Primeiro vimos a chegar a lei de proteção de dados pessoais da União Europeia (GDPR), que começou a valer no ano passado, com o poder de alterar a rotina das empresas e usuários que tiverem relação direta com os países da Europa.
Agora a recente LGPD brasileira, é uma questão que também deve estar preocupando todos os que, de alguma forma, estão envolvidos com o tema proteção de dados, seja dentro das organizações seja como consultores.
Ou seja, como iniciar uma busca pela conformidade com o tema? Qual seria o padrão ideal para de fato operacionalizar de uma forma objetiva todas as informações, desde a organização da informação até do acompanhamento das tarefas diárias que a obtenção da conformidade exige?
Para quem procura uma solução específica, que seja de fácil implementação para atender os mais diversos setores, posso dizer que o ECOMPLY (www.ecomply.io), é uma opção pronta. Trata-se de uma ferramenta aprovada por mais de 400 empresas e escritórios externos de DPO e que se encaixa perfeitamente para Startup´s e para empresas de Software, especialmente os distribuídos na modalidade (SaaS).
Agora, vamos falar um pouco mais de onde surgiu a necessidade de criação do presente Check-list.
Com pouco mais de 1 ano de vigência da GDPR europeia e estando a LGPD brasileira ainda em período de adequação. Há uma verdadeira tonelada de material sobre o tema: Proteção de Dados Pessoais, além do aparecimento de várias organizações e especialistas oferecendo alguma forma de consultoria.
Também, devido a notícias dos primeiros casos de violações e incidentes efetivamente constatados pelas agências de proteção europeias, com aplicações de sanções e multas pesadas às gigantes infratoras, tais como Google, Facebook, está havendo um aumento considerável de informações/preocupações a respeito deste tema.
Os setores de Startup´s e Software como Serviço (SaaS) serão os mais impactados por tais inovações legais.
Esse Checklist lhe ajudará a avaliar o que já foi e o que ainda precisa ser feito para se atingir a conformidade com referidas legislações.
Primeiramente devemos estar totalmente alinhados com os direitos dos titulares de dados que precisam de toda forma serem preservados, quais sejam:
- O direito de Esquecimento/ Deleção: É o direito de ser esquecido propriamente dito, de ter qualquer registro sobre si eliminado de qualquer sistema;
- O direito à restrição de processamento: a restrição ao acesso aos dados e não se pode fazer nada com ele sem o consentimento do usuário;
- O direito à portabilidade de dados: Você deve fornecer a possibilidade aos seus usuários de baixar um arquivo exportável e legível por máquina de todos seus dados coletados e que são utilizados em qualquer atividade de processamento.
- O direito de retificar/corrigir os dados: Você deve sempre fornecer um caminho para edição dos dados armazenados;
- O direito de ser informado: Significa que precisa se livrar desses longos termos e condições e fornecer essas informações de maneira clara e concisa.
Agora, finalmente, vamos ao Check-List de conformidade com a GDPR & LGPD.
1. Criar Objetivos e Metas de Proteção de Dados de acordo com os princípios descritos no artigo 5º (GDPR) e engajar todos seus “colaboradores” na aplicação e estrito cumprimento dos mesmos:
É necessário conceitualizar e declarar suas metas de proteção de dados. Além de compartilhar esses objetivos aos seus colaboradores internos e externos.
2. Indique um DPO interno completamente isento de interesses - Artigo 37 da GDPR e 41 e seguintes da LGPD:
Isso pode ser qualquer pessoa da empresa que esteja ciente e informada sobre o GDPR e sobre o LGPD e tenha algum conhecimento de direito regulatório. A pessoa deve assinar um documento aceitando as responsabilidades e deve permanecer imparcial quando se trata de questões de implementação de ambas as Leis.
3. Faça uma política de cookies - Uma maneira perfeita de mostrar cookies - Artigo 7 GDPR:
Aqui você pode conferir um excelente exemplo: https://www.cookiebot.com/en/cookie-declaration/
Até agora você podia simplesmente exibir o aviso comum do tipo “nós usamos cookies”, porém tanto a GDPR quanto a LGPD alteram isso. Os cookies basicamente significam que você está coletando dados e o usuário e precisa ter certeza de que tem motivos legais para isso.
4. Adicione o consentimento de 'cookies através de qualquer plugin' - Artigo 7:
Pela diretiva da Agência Européia de Proteção de Dados o padrão para cookies é sempre fornece-los travados e ir coletando consentimento explicito de seus usuários demonstrando o que ocorrerá, ou quais funções serão habilitadas conjuntamente com referido consentimento.
5. Atualize sua política de privacidade - Política de privacidade perfeita Artigo 12:
Exemplo de forma abreviada da Política de Privacidade
6. Adicionar uma Central de Privacidade:
- Inserir caixas para gravação de consentimento com relação a cada nova versão da Política de Privacidade - Artigo 7
- Inserir caminhos para exercício do Direito de editar ou modificar os dados pessoais - Artigo 16
- Inserir caminhos para exercício do Direito de apagar ou esquecer - Artigo 17
- Descrever corretamente os objetos de processamento e recursos de criação de perfis - Artigo 21 e 22
- Inserir caminhos para exercício do Direito de acesso (eu quero acessar todos os meus dados ou seja, exportar e importar recurso) - Artigo 15
- Ainda Sob o GDPR você precisa dar aos usuários o direito de interromper o perfil automatizado - Artigo 18 e 23
- Inserir caminhos para cancelamento do envio de boletins informativos - Artigo 7
- Inserir caminhos para exercício do Direito de Exclusão automática - Artigo 17
- Inserir uma caixa de verificação de consentimento em seu formulário de contato - Artigo 7
7. Crie registros de atividades de processamento:
O ECOMPLY.io ajuda com isso. Você também pode ler no blog passo a passo sobre como remover esse item da sua lista de verificação de conformidade com o GDPR.
8. Peça aos seus fornecedores terceirizados que estejam em conformidade:
Isso inclui todos os softwares e serviços que você está usando. O ECOMPLY.io, também, ajuda você fornecendo uma lista de fornecedores comuns e permitindo que a empresa adicione todos os seus fornecedores.
9. Peça para seu departamento de TI, implementar no mínimo as seguintes Medidas Técnicas para TI:
- Adicionar anonimização ou pseudonimização se um usuário não estiver mais usando seu sistema
- Adicione criptografia em seu sistema
- Adicione mecanismos de autenticação para modificar dados
- Adicione formas de autenticação dupla ou verificação em duas etapas
- Concentre-se na minimização de dados, se você não precisar de alguma informação não a colete
- Mostre que o sistema tem um backup forte e os dados não podem ser perdidos
- Implemente segurança de aplicativos da Web, como TLS, SSL
- Cuidados com os Data Centers e sua proteção. Deve ser na Europa ou nos EUA principalmente (se possível) para que está sob a égide da GDPR e no Brasil para quem está sob a jurisdição da LGPD
- Implemente senhas criptografadas para todos os sistemas
- Proteja ao máximo o Disco rígido interno ou unidade de nuvem e se possível implemente um nível de acesso diferente a estes.
10. Declare suas Medidas Técnicas Organizacionais (TOM´s):
Implementar as medidas abaixo:
- Educar sua equipe sobre a privacidade e proteção de dados
- O acesso físico ao seu escritório deve sempre ser protegido com chaves
- Laptop e outros dispositivos da equipe também devem ser protegidos.
11. Para os departamento de Vendas e Marketing:
Tenha certeza de coletar o consentimento em todos os seus formulários de contato e de registro de usuários dos seus leads.
- Informe os clientes sobre seus CRMs, ferramentas automáticas e ferramenta de análise
- Indique o botão de desativação.
12. Contrato de Processamento de Dados:
Como fornecedor de SaaS, é necessário um contrato de processamento de dados em nome de seus clientes descrevendo todas as medidas técnicas para proteger seus dados. Consequentemente, a sua empresa precisa ter esses acordos com seus fornecedores. ECOMPLY.io irá ajudá-lo com isso .
13. Recursos Humanos (RH):
É preciso haver diferentes controles de nível para cada equipe. Nem todo mundo deveria ter acesso a todo o sistema.
Por fim, NUNCA se esqueça que:
- Que necessariamente, nem todos os seus fornecedores podem não estar em conformidade! Então jamais assuma que eles estão, a responsabilidade será sua.
- Não presuma que o fato de você já ter implementado o escudo de privacidade (SHIELD- USA) ou a ISO 27001 já o torne compatível com a GDPR & LGPD.
- Enviar Spam para os clientes em seus e-mails pessoais não é uma maneira compatível de contatá-los.
- A documentação sozinha não salvará você. Você precisa realmente fazer essas mudanças.
- Não mantenha seus laptops abertos em um espaço aberto, as pessoas podem ver esses dados.
- A conformidade não é um projeto único. Você precisa se certificar de que sua documentação esteja correta e atualizada. Além disso, você seguir a risca todas as diretrizes acima e verificá-las com frequência.
Se você ainda está confuso sobre o GDPR e não sabe por onde começar, conheça a ECOMPLY.io e torne a obtenção de conformidade em uma tarefa simples e objetiva.