de dados pessoais na sua cooperativa.

Publicada resolução que regulamenta nomeação e atuação do Encarregado
Featured

Publicada resolução que regulamenta nomeação e atuação do Encarregado

A Autoridade Nacional de Proteção de Dados (ANPD) divulgou em 16 de julho uma nova regulamentação que estabelece normas complementares sobre a indicação, a definição, as atribuições e a atuação do encarregado, de que trata a Lei nº 13.709, de 14 de agosto de 2018. Confira a íntegra do novo normativo aqui.

O Encarregado pelo tratamento de dados pessoais ou DPO (Data Protection Officer - sigla originada da mesma função no GDPR) é o responsável por orientar e promover a implementação de uma série de ações relacionadas à conformidade com a LGPD, além de ter a atribuição de aceitar reclamações e comunicações das pessoas que tenham seus dados pessoais tratados pela organização na qual atua e receber comunicações da ANPD para adoção das providências cabíveis.

Quais organizações, obrigatoriamente, precisam nomear Encarregado pelo tratamento de dados pessoais?

Todas as organizações privadas e públicas, que atuam na condição de controladores de dados pessoais, dentre elas as cooperativas, precisam nomear Encarregado pelo tratamento de dados pessoais, com exceção daquelas que se enquadrarem na condição de agente de tratamento de pequeno porte (para tanto, deverão ser contemplados os requisitos estabelecidos na Resolução nº 2/2022 da ANPD).

Segundo a ANPD, a nomeação de Encarregado por organizações privadas e públicas que atuam na condição de operadores de dados pessoais é facultativa e será considerada como boa prática de governança.

 

Quais as atribuições definidas para os Encarregados pela ANPD?

  • Aceitar e receber reclamações e comunicações das pessoas físicas com quem as organizações se relacionam, tomando as providências necessárias;
  • Receber comunicações da ANPD e adotar providências;
  • Orientar os funcionários e contratados sobre boas práticas de proteção de dados pessoais;
  • Registrar e comunicar incidentes de segurança;
  • Elaborar e manter atualizado o registro das operações de tratamento de dados pessoais;
  • Elaborar relatório de impacto à proteção de dados pessoais;
  • Definir e implementar mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais;
  • Definir medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
  • Definir, elaborar e implementar processos e políticas internas que assegurem o cumprimento da LGPD e dos regulamentos e orientações da ANPD;
  • Elaborar instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais;
  • Definir controles apropriados para transferências internacionais de dados;
  • Definir, elaborar e implementar regras de boas práticas e de governança para o programa de privacidade e proteção de dados pessoais; e
  • Definir e implementar controles para que produtos e serviços adotem padrões de design compatíveis com os princípios previstos na LGPD, incluindo a privacidade por padrão e a limitação da coleta de dados pessoais ao mínimo necessário.

 

ATENÇÃO: As cooperativas devem se certificar que os Encarregados nomeados tenham condições de realizar as atribuições acima.

 

E a nomeação do Encarregado? Deve ser formal?

Sim. De acordo com as novas regras, o Encarregado deverá ser nomeado por ato formal, no qual também constem as atividades que devem ser desempenhadas.

São atos formais aqueles que constam em documentos escritos, datados e assinados. Exemplos: resoluções, portarias, termos de nomeação, dentre outros.

 

E como fica em caso de ausência do Encarregado?

Outra novidade da regulamentação é a nomeação de Encarregado substituto para atuação quando das ausências, impedimentos ou vacâncias do encarregado titular, o qual também deverá ser formalmente nomeado.

As organizações podem optar, desde já, pela nomeação de Encarregado substituto, para não ter de nomear formalmente e emitir documentos reiterados para cada um dos momentos em que o titular estiver ausente ou impedido de realizar as suas atribuições.

 

E onde as informações do Encarregado devem ser disponibilizadas?

Reforçando o que já constava no próprio texto da LGPD, a resolução prevê que a identidade e informações de contato do Encarregado devem ser divulgadas em ambientes de fácil acesso ao público que tem seus dados pessoais tratados pelas organizações, preferencialmente nos sites.

  • Atenção 1: Se a cooperativa nomeou Encarregados pessoa jurídica (prestadores de serviço que atuam nessa condição, por exemplo), o nome da pessoa física responsável pelas atividades também deverá ser indicado.
  • Atenção 2: Cooperativas que não possuem site, deverão dar publicidade as informações acima nos canais que usualmente utilizam para se comunicar e divulgar suas ações.

 

Qual a qualificação esperada de quem atua como Encarregado?

Pode atuar na condição de Encarregado uma pessoa jurídica (prestador de serviços especializados contratado para tanto) ou uma pessoa física integrante ou não do quadro de colaboradores da cooperativa.

A ANPD indicou que “cabe ao agente de tratamento estabelecer as qualificações profissionais necessárias para o desempenho das atribuições do encarregado, considerando seus conhecimentos sobre a legislação de proteção de dados pessoais, bem como o contexto, o volume e o risco das operações de tratamento realizadas”.

Sendo assim, a própria cooperativa, ciente dos riscos relacionados ao seu ambiente de negócios e às atividades que realiza, deverá avaliar a qualificação do Encarregado que pretender nomear, considerando seus conhecimentos sobre a legislação e as atividades de tratamento realizadas pela organização.

 

Qualquer colaborador pode ser Encarregado?

Não. De acordo com as novas regras, o Encarregado deverá atuar com autonomia técnica, ética e integridade, evitando situações que possam configurar conflitos de interesse.

A ANPD indica que o Encarregado apenas poderá acumular outras funções se for possível o pleno atendimento das suas atribuições e se inexistir conflitos de interesse.

  • Poderá configurar conflito de interesse a situação em que o Encarregado atuar em outras atividades que possibilitem a tomada de decisões estratégicas sobre as atividades de tratamento de dados pessoais.
  • Ou seja, os casos em que os Encarregados atuarem também como coordenadores, gerentes ou diretores (portanto, tomando decisões sobre uma série de atividades que envolvem dados pessoais), poderão caracterizar conflito de interesse.
  • De acordo com o texto da resolução, a existência de conflito de interesse poderá ensejar a aplicação de sanções por descumprimento da LGPD.
  • O próprio Encarregado, identificando situação que pode configurar conflito de interesse, deverá comunicar à cooperativa em que atua na mencionada posição.

 

Resumindo...

  • As atribuições do Encarregado são diversas, além de multidisciplinares e complexas.
  • As cooperativas devem nomear formalmente pessoas físicas ou jurídicas que realmente tenham capacidade para o desempenho de todas as atribuições que são próprias do Encarregado.
  • Além do Encarregado titular, um substituto deverá ser nomeado para atuar nos períodos em que a atuação do titular não seja possível em razão de ausências, impedimentos ou vacâncias.
  • A nomeação do substituto pode ocorrer desde já e não necessariamente para cada ato (cada período de ausência do titular, por exemplo).
  • A nomeação deve ocorrer por ato formal, bem como a identificação e as formas de contatar o Encarregado deverão estar indicadas no site da organização.
  • Para prevenir e evitar situações que caracterizem conflito de interesse, o Encarregado nomeado não deverá desempenhar outras funções que lhe possibilitem tomar decisões sobre atividades desenvolvidas pelas organizações que envolvam o tratamento/utilização de dados pessoais.

 

A análise minuciosa dessa resolução é essencial e deve ser uma prioridade das cooperativas, dado o impacto significativo que ela pode ter nos programas de conformidade com a LGPD.

 

É fundamental realizar ajustes nos procedimentos internos e documentos que integram o Programa de Conformidade das cooperativas para o pleno atendimento das disposições previstas na Resolução publicada.

Gostou do tema? Nos acompanhe e fique por dentro de todas as orientações publicadas pela ANPD sobre proteção de dados pessoais.

ANPD determina suspensão do tratamento de dados pessoais pela Meta
Featured

ANPD determina suspensão do tratamento de dados pessoais pela Meta

  • Nenhum

A Autoridade Nacional de Proteção de Dados (ANPD) determinou a suspensão cautelar do tratamento de dados pessoais para o treinamento da inteligência artificial da Meta, devido a indícios de irregularidades nessa atividade de tratamento. No despacho decisório, a ANPD estabeleceu medidas preventivas, ordenando à Meta Platforms INC - Facebook Serviços Online do Brasil a imediata suspensão, no Brasil, até decisão ulterior da Autoridade, das seguintes atividades:

(i) A vigência da nova política de privacidade da empresa, no que se refere ao uso de dados pessoais para fins de treinamento de sistemas de IA generativa; e

(ii) O tratamento de dados pessoais dos titulares para essa finalidade em todos os produtos da Meta, incluindo pessoas que não são usuárias de suas plataformas.

A suspensão deve ser cumprida sob pena de multa diária de R$ 50.000,00 (cinquenta mil reais) por dia de descumprimento, em virtude do risco iminente de dano grave e irreparável ou de difícil reparação aos direitos fundamentais dos titulares afetados. A partir do voto proferido pela Diretora da ANPD, Miriam Wimmer, é possível identificar informações relevantes sobre o entendimento da ANPD em relação a vários aspectos cruciais da Lei Geral de Proteção de Dados (LGPD). Esses aspectos incluem o uso da hipótese de tratamento com base no legítimo interesse do controlador, a importância da transparência e clareza nas comunicações sobre o tratamento de dados pessoais e a facilitação do acesso para o exercício dos direitos assegurados pela LGPD.

 

Aplicação do Legítimo Interesse

O tratamento de dados para o treinamento de sistemas de IA não se enquadra na hipótese legal do legítimo interesse. Isso ocorre devido ao tratamento de dados pessoais sensíveis, à violação das legítimas expectativas dos titulares e ao não cumprimento dos princípios da finalidade e da necessidade.

 

Transparência e clareza nas comunicações

A transparência, por si só, não é suficiente para garantir os princípios previstos na legislação. Ela deve ser clara e efetiva a ponto de alterar a percepção do titular sobre como seus dados pessoais serão utilizados. Isso ocorre porque a legítima expectativa do titular em relação ao tratamento de seus dados não muda com a mesma facilidade e rapidez com que o controlador pode modificar sua política de privacidade.

 

Exercício dos direitos pelos titulares

O exercício dos direitos previstos na LGPD não deve ser limitado, seja por obstáculos excessivos que restrinjam o exercício dos direitos, seja por interfaces de difícil navegação ou dificuldade de acesso às informações correspondentes pelos titulares.

 

Dados pessoais de crianças e adolescentes

A ANPD destaca sua preocupação com o uso de dados de crianças e adolescentes para o treinamento de sistemas de IA. A Autoridade reforça que esses tratamentos devem ser realizados mediante a adoção de salvaguardas e medidas de mitigação de risco que comprovem, no caso concreto, que o eventual tratamento será realizado no melhor interesse da criança ou adolescente.

As informações extraídas do voto da relatora são instrumentos valiosos para que as cooperativas avaliem continuamente suas atividades de tratamento de dados pessoais e apliquem, sempre que necessário, medidas de adequação, assegurando que as orientações da ANPD em casos similares sejam plenamente implementadas.

É importante destacar que a proteção de dados pessoais não é um tema estático. Deve ser monitorado constantemente e ajustado à realidade atual do cenário regulatório, especialmente em um momento em que muitos aspectos previstos na LGPD ainda estão em processo de regulamentação pela ANPD.

Ainda sobre a Meta...

Após o pedido de reconsideração encaminhado à ANPD, a Autoridade decidiu pela manutenção da medida preventiva aplicada, além de determinar as seguintes ações:

  • Prorrogação do prazo para a apresentação da declaração atestando a suspensão do tratamento;
  • Postergação da análise do pedido de concessão de efeitos suspensivos e do pedido de reconsideração integral da decisão, até a realização de análise técnica das medidas propostas e a apresentação de um plano de conformidade; e
  • Apresentação do teste de balanceamento da hipótese legal referente ao legítimo interesse.

Gostou do tema? Nos acompanhe e fique por dentro do cenário regulatório da ANPD e dicas práticas que podem auxiliar o processo de conformidade das cooperativas e no desenvolvimento da cultura de proteção de dados pessoais.

Biometria é o tema do segundo volume do Radar Tecnológico
Featured

Biometria é o tema do segundo volume do Radar Tecnológico

O uso da biometria tem se intensificado nos últimos anos, tornando-se uma ferramenta cada vez mais comum em diversos contextos. No âmbito da proteção de dados pessoais, informações biométricas são classificadas como dados pessoais sensíveis, exigindo dos agentes de tratamento uma maior cautela em sua coleta, manipulação, armazenamento e eliminação.

Este tema está na agenda regulatória da ANPD para o biênio 2023/2024, devido às preocupações significativas que surgem com a crescente popularidade do reconhecimento facial. Esta tecnologia está sendo amplamente utilizada para acesso a dispositivos eletrônicos, ingresso em espaços públicos e corporativos, e no exercício de direitos.

Imagem: Ascom/ANPD

Em razão dessas preocupações, a ANPD lançou, no dia 24 de junho, o segundo volume da sua série Radar Tecnológico, que aborda aspectos sobre biometria e reconhecimento facial.

O documento explora as funcionalidades da biometria e do reconhecimento facial, destacando sua aplicação em diversos setores, como saúde, transações financeiras, marketing e controle de acesso e a sua relação com a proteção de dados pessoais, ressaltando preocupações sobre privacidade e segurança, especialmente diante do crescente uso do reconhecimento facial no Brasil e no mundo.

São levantadas questões sobre:

  • A transparência no tratamento dos dados pessoais biométricos;
  • As medidas de segurança necessárias para mitigação de riscos no tratamento de dados biométricos; e
  • A importância de garantir o respeito aos direitos dos titulares de dados biométricos.

O estudo também destaca a necessidade de aprofundar as análises para compreender melhor os riscos envolvidos e identificar formas de mitigação, em conformidade com a LGPD.

A ANPD ressalta a importância de considerar os vieses e normas culturais presentes no desenvolvimento e uso dessas tecnologias, alertando para possíveis efeitos discriminatórios e propõe a realização de estudos exploratórios em áreas específicas, como o compartilhamento de dados biométricos para segurança pública, o tratamento de dados de crianças e adolescentes em ambientes educacionais e o uso comercial de dados biométricos, visando aprofundar a compreensão dos desafios e oportunidades relacionados à biometria e ao reconhecimento facial.

Por fim, o documento traz um anexo contendo uma análise sobre os projetos de lei relacionados à biometria e ao reconhecimento facial, a qual é de suma importância para os Encarregados pelo tratamento de dados pessoais, pois permite o monitoramento contínuo da evolução regulatória sobre o tema. As proposições legislativas destacadas podem eventualmente impactar as atividades desenvolvidas, tornando-se essencial que os responsáveis estejam bem-informados e preparados para adaptar suas práticas conforme necessário.

Gostou do tema? Nos acompanhe e fique por dentro do cenário regulatório da ANPD e dicas práticas que podem auxiliar o processo de conformidade das cooperativas e no desenvolvimento da cultura de proteção de dados pessoais.

Disponibilização de dados pessoais em portais de transparência
Featured

Disponibilização de dados pessoais em portais de transparência

É bastante comum que agentes de tratamento, incluindo organizações estaduais do Sistema OCB, precisem divulgar diversas informações em portais de transparência, as quais podem envolver a indicação de dados pessoais para cumprimento de outras legislações, como a Lei de Acesso à Informação (LAI). No entanto, a publicização dessas informações deve estar em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD). Segundo a LGPD, tais procedimentos são considerados atividades de tratamento de dados pessoais e, portanto, devem estar legalmente enquadrados em uma das hipóteses autorizadoras previstas na legislação (Confira mais sobre as hipóteses de tratamento).

A LGPD estabelece expressamente que dados pessoais, incluindo dados pessoais sensíveis, podem ser tratados para atividades que as organizações necessitem realizar devido a obrigações legais que lhes sejam aplicáveis.

Recentemente, a Câmara Nacional de Convênios e Instrumentos Congêneres (CNCIC), órgão vinculado à Advocacia-Geral da União, publicou o Parecer n. 00001/2024/CNCIC/CGU/AGU, que conclui pela supressão de dados pessoais (como CPF, RG, estado civil e endereço) nos convênios e instrumentos congêneres firmados pela Administração Pública. A conclusão do parecer é a seguinte:

Embora os pareceres emitidos pelo órgão não tenham força vinculativa, eles possuem grande relevância e servem como orientações técnicas para os órgãos e entidades da Administração Federal. Além disso, podem ser adotados como boas práticas pelas entidades que integram o Sistema “S”.

Dessa forma, organizações e cooperativas que necessitem publicar documentos contendo dados pessoais em portais de transparência devem observar e harmonizar as disposições previstas em legislações específicas com as estabelecidas pela LGPD.

Uma boa prática a ser adotada pelos agentes de tratamento é a pseudonimização dos números de documentos dos titulares, utilizando técnicas de mascaramento, por exemplo, para ocultação parcial dos números destes documentos. Isso ajuda a evitar a exposição excessiva das informações dos titulares envolvidos nas publicações (Acesse nosso material sobre medidas de segurança que podem contribuir com as organizações para a proteção dos dados pessoais).

Gostou do tema? Nos acompanhe e fique por dentro do cenário regulatório da ANPD e dicas sobre boas práticas que podem auxiliar o processo de conformidade e no desenvolvimento da cultura de proteção de dados pessoais.

Disponibilizado Glossário de Proteção de Dados Pessoais e Privacidade
Featured

Disponibilizado Glossário de Proteção de Dados Pessoais e Privacidade

A Autoridade Nacional de Proteção de Dados (ANPD) disponibilizou um glossário abrangente sobre a Lei Geral de Proteção de Dados Pessoais (LGPD), visando esclarecer termos e conceitos fundamentais relacionados à proteção de dados pessoais no Brasil. Este recurso é essencial para profissionais, agentes de tratamento e titulares que desejam compreender melhor termos e expressões amplamente utilizados na LGPD e documentos ou comunicações publicadas pela ANPD.

O Glossário inclui definições detalhadas de termos técnicos e jurídicos, facilitando a compreensão e aplicação correta da lei. Entre os termos destacados estão "dados pessoais", "titular", "controlador", “controladoria conjunta”, "operador", “suboperador”, “teste de balanceamento” e "tratamento de dados", entre outros. Cada definição é apresentada de maneira clara e acessível, promovendo a transparência e a conscientização sobre a importância da proteção de dados, além de indicar a respectiva referência legal.

A iniciativa da ANPD em fornecer este Glossário reforça o compromisso com a educação e a orientação de todos os envolvidos no tratamento de dados pessoais. Utilizar este recurso é um passo importante para garantir a conformidade com a LGPD.

Documento disponível no QR-Code acima ou neste LINK

É crucial que os agentes de tratamento de dados utilizem este Glossário em seus contratos, garantindo que as definições estejam alinhadas com o entendimento da ANPD. Isso assegura que todas as partes envolvidas tenham uma compreensão clara e uniforme dos termos utilizados, minimizando riscos e promovendo a conformidade com a LGPD.

Gostou do tema? Nos acompanhe e fique por dentro do cenário regulatório da ANPD e dicas práticas que podem auxiliar o processo de conformidade das cooperativas e no desenvolvimento da cultura de proteção de dados pessoais.

A importância do programa de treinamento e conscientização nas cooperativas
Featured

A importância do programa de treinamento e conscientização nas cooperativas

Nos últimos meses, a ANPD tem avançado significativamente na regulamentação de importantes aspectos da Lei Geral de Proteção de Dados Pessoais (LGPD). A LGPD impõe novas responsabilidades a todas as organizações que lidam com dados pessoais no Brasil, incluindo cooperativas. Conformidade com a LGPD não é apenas uma exigência legal, mas também um compromisso com a privacidade e a segurança dos dados de colaboradores, cooperados e clientes. Implementar programas de treinamento e campanhas de conscientização é crucial para garantir que todos na organização compreendam e cumpram essas normas.

Os programas de treinamento envolvendo proteção de dados e segurança da informação são fundamentais para capacitar os colaboradores a lidarem corretamente com dados pessoais. Além disso, esses programas auxiliam as cooperativas em:

Educação sobre a LGPD: garantir que todos entendam os principais aspectos da lei e suas responsabilidades individuais.

Promoção de boas práticas: orientar sobre os métodos seguros de manipulação, armazenamento e compartilhamento de dados.

Redução de riscos: diminuir a probabilidade de incidentes de segurança e violações de dados por meio de práticas conscientes.

Fortalecimento da cultura de segurança: criar um ambiente onde a segurança da informação é uma prioridade constante.

Para implementar efetivamente um programa de treinamento e campanhas de conscientização, as cooperativas podem adotar diversas atividades. Abaixo estão algumas sugestões que podem auxiliar na construção de um programa adequado à realidade de cada cooperativa:

  • Workshops e treinamentos regulares: Realizar workshops frequentes sobre temas específicos da LGPD e segurança da informação aplicados ao cotidiano dos colaboradores. A presença de especialistas para ministrar palestras e esclarecer dúvidas contribui para o amadurecimento do tema;
  • Campanhas de conscientização: Criar campanhas internas utilizando e-mails, newsletters, lives de perguntas e respostas, cards informativos e posters com dicas de segurança e informações e LGPD pode auxiliar na compreensão do tema e no engajamento dos colaboradores;
  • Simulações de incidentes: Realizar exercícios de simulação de incidentes de segurança para preparar os colaboradores sobre como agir em situações reais. Além disso, as simulações permitem que a cooperativa avalie e revise os procedimentos internos com base nos resultados obtidos.
  • Dinâmicas em grupo: Desenvolver atividades com os colaboradores aplicadas ao dia a dia profissional facilita a compreensão do tema e aproxima significativamente os colaboradores do programa de conformidade.

As cooperativas devem estar atentas e sempre consultar seus colaboradores acerca das atividades desenvolvidas para obter feedback e aprimorá-las continuamente. A manutenção de um canal de comunicação direta para que os colaboradores possam reportar incidentes ou esclarecer dúvidas sobre proteção de dados é um instrumento valioso de engajamento.

A proteção de dados pessoais e a segurança da informação são pilares fundamentais para a confiança e a integridade das cooperativas. Investir em programas de treinamento e campanhas de conscientização não só garante a conformidade com a LGPD, mas também fortalece a cultura organizacional, promovendo um ambiente seguro e responsável. Ao adotar essas práticas, as cooperativas estarão mais bem equipadas para proteger os dados de todos os titulares envolvidos, garantindo mais segurança e transparência.

Gostou do tema? Nos acompanhe e fique por dentro do cenário regulatório da ANPD e dicas práticas que podem auxiliar o processo de conformidade das cooperativas e no desenvolvimento da cultura de proteção de dados pessoais.

Publicada resolução que regulamenta os procedimentos de comunicação de incidentes
Featured

Publicada resolução que regulamenta os procedimentos de comunicação de incidentes

A Autoridade Nacional de Proteção de Dados (ANPD) divulgou em 24 de abril uma nova regulamentação que estabelece os procedimentos obrigatórios para comunicação de incidentes de segurança por parte dos agentes de tratamento de dados pessoais.

Esta norma é crucial e exige atenção detalhada, especialmente por cooperativas que necessitam adaptar suas políticas e procedimentos internos. Além disso, é fundamental que sejam realizados ajustes contratuais para assegurar obrigações explícitas de cooperação na identificação, tratamento, mitigação e notificação de incidentes que envolvam dados pessoais.

Confira o inteiro teor da resolução

A Resolução emitida pela ANPD fornece diretrizes detalhadas para que os controladores de dados possam determinar se um incidente representa um risco ou dano significativo aos titulares dos dados. De acordo com a ANPD, a presença dos requisitos listados abaixo indica a possibilidade de risco ou dano relevante aos titulares dos dados e gera, consequentemente, o dever de comunicação estabelecido na norma.

Afetar significativamente interesses e direitos fundamentais dos titulares.

• Atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço;

• Atividade de tratamento que possa ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

+

Um ou mais dos critérios indicados no Regulamento.

• Dados pessoais sensíveis;

• Dados de crianças, de adolescentes ou de idosos;

• Dados financeiros;

• Dados de autenticação em sistemas;

• Dados protegidos por sigilo legal, judicial ou profissional; ou

• Dados em larga escala (abranger número significativo de titulares, considerando, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica de localização dos titulares).

=

Incidente pode acarretar risco ou dano relevante aos titulares.

 

O normativo estabelece de forma expressa o prazo de até 03 (três) dias úteis para que o controlador efetue a comunicação inicial à ANPD e aos titulares. A comunicação poderá ser complementada no prazo de até 20 (vinte) dias úteis, após o protocolo inicial.

A regulamentação especifica que os controladores têm um prazo de até três dias úteis para realizar a comunicação inicial de incidentes à ANPD e aos titulares dos dados. Esta comunicação pode ser detalhada e complementada em um prazo adicional de até vinte dias úteis após o registro inicial.

Para agentes de tratamento de pequeno porte, definidos conforme a Resolução nº 02/2022 da ANPD, os prazos para as comunicações inicial e complementar são dobrados, proporcionando mais tempo para cumprir estas obrigações.

Segue abaixo o quadro com as informações que devem ser fornecidas pelos controladores aos titulares dos dados e à ANPD:

Comunicado para a ANPD

Comunicado para os titulares

• natureza e categoria dos dados pessoais afetados;

• número de titulares afetados, discriminando, se possível, o número de crianças, de adolescentes ou de idosos;

• medidas técnicas e de segurança adotadas antes e após o incidente;

• riscos relacionados ao incidente e possíveis impactos aos titulares;

• justificativa da comunicação não ser realizada no prazo de 03 dias úteis;

• medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente;

• data da ocorrência do incidente e do seu conhecimento pelo controlador;

• dados do encarregado ou de quem represente o controlador;

• identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte;

• identificação do operador, quando aplicável;

• descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e

• total de titulares envolvidos nas atividades de tratamento afetadas pelo incidente.

• natureza e categoria de dados pessoais afetados;

• medidas técnicas e de segurança utilizadas para a proteção dos dados;

• riscos relacionados ao incidente com identificação dos possíveis impactos;

• justificativa da comunicação não ser realizada no prazo de 03 dias úteis;

• medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente;

• data do conhecimento do incidente de segurança; e

• contato para obtenção de informações e, quando aplicável, os dados de contato do encarregado.

 

Um ponto crucial estabelecido pela nova resolução da ANPD é a exigência de que os agentes de tratamento mantenham um registro detalhado de todos os incidentes de segurança por um período mínimo de cinco anos. Isso se aplica mesmo que o incidente não tenha sido comunicado à ANPD ou aos titulares dos dados.

A análise minuciosa dessa resolução é essencial e deve ser uma prioridade para os Encarregados pelo tratamento de dados pessoais em cooperativas, dado o impacto significativo que ela pode ter nos programas de conformidade com a LGPD.

É fundamental realizar ajustes nos procedimentos internos, garantir alinhamentos com parceiros estratégicos e, quando necessário, proceder com aditamentos contratuais para assegurar a cooperação adequada na investigação e comunicação de incidentes à ANPD e aos titulares dos dados, conforme aplicável.

Gostou do tema? Nos acompanhe e fique por dentro de todas as orientações publicadas pela ANPD sobre proteção de dados pessoais.

ANPD realiza consulta pública a respeito de Estudo Preliminar sobre alto risco e larga escala
Featured

ANPD realiza consulta pública a respeito de Estudo Preliminar sobre alto risco e larga escala

A Autoridade Nacional de Proteção de Dados (ANPD) comunicou no dia 17/04, o início da consulta pública a respeito de Estudo Preliminar sobre Alto Risco e Larga Escala, a qual tem como objetivo elucidar o conceito de alto risco e demonstrar a importância do tema no âmbito do tratamento de dados pessoais por Agentes de Tratamento de Pequeno Porte (ATPP) e em outros contextos. A consulta está disponível na plataforma Participa Mais Brasil até o dia 16 de maio.

O estudo realizado pela ANPD resultará na publicação de uma metodologia orientativa que auxiliará os agentes de tratamento na tomada de decisões sobre atividades de tratamento de dados pessoais de larga escala, além de um guia sobre tratamentos de dados pessoais de alto risco.

É importante destacar que a definição de “larga escala” possui implicações em diversos aspectos da regulamentação da LGPD, incluindo:

· critérios gerais definidores do tratamento de dados pessoais de alto risco; · mensurar uma infração como média ou grave (Confira mais sobre as regras para aplicação de sanções);

· definição da gravidade de um incidente de segurança e sua comunicação à ANPD (Saiba mais sobre a comunicação à ANPD); e

· confecção do relatório de impacto à proteção de dados pessoais (RIPD) (Veja mais sobre este documento).

Embora a metodologia proposta pela ANPD não seja definitiva, é crucial avaliá-la cuidadosamente, uma vez que ela reflete uma tendência no entendimento da autoridade sobre o tratamento de dados pessoais em larga escala e de alto risco. Interessado no tema?

Acompanhe-nos e mantenha-se atualizado sobre os avanços regulatórios que orientarão as cooperativas nas suas decisões e no desenvolvimento de uma cultura robusta de proteção de dados pessoais.

Proposta da ANPD de regulamentação do papel do Encarregado pelo tratamento de dados pessoais
Featured

Proposta da ANPD de regulamentação do papel do Encarregado pelo tratamento de dados pessoais

O Encarregado pelo tratamento de dados pessoais desempenha um papel crucial na promoção e disseminação da cultura de proteção de dados pessoais dentro da organização. Conforme estabelecido no artigo 41, §2º da Lei Geral de Proteção de Dados Pessoais (LGPD), suas competências incluem:

· aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

· receber comunicações da autoridade nacional e adotar providências;

· orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

· executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

A respeito desse ponto específico, é importante destacar que a Autoridade Nacional de Proteção de Dados (ANPD) divulgou uma proposta de resolução (Confira a íntegra da proposta) para regulamentar as responsabilidades do encarregado. Esta proposta inclui diversos aspectos que as cooperativas devem observar atentamente:

· Indicação formal e publicidade da nomeação: O encarregado deve ser formalmente designado pelos controladores de dados pessoais, por meio de um documento oficial como uma Portaria ou Política. O nome completo ou razão social do encarregado, juntamente com suas informações de contato, deve ser divulgado no site da organização ou, na falta deste, por meio de qualquer canal de comunicação disponível.

· Características da atuação e qualificação: O encarregado pode ser um membro interno da equipe da organização ou um profissional externo contratado (prestador de serviços). Ele deve ter autonomia técnica e acesso facilitado à alta administração. O artigo 5º da proposta de resolução ressalta a importância de que a escolha do DPO leve em consideração suas habilidades profissionais, especialmente em privacidade e proteção de dados, adequadas ao desempenho das funções estabelecidas no Regulamento.

· Língua portuguesa: O encarregado deve se comunicar de forma clara, precisa e em português com os titulares dos dados pessoais.

· Acúmulo de funções e conflito de interesse: O encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que possível o pleno atendimento de suas atribuições e inexista conflito de interesses. Presume-se conflito de interesses o acúmulo da função de encarregado com aquela em que haja competência para decisões referentes ao tratamento de dados pessoais, em nome do agente de tratamento.

· Responsabilidade pela conformidade: A ANPD enfatiza que a responsabilidade pela conformidade com a legislação é do agente de tratamento e não do encarregado.

O regulamento proposto pela ANPD traz novas responsabilidades para o encarregado, complementando aquelas estabelecidas pela LGPD ou definidas pelo controlador. De acordo com a proposta, o encarregado deve orientar a cooperativa em atividades como:

· elaboração do comunicado de incidente de segurança da informação;

· elaboração do Relatório de Impacto a Proteção de Dados Pessoais (RIPD);

· identificação e análise de riscos relativos ao tratamento de dados pessoais;

· definição de medidas de segurança, técnicas e administrativas;

· implementação da LGPD, regulamentos da ANPD e adoção de melhores práticas;

· análise de cláusulas contratuais com terceiros que versem sobre proteção de dados pessoais;

· transferências internacionais de dados;

· formulação e implementação de regras de boas práticas e de governança e de programa de governança em privacidade.

Gostou do tema? Nos acompanhe e fique por dentro do cenário regulatório da ANPD e dicas práticas que podem auxiliar o processo de conformidade das cooperativas e no desenvolvimento da cultura de proteção de dados pessoais.

Os cuidados necessários durante a utilização de formulários digitais
Featured

Os cuidados necessários durante a utilização de formulários digitais

Nos últimos meses, temos testemunhado uma intensificação na fiscalização e regulamentação por parte da Autoridade Nacional de Proteção de Dados (ANPD), que já resultou na aplicação das primeiras penalidades administrativas e na publicação de novas normativas ou propostas de regulamentações abordando diversos aspectos da Lei Geral de Proteção de Dados Pessoais (LGPD).

Diante desse cenário, torna-se essencial que as cooperativas adotem medidas de segurança abrangentes, tanto técnicas quanto administrativas, para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas que possam resultar em destruição, perda, alteração, comunicação indevida ou qualquer outra forma de tratamento inadequado, conforme estabelecido no artigo 46 da LGPD.

Vale ressaltar que a ANPD recentemente aplicou uma penalidade a um órgão público do Distrito Federal ligado à área da educação, devido à falta de adoção das medidas técnicas necessárias que resultaram em um incidente de segurança da informação. Essa penalidade foi motivada pela exposição indevida de respostas capturadas pelo órgão público de crianças e adolescentes em um formulário do Google Forms. Segundo investigações da ANPD, essas respostas estavam acessíveis publicamente na internet devido a uma falha na configuração das permissões de acesso ao documento.

Confira AQUI a íntegra do relatório de instrução da ANPD em relação ao evento acima narrado.

É bastante comum que as cooperativas recorram a formulários digitais, como Google Forms, Microsoft Forms, SurveyMonkey, entre outros, em suas atividades diárias para coletar dados pessoais de colaboradores, cooperados e do público em geral. Diante disso, torna-se fundamental que os colaboradores responsáveis pela utilização desses serviços sejam devidamente treinados e orientados sobre as melhores práticas de proteção de dados pessoais e segurança da informação.

A seguir, destacamos alguns elementos que devem ser observados ao utilizar formulários digitais, a fim de mitigar riscos associados à sua utilização:

Dados necessários: As cooperativas devem avaliar cuidadosamente as informações coletadas, garantindo que sejam limitadas ao mínimo necessário para alcançar a finalidade pretendida.

Permissões de acesso: As configurações do questionário e das respostas inseridas devem ser restritivas para evitar acesso não autorizado às informações dos respondentes. Somente pessoas autorizadas devem ter acesso aos documentos para evitar vazamento de informações.

Extração dos dados: Os colaboradores responsáveis pelos formulários devem adotar rotinas para extrair os dados pessoais coletados para a rede interna da cooperativa, dificultando o acesso de terceiros a essas informações.

Serviços corporativos: Priorizar o uso de serviços corporativos para a utilização de formulários digitais é crucial, uma vez que os serviços pessoais podem comprometer a confidencialidade, integridade e disponibilidade das informações coletadas.

Aviso de privacidade: Forneça aos respondentes dos formulários informações claras sobre como seus dados serão coletados, armazenados, utilizados e protegidos. Isso ajuda a construir confiança e demonstra o compromisso da cooperativa com a privacidade e proteção dos dados.

Envolvimento do Encarregado pelo tratamento de dados (DPO): O uso de serviços de formulários digitais deve ser mapeado e registrado no registro de operações de tratamento de dados pessoais da cooperativa, conforme orientação do DPO, para garantir a observância das medidas adequadas ao contexto de uso desses serviços.

A implementação das medidas acima mencionadas contribuirá para que a cooperativa reduza os riscos associados à utilização de serviços de formulários digitais, promovendo a conformidade com a legislação em vigor.

Gostou do tema? Nos acompanhe e fique por dentro do cenário fiscalizatório da ANPD e dicas práticas que podem auxiliar o processo de conformidade das cooperativas e no desenvolvimento da cultura de proteção de dados pessoais.

Retrospectiva 2023: proteção de dados pessoais em pauta
Featured

Retrospectiva 2023: proteção de dados pessoais em pauta

A Lei Geral de Proteção de Dados Pessoais (LGPD) conferiu à Autoridade Nacional de Proteção de Dados (ANPD) um papel fundamental na orientação e regulamentação de diversos dispositivos legais. Nesse contexto, a ANPD encontra-se atualmente engajada na elaboração e disponibilização de uma série de instruções e diretrizes, visando auxiliar cooperativas e outras organizações a se adequarem de maneira eficaz à referida legislação.

O ano de 2023 foi marcado por significativos avanços no âmbito da proteção de dados pessoais. Testemunhamos a implementação de diversas regulamentações e esclarecimentos por parte da ANPD, indicando que 2024 será um período igualmente dinâmico e repleto de desenvolvimentos nessa área.

Para recapitular os eventos mais relevantes ocorridos em 2023 no cenário da proteção de dados pessoais no Brasil, elaboramos este resumo, destacando os principais acontecimentos e contribuições para o entendimento e cumprimento das normativas vigentes.

Janeiro:

01/01 – Vigência do novo formulário padrão de comunicação de incidentes de segurança (CIS).

01/01 – Publicado Decreto n.º 11.348/2023, que alterou a estrutura regimental da Autoridade Nacional de Proteção de Dados - ANPD, a qual passa a estar vinculada ao Ministério da Justiça.

30/01 – Criado o Comitê de Governança Digital para deliberar sobre assuntos relativos à implementação de ações de governo digital e uso de recursos de tecnologia da informação e comunicação no âmbito da ANPD.

Fevereiro:

27/02 – Publicado Regulamento de dosimetria e aplicação de sanções administrativas, que dispõe sobre a aplicação de sanções administrativas, tais como advertências, multas e até mesmo a proibição de realizar atividades de tratamento com dados pessoais, considerando, dentre outros aspectos, o dano ou o prejuízo causado aos titulares de dados pessoais a partir da infração à LGPD.

Março:

07/03 – Decisão do Superior Tribunal de Justiça (STJ) consolida entendimento de que o vazamento de dados pessoais em razão de uma falha indesejável em sistemas ou outros ambientes não tem a capacidade, por si só, de gerar dano moral.

17/05 – Acordo cooperação é firmado entre a Controladoria-Geral da União - CGU e a ANPD para harmonizar entendimentos sobre a Lei de Acesso à Informação – LAI e a Lei Geral de Proteção de Dados Pessoais – LGPD.

17/03 – ANPD publica nota técnica indicando que a LGPD não é aplicável ao tratamento de dados de pessoas falecidas. O documento foi disponibilizado após questionamento realizado pela Polícia Rodoviária Federal.

23/03 – ANPD divulga relação de processos sancionatórios. A lista indicava o nome dos agentes de tratamento (órgãos públicos, empresas e outras organizações), a conduta realizada, o setor de atuação do agente fiscalizado, a fase em que se encontrava o processo e o número do processo.

Abril:

06/04 - ANPD divulga página com perguntas e respostas sobre o Relatório de impacto à proteção de dados pessoais (RIPD). A iniciativa promoveu a compreensão e orientou os controladores de dados pessoais sobre o assunto.

20/04 – Publicada Lei Federal n.º 14.533/2023, que alterou o artigo 39 do Estatuto da Igualdade Racial, para o fim de obrigar o setor público e privado a proceder com o registro do segmento étnico e racial a que os seus trabalhadores pertencem, para subsidiar a execução de políticas públicas pelo Poder Público.

24/04 – ANPD disponibiliza canal para o envio e esclarecimentos sobre denúncias e petições de titulares de dados pessoais. O público tem acesso as principais e mais frequentes dúvidas sobre os dois tipos de requerimentos e ao novo formulário para envio de denúncias e petições.

Maio:

23/05 – Publicada Resolução conjunta n.º 06/2023, do Banco Central do Brasil e o Conselho Monetário Nacional, estabelecendo requisitos para o compartilhamento de dados e informações sobre indícios de fraudes pelos agentes de tratamento de dados pessoais autorizados a funcionar pelo Banco Central do Brasil.

24/05 – ANPD publica enunciado sobre o tratamento de dados pessoais de crianças e adolescentes.

31/05 – Divulgada nova lista de processos de fiscalização em andamento. A relação contemplava 8 agentes de tratamento de dados pessoais.

Junho:

14/06 – ANPD disponibiliza modelo de registro simplificado das operações de tratamento de dados pessoais para agentes de tratamento de pequeno porte (ATPP).

26/06 – ANPD publica guia orientativo sobre tento de dados pessoais para fins acadêmicos, com recomendações e boas práticas que devem ser aplicadas em tais atividades. 

Julho:

07/07 – Aplicação da primeira penalidade administrativa por descumprimento da LGPD. As penalidades de advertência e multa foram aplicadas para um microempreendedor individual situado na cidade de Vila Velha/ES, que atua no mercado de telecomunicações, VoIP, marketing e telemarketing.

28/07 – ANPD publica listas tríplices para composição do CNPD e as remete à Casa Civil.

Agosto:

14/08 – A LGPD completa 05 anos de sanção.

15/08 – Iniciada consulta pública sobre o Regulamento de transferências internacionais de dados pessoais e o modelo de cláusulas-padrão contratuais, em atenção aos artigos 33, II, alíneas a, b e c, art. 35, §§ 1º, 2º e 5º, e art. 36, da LGPD.

16/08 – ANPD inicia consulta pública sobre estudo preliminar referente à hipótese legal de tratamento de dados pessoais do legítimo interesse, prevista no art. 7º, inciso IX, da LGPD. 

Setembro:

12/09 – ANPD realiza audiência pública sobre o Regulamento de transferências internacionais de dados pessoais.

Outubro:

06/10 – ANPD conclui processo administrativo sancionador contra o Instituto de Assistência Médico-Socioeconômica do Servidor Público Estadual de São Paulo (IAMSPE), que resultou na aplicação de penalidades administrativas: 02 advertências.

18/10 – ANPD aplica de penalidade administrativa em face da Secretaria de Saúde do Estado de Santa Catarina (SES-SC): 04 advertências e 02 medidas corretivas.

30/10 – Publicado Decreto n. 11.758/2023 que modificou a estrutura regimental e o quadro demonstrativo dos cargos em comissão e das funções de confiança da ANPD.

Novembro:

01/11 – Vigência das regras sobre compartilhamento de dados e informações sobre indícios de fraudes previstas na Resolução conjunta n.º 06/2023, do Banco Central do Brasil e o Conselho Monetário Nacional.

07/11 – ANPD completa 03 anos de existência.

07/11 – ANPD inicia consulta pública sobre a minuta de Resolução referente a atuação do Encarregado pelo tratamento de dados pessoais, prevendo definições sobre a indicação, a definição, as atribuições e a atuação do Encarregado.

Dezembro:

05/12 – Realizada de audiência pública sobre o Regulamento sobre a atuação do Encarregado pelo tratamento de dados pessoais.

13/12 – Publicado Mapa de Temas Prioritários da ANPD para 2024 e 2025. O documento aborda os temas que serão prioridade para estudos e planejamento das atividades de fiscalização pelos próximos dois anos.

 

Diante desse panorama dinâmico e evolutivo, é imperativo que as cooperativas permaneçam atentas e engajadas na contínua adaptação aos requisitos da LGPD. A ANPD, ao desempenhar seu papel orientador e regulamentador, proporciona um guia valioso para a conformidade, fortalecendo a cultura de proteção de dados no Brasil. À medida que adentramos o ano de 2024, é evidente que a proteção de dados pessoais permanecerá no centro das discussões e ações, exigindo o comprometimento constante de todos os ramos do cooperativismo.

O resumo apresentado acima serve como um registro dos avanços alcançados em 2023 e, ao mesmo tempo, como um chamado à vigilância e à prontidão para os desafios e oportunidades que continuarão a surgir nesse importante campo.

Nesse contexto, o Sistema OCB permanecerá atento aos movimentos regulatórios, proporcionando suporte e informação essenciais às cooperativas para a conformidade com a LGPD.

Registro de Operações é crucial para tratamento de dados pessoais
Featured

Registro de Operações é crucial para tratamento de dados pessoais

A gestão adequada de dados pessoais nas cooperativas é fundamental para evitar a aplicação de penalidades administrativas e garantir a correta aplicação da Lei Geral de Proteção de Dados (LGPD). A atuação de fiscalização e regulação da Autoridade Nacional de Proteção de Dados (ANPD) mostra que quando as regras deixam de ser seguidas efetivamente, as sanções são aplicadas de forma imediata. 

O Registro de Operações de Tratamento de Dados Pessoais (também conhecimento como RoPA – do inglês Record of Processing Activities) é um dos passos significativos do processo. Ele garante transparência, segurança e conformidade com a Lei (Confira mais sobre os documentos essenciais para a conformidade).

Estruturado para compilar as atividades de tratamento de dados pessoais realizadas, o registro é um documento essencial para facilitar a proteção dos dados pessoais e permitir o conhecimento sobre os tratamentos realizados. Ou seja, ele mostra como as operações são realizadas, passo a passo, desde a coleta do dado até a sua eliminação.

É importante ressaltar, no entanto, que a mera confecção do documento não é suficiente para atingir a conformidade. Como as rotinas nas organizações estão em constante transformação, revisão para manutenção do registro é uma obrigação necessária para garantir a efetividade da proteção dos direitos individuais e da segurança das informações, além de contribuir diretamente com o fortalecimento da confiança entre as cooperativas e os titulares.

A transparência alcançada com o documento é outro benefício chave, pois ele possibilita que as organizações forneçam informações claras aos titulares de dados pessoais sobre como suas informações são tratadas. Isso fortalece a confiança dos titulares com as cooperativas e pode ser um diferencial competitivo, destacando a responsabilidade da cooperativa em relação à privacidade e proteção de dados pessoais.

Além disso, o registro é uma ferramenta valiosa para a gestão de riscos, uma vez que apresenta uma visão clara de como os dados pessoais são utilizados nos processos, possibilitando que as cooperativas identifiquem potenciais vulnerabilidades e adotem medidas proativas para mitigação dos riscos.

Fique atento:

Além de uma obrigação legal prevista no art. 37 da LGPD, o registro pode ser solicitado a qualquer momento pela Autoridade Nacional (ANPD) durante eventual fiscalização ou auditoria.

 

Importante: A primeira penalidade aplicada pela ANPD decorreu da ausência de registro de operações de tratamento de dados pessoais (Confira mais informações sobre as penalidades aplicadas)

 

Informações indicadas

A LGPD não define, expressamente, quais informações devem estar contempladas no registro. A ANPD, por sua vez, divulgou um modelo simplificado para a operação, aplicável aos agentes de tratamento de pequeno porte e que apresenta diretrizes que auxiliam a construção do documento.

Além dessas diretrizes, cada cooperativa deve considerar a relevância que determinado campo representa para o seu programa de conformidade. Esta análise pode ser realizada a partir de reflexões, como:

  • O campo auxilia no atendimento aos direitos dos titulares?
  • O campo possibilita a identificação de possíveis vulnerabilidades?
  • O campo permite o conhecimento sobre a atuação dos terceiros?

Gostou do tema? Nos acompanhe e fique por dentro dos avanços regulatórios envolvendo este importante documento para a conformidade das cooperativas e que contribui diretamente com o desenvolvimento da cultura de proteção de dados pessoais.

Aberta consulta pública para definição de regulamento sobre Encarregado de Dados Pessoais
Featured

Aberta consulta pública para definição de regulamento sobre Encarregado de Dados Pessoais

A Autoridade Nacional de Proteção de Dados (ANPD) iniciou no dia 7 de novembro consulta pública para definição final do Regulamento sobre Encarregado pelo tratamento de dados pessoais (DPO). As contribuição serão utilizadas para elaboração das normas que evolvem o papel do encarregado. A consulta está disponível na plataforma Participa Mais Brasil e o s interessados têm até o dia 07 de dezembro para enviar suas sugestões. Além da consulta, está prevista uma audiência pública com a mesma finalidade, ainda a ser divulgada pela ANPD.

A função do Encarregado pelo tratamento de dados pessoais está prevista no artigo 41 da Lei Geral de Proteção de Dados Pessoais. Ele é o responsável por mediar o diálogo entre a organização, os titulares dos dados pessoais e a Autoridade Nacional. Suas atividades incluem a recepção de reclamações dos titulares e de comunicações da ANPD, bem como o fomento a boas práticas de proteção de dados pessoais dentro das organizações.

O regulamento proposto inicialmente traz as seguintes previsões:

  • Indicação formal: o encarregado deverá ser indicado formalmente por meio de portaria, políticas previamente estabelecidas, entre outros, pelos controladores de dados pessoais;
  • Publicidade da nomeação: o nome completo ou nome empresarial do encarregado e as suas informações de contato devem ser disponibilizadas no site da organização, ou por meio de qualquer meio de comunicação disponível;
  • Características da atuação: o encarregado poderá ser um integrante do quadro funcional da organização ou indivíduo externo (prestador de serviços), além de ser dotado de autonomia técnica e acesso facilitado à alta administração;
  • Encarregado substituto: a organização deverá indicar formalmente o substituto do encarregado, o qual atuará nas ausências, impedimentos e vacâncias do titular;
  • Língua portuguesa: o encarregado deverá se comunicar com os titulares de dados pessoais de forma clara, precisa e em língua portuguesa;
  • Acúmulo de funções e conflito de interesses: o encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que possível o pleno atendimento de suas atribuições e não exista conflito de interesses. Presume-se conflito de interesses como o acúmulo da função de encarregado com aquela em que haja competência para decisões referentes ao tratamento de dados pessoais, em nome do agente de tratamento;
  • Responsabilidade pela conformidade: a ANPD indica expressamente que a responsabilidade pela conformidade é do agente de tratamento e não do encarregado;
  • Atribuições complementares: além das previstas na LGPD ou definidas pelo controlador, compete ao encarregado orientar o controlador nas seguintes atividades:

Embora as disposições previstas no regulamento não sejam definitivas, elas devem ser avaliadas com cautela pois representam tendências no entendimento estabelecido pela ANPD sobre o papel dos encarregados pelo tratamento de dados pessoais.

Além disso, é recomendável que as cooperativas avaliem os impactos que o regulamento representa em seus respectivos programas de conformidade com a LGPD, especialmente no que respeito aos seguintes pontos:

  • Nomeação formal do titular e substituto;
  • Divulgação das informações dos nomeados no meio de comunicação cabível (ex.: site);
  • Identificação de eventual conflito de interesse do profissional nomeado, a partir das definições apresentadas pela ANPD na minuta do Regulamento.

Gostou do tema? Nos acompanhe e fique por dentro dos avanços regulatórios envolvendo este importante personagem para o desenvolvimento da cultura de proteção de dados pessoais nas organizações.

Incidentes de violação de dados pessoais precisam ser comunicados
Featured

Incidentes de violação de dados pessoais precisam ser comunicados

A comunicação de ocorrências de incidentes que podem causar riscos ou dados relevantes aos titulares à Agência Nacional de Proteção de Dados (ANPD) é determinada pela Lei Geral de Proteção de Dados (LGPD), em seu artigo 48. O tema ganhou ainda mais relevância com a penalização recente de dois agentes de tratamentos de dados pessoais por violação do dever de comunicação (Confira  matéria sobre o tema) e exige que as cooperativas fiquem constantemente atentas aos aspectos gerais que envolvem essa comunicação.

 O cumprimento dessa obrigação ocorre por meio do processo de Comunicação de Incidente de Segurança (CIS). Em seu site institucional, a ANPD oferece informações gerais relacionadas ao procedimento ou de eventos com a possibilidade de causar ou que causem risco ou dano relevantes para os titulares de dados pessoais. Confira abaixo, algumas dicas:

  1. O que caracteriza um incidente de segurança de dados pessoais?

Qualquer evento que comprometa a confidencialidade, integridade ou disponibilidade de dados pessoais pode caracterizar um incidente. Eles podem decorrer de ações voluntárias ou   acidentais que resultem em divulgação, alteração, perda ou acesso não autorizado a dados pessoais, independentemente do meio em que estão armazenados.

  1. Todos os incidentes identificados devem ser reportados à ANPD?

Não. Somente os incidentes que reúnem, cumulativamente, os seguintes critérios:

  • Tenha a ocorrência confirmada pelo agente;
  • Envolva dados pessoais sujeitos à LGPD;
  • Acarrete risco ou dano relevante aos titulares dos dados.

Segundo a ANPD, “são considerados incidentes capazes de causar risco ou dano relevante aqueles que possam causar aos titulares danos materiais ou morais, expô-los a situações de discriminação ou de roubo de identidade, especialmente se envolverem dados em larga escala, sensíveis e de grupos vulneráveis como crianças e adolescentes ou idosos.

  1. Qual o prazo para a comunicação?

Ainda não foi expressamente definido, mas a recomendação é para que os controladores façam o registro até dois dias úteis da ciência do fato. Há expectativas para que o prazo oficial seja definido pela autoridade por meio de regulamento próprio sobre o tema.

  1. Quais os formatos da comunicação?

Ela pode ser feita de forma completa, ou seja, quando já foram identificadas as causas e reunidas todas as informações pertinentes ao evento, ou preliminar, com as informações obtidas até o momento da comunicação, que precisam ser complementadas em até 30 dias. Para ambas, deve ser utilizado o formulário padrão disponibilizado pela ANPD (Confira ANPD disponibiliza nova versão do formulário para comunicação de incidentes).

  1. Quais informações devem ser comunicadas aos titulares atingidos pelo incidente?

O comunicado aos titulares deve fazer uso de linguagem clara e conter, ao menos, as seguintes informações:

  • Resumo e data da ocorrência do incidente;
  • Descrição dos dados pessoais afetados;
  • Riscos e consequências aos titulares de dados;
  • Medidas tomadas pelo controlador e as recomendadas aos titulares para mitigar os efeitos do incidente, se cabíveis;
  • Dados de contato do encarregado pelo tratamento de dados pessoais da cooperativa para que os titulares possam solicitar informações adicionais a respeito do incidente.

 

Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca de temas relevantes que contribuem com o desenvolvimento da cultura de proteção de dados pessoais no cooperativismo.