Produto
Demo
Blog

O Check-list para a obtenção de conformidade com GDPR & LGPD nas Startup´s e empresas de Software (SaaS) em geral

Primeiro vimos a chegar a lei de proteção de dados pessoais da União Europeia (GDPR), que começou a valer no ano passado, com o poder de alterar a rotina das empresas e usuários que tiverem relação direta com os países da Europa.

Agora a recente LGPD brasileira, é uma questão que também deve estar preocupando todos os que, de alguma forma, estão envolvidos com o tema proteção de dados, seja dentro das organizações seja como consultores.

Ou seja, como iniciar uma busca pela conformidade com o tema? Qual seria o padrão ideal para de fato operacionalizar de uma forma objetiva todas as informações, desde a organização da informação até do acompanhamento das tarefas diárias que a obtenção da conformidade exige?

Para quem procura uma solução específica, que seja de fácil implementação para atender os mais diversos setores, posso dizer que o ECOMPLY (www.ecomply.io), é uma opção pronta. Trata-se de uma ferramenta aprovada por mais de 400 empresas e escritórios externos de DPO e que se encaixa perfeitamente para Startup´s e para empresas de Software, especialmente os distribuídos na modalidade (SaaS).

Agora, vamos falar um pouco mais de onde surgiu a necessidade de criação do presente Check-list.

Com pouco mais de 1 ano de vigência da GDPR europeia e estando a LGPD brasileira ainda em período de adequação. Há uma verdadeira tonelada de material sobre o tema: Proteção de Dados Pessoais, além do aparecimento de várias organizações e especialistas oferecendo alguma forma de consultoria.

Também, devido a notícias dos primeiros casos de violações e incidentes efetivamente constatados pelas agências de proteção europeias, com aplicações de sanções e multas pesadas às gigantes infratoras, tais como Google, Facebook, está havendo um aumento considerável de informações/preocupações a respeito deste tema.

Os setores de Startup´s e Software como Serviço (SaaS) serão os mais impactados por tais inovações legais.

Esse Checklist lhe ajudará a avaliar o que já foi e o que ainda precisa ser feito para se atingir a conformidade com referidas legislações.

Primeiramente devemos estar totalmente alinhados com os direitos dos titulares de dados que precisam de toda forma serem preservados, quais sejam:

  • O direito de Esquecimento/ Deleção: É o direito de ser esquecido propriamente dito, de ter qualquer registro sobre si eliminado de qualquer sistema;
  • O direito à restrição de processamento: a restrição ao acesso aos dados e não se pode fazer nada com ele sem o consentimento do usuário;
  • O direito à portabilidade de dados: Você deve fornecer a possibilidade aos seus usuários de baixar um arquivo exportável e legível por máquina de todos seus dados coletados e que são utilizados em qualquer atividade de processamento.
  • O direito de retificar/corrigir os dados: Você deve sempre fornecer um caminho para edição dos dados armazenados;
  • O direito de ser informado: Significa que precisa se livrar desses longos termos e condições e fornecer essas informações de maneira clara e concisa.

Agora, finalmente, vamos ao Check-List de conformidade com a GDPR & LGPD.

1. Criar Objetivos e Metas de Proteção de Dados de acordo com os princípios descritos no artigo 5º (GDPR) e engajar todos seus “colaboradores” na aplicação e estrito cumprimento dos mesmos:

É necessário conceitualizar e declarar suas metas de proteção de dados. Além de compartilhar esses objetivos aos seus colaboradores internos e externos.

2. Indique um DPO interno completamente isento de interesses - Artigo 37 da GDPR e 41 e seguintes da LGPD:

Isso pode ser qualquer pessoa da empresa que esteja ciente e informada sobre o GDPR e sobre o LGPD e tenha algum conhecimento de direito regulatório. A pessoa deve assinar um documento aceitando as responsabilidades e deve permanecer imparcial quando se trata de questões de implementação de ambas as Leis.

3. Faça uma política de cookies - Uma maneira perfeita de mostrar cookies - Artigo 7 GDPR:

Aqui você pode conferir um excelente exemplo: https://www.cookiebot.com/en/cookie-declaration/

Até agora você podia simplesmente exibir o aviso comum do tipo “nós usamos cookies”, porém tanto a GDPR quanto a LGPD alteram isso. Os cookies basicamente significam que você está coletando dados e o usuário e precisa ter certeza de que tem motivos legais para isso.

4. Adicione o consentimento de 'cookies através de qualquer plugin' - Artigo 7:

Pela diretiva da Agência Européia de Proteção de Dados o padrão para cookies é sempre fornece-los travados e ir coletando consentimento explicito de seus usuários demonstrando o que ocorrerá, ou quais funções serão habilitadas conjuntamente com referido consentimento.

5. Atualize sua política de privacidade - Política de privacidade perfeita Artigo 12:

Exemplo de forma abreviada da Política de Privacidade

6. Adicionar uma Central de Privacidade:

  • Inserir caixas para gravação de consentimento com relação a cada nova versão da Política de Privacidade - Artigo 7
  • Inserir caminhos para exercício do Direito de editar ou modificar os dados pessoais - Artigo 16
  • Inserir caminhos para exercício do Direito de apagar ou esquecer - Artigo 17
  • Descrever corretamente os objetos de processamento e recursos de criação de perfis - Artigo 21 e 22
  • Inserir caminhos para exercício do Direito de acesso (eu quero acessar todos os meus dados ou seja, exportar e importar recurso) - Artigo 15
  • Ainda Sob o GDPR você precisa dar aos usuários o direito de interromper o perfil automatizado - Artigo 18 e 23
  • Inserir caminhos para cancelamento do envio de boletins informativos - Artigo 7
  • Inserir caminhos para exercício do Direito de Exclusão automática - Artigo 17
  • Inserir uma caixa de verificação de consentimento em seu formulário de contato - Artigo 7

7. Crie registros de atividades de processamento:

O ECOMPLY.io ajuda com isso. Você também pode ler no blog passo a passo sobre como remover esse item da sua lista de verificação de conformidade com o GDPR.

8. Peça aos seus fornecedores terceirizados que estejam em conformidade:

Isso inclui todos os softwares e serviços que você está usando. O ECOMPLY.io, também, ajuda você fornecendo uma lista de fornecedores comuns e permitindo que a empresa adicione todos os seus fornecedores.

9. Peça para seu departamento de TI, implementar no mínimo as seguintes Medidas Técnicas para TI:

  • Adicionar anonimização ou pseudonimização se um usuário não estiver mais usando seu sistema
  • Adicione criptografia em seu sistema
  • Adicione mecanismos de autenticação para modificar dados
  • Adicione formas de autenticação dupla ou verificação em duas etapas
  • Concentre-se na minimização de dados, se você não precisar de alguma informação não a colete
  • Mostre que o sistema tem um backup forte e os dados não podem ser perdidos
  • Implemente segurança de aplicativos da Web, como TLS, SSL
  • Cuidados com os Data Centers e sua proteção. Deve ser na Europa ou nos EUA principalmente (se possível) para que está sob a égide da GDPR e no Brasil para quem está sob a jurisdição da LGPD
  • Implemente senhas criptografadas para todos os sistemas
  • Proteja ao máximo o Disco rígido interno ou unidade de nuvem e se possível implemente um nível de acesso diferente a estes.

10. Declare suas Medidas Técnicas Organizacionais (TOM´s):

Implementar as medidas abaixo:

  • Educar sua equipe sobre a privacidade e proteção de dados
  • O acesso físico ao seu escritório deve sempre ser protegido com chaves
  • Laptop e outros dispositivos da equipe também devem ser protegidos.

11. Para os departamento de Vendas e Marketing:

Tenha certeza de coletar o consentimento em todos os seus formulários de contato e de registro de usuários dos seus leads.

  • Informe os clientes sobre seus CRMs, ferramentas automáticas e ferramenta de análise
  • Indique o botão de desativação.

12. Contrato de Processamento de Dados:

Como fornecedor de SaaS, é necessário um contrato de processamento de dados em nome de seus clientes descrevendo todas as medidas técnicas para proteger seus dados. Consequentemente, a sua empresa precisa ter esses acordos com seus fornecedores. ECOMPLY.io irá ajudá-lo com isso .

13. Recursos Humanos (RH):

É preciso haver diferentes controles de nível para cada equipe. Nem todo mundo deveria ter acesso a todo o sistema.

Por fim, NUNCA se esqueça que:

  1. Que necessariamente, nem todos os seus fornecedores podem não estar em conformidade! Então jamais assuma que eles estão, a responsabilidade será sua.
  2. Não presuma que o fato de você já ter implementado o escudo de privacidade (SHIELD- USA) ou a ISO 27001 já o torne compatível com a GDPR & LGPD.
  3. Enviar Spam para os clientes em seus e-mails pessoais não é uma maneira compatível de contatá-los.
  4. A documentação sozinha não salvará você. Você precisa realmente fazer essas mudanças.
  5. Não mantenha seus laptops abertos em um espaço aberto, as pessoas podem ver esses dados.
  6. A conformidade não é um projeto único. Você precisa se certificar de que sua documentação esteja correta e atualizada. Além disso, você seguir a risca todas as diretrizes acima e verificá-las com frequência.

Se você ainda está confuso sobre o GDPR e não sabe por onde começar, conheça a ECOMPLY.io e torne a obtenção de conformidade em uma tarefa simples e objetiva.

ECOMPLY.io Logo
Conteúdo