Saiba quais são os documentos essenciais para estar em conformidade com a LGPD
A adequação das cooperativas à Lei Geral de Proteção de Dados Pessoais (LGPD) passa pela revisão de processos e procedimentos, e também, pela elaboração e formalização de diversos documentos que podem ser voltados tanto para o público interno, quanto externo.
Os documentos contribuem diretamente para que as cooperativas atendam aos princípios da responsabilização e da prestação de contas estabelecidos na LGPD (Confira o material Descomplicando os princípios da LGPD).
Por isso, é imprescindível que as coops compreendam os documentos essenciais para o cumprimento da legislação e os respectivos objetivos de cada um deles na estruturação e manutenção de Programas de Privacidade e Proteção de Dados Pessoais.
Vamos a eles?
1. Registro das Operações de Tratamento de Dados Pessoais
O documento é obrigatório e explicitamente indicado na LGPD, que pode ser definido como a compilação estruturada das operações de tratamento de dados pessoais realizadas dentro da estrutura organizacional das cooperativas.
O registro também é responsável por viabilizar a proteção de dados pessoais nas cooperativas, uma vez que, para poder atender plenamente às disposições da LGPD, é necessário que as coops tenham conhecimento das atividades que realizam envolvendo dados pessoais.
Assim, mais do que simplesmente cumprir uma obrigação legal, o registro contribui com a implementação dos controles necessários para atender aos princípios e demais obrigações previstas na legislação.
Além disso, a confecção e constante atualização do registro de operações de tratamento de dados pessoais permite identificações, como, por exemplo:
- Dos tipos de dados pessoais tratados em cada um dos processos da cooperativa;
- Das finalidades para as quais as atividades com dados pessoais são desenvolvidas;
- Das bases legais que legitimam as atividades realizadas com dados pessoais (Confira o material: Quais são as bases legais que podem justificar a utilização de dados pessoais);
- Dos direitos que possuem as pessoas em cada uma das atividades desenvolvidas pela cooperativa (Confira o material LGPD – Quais os direitos dos titulares de dados pessoais e como atendê-los);
- Dos locais em que os dados pessoais estão armazenados;
- Dos compartilhamentos com terceiros ou órgãos públicos em cada uma das operações envolvendo dados pessoais;
- Das medidas de segurança adotadas.
2. Política Interna de Privacidade e Proteção de Dados Pessoais
É o documento que institui o Programa de Privacidade e Proteção de Dados Pessoais nas cooperativas para garantir o cumprimento das disposições da LGPD e, consequentemente, níveis adequados de privacidade e proteção para os dados pessoais utilizados no desenvolvimento das suas atividades institucionais.
Na política interna de privacidade e proteção de dados pessoais são estabelecidas uma série de diretrizes que devem ser cumpridas em todos os níveis das cooperativas. Essas diretrizes estão vinculadas à transparência, informação, manutenção de registros, formalização de documentos, segurança (confidencialidade, integridade e disponibilidade), atendimento de direitos, prazos de retenção, relações com terceiros e outros pontos.
São exemplos de diretrizes:
- Dever de informação aos titulares de dados pessoais sobre as atividades que serão realizadas com seus dados pessoais, antes do momento em que os dados pessoais sejam coletados ou utilizados pela primeira vez;
- Dever dos colaboradores de comunicar o Encarregado pelo tratamento de dados pessoais a respeito de todas as novas atividades de utilização de dados pessoais que passarem a ser realizadas nas cooperativas, bem como sobre eventuais atualizações daquelas já mapeadas anteriormente.
- Compromisso da cooperativa de que os dados pessoais apenas serão utilizados se a finalidade da utilização estiver devidamente registrada e justificada de acordo uma base legal permitida e adequada à categoria dos dados pessoais tratados e à finalidade do tratamento.
Dá para notar a partir dos exemplos acima a importância do envolvimento das principais áreas das cooperativas no Programa de Conformidade (Confira o material LGPD: Quais áreas da cooperativa são mais impactadas pelas medidas de adequação?), pois elas contribuem diretamente na estruturação da política e integram o Comitê responsável pelo gerenciamento do Programa.
É importante destacar que esse documento é construído a partir das peculiaridades de cada cooperativa e deve ser avaliado e formalmente aprovado pela alta gestão para que suas diretrizes passem a ser exigidas dos colaboradores, prestadores de serviço e de outras partes envolvidas nas atividades realizadas.
Além das diretrizes gerais que estarão nesta política, recomenda-se que as cooperativas especifiquem outras diretrizes em normas e procedimentos, que poderão regrar determinadas áreas e/ou aspectos da proteção de dados pessoais na estrutura das cooperativas.
Dentre as normas e procedimentos complementares, destacam-se:
- Norma de Retenção e Descarte de Dados Pessoais: Neste documento, dentre outras disposições, deve ser indicada a necessidade de elaboração e atualização de tabelas de temporalidade que servirão de referência quanto aos prazos de manutenção dos dados pessoais e as formas de descarte que serão adotadas;
- Norma de Gestão de Terceiros: define o processo que as cooperativas adotarão para que a LGPD também seja cumprida por prestadores de serviços e parceiros com os quais compartilham dados pessoais. Deve prever, dentre outras medidas, a forma como o Due Diligence (Diligência prévia de avaliação da conformidade de terceiros) será realizado e a periodicidade da sua realização.
- Procedimento para atendimento dos direitos dos titulares: Deve estabelecer os mecanismos que deverão ser observados pelo Encarregado pelo tratamento de dados pessoais no processo de validação da identidade dos titulares e o fluxo de trabalho de processamento das solicitações, desde o recebimento até a finalização do atendimento.
3. Política Externa de Privacidade ou Aviso de Privacidade
É muito comum observarmos na maioria dos sites a expressão “Política de Privacidade”, não é mesmo? No entanto, a nomenclatura adequada para este documento é Aviso de Privacidade, pois ele tem como objetivo dar transparência aos titulares acerca das atividades de tratamento de dados pessoais realizadas pelas cooperativas.
O aviso de privacidade é um dos principais instrumentos utilizados para atender ao princípio da transparência e evitar o efeito “surpresa” na utilização dos dados pessoais. Ou seja, é neste documento que as cooperativas devem informar detalhadamente as atividades que realizam com dados pessoais.
Devem ser indicados, no mínimo:
- Finalidade: detalhar as finalidades específicas que as cooperativas pretendem alcançar com o tratamento dos dados pessoais (Ex.: Enviar e-mail marketing semanalmente);
- Forma e duração do tratamento: os titulares serão informados sobre como e por quanto tempo os dados pessoais serão utilizados (Ex.: Os dados serão coletados por meio de um formulário de newsletter existente no site, inseridos em uma ferramenta de disparo de e-mail marketing que realizará envios semanais, pelo prazo de 1 ano);
- Qualificação do controlador: os titulares devem ser informados claramente sobre a identificação e o contato das cooperativas envolvidas no tratamento dos dados pessoais (Ex.: A Cooperativa XPTO é a responsável pela realização do tratamento dos dados pessoais para fins de e-mail marketing, a qual pode ser contatada por meio do e-mail
Este endereço para e-mail está protegido contra spambots. Você precisa habilitar o JavaScript para visualizá-lo. ); - Terceiros envolvidos: as cooperativas devem informar quais terceiros participam das atividades realizadas com dados pessoais (Ex.: seus dados pessoais serão compartilhados com a Plataforma XPTO para possibilitar a realização do disparo do e-mail marketing);
- Identificação do Encarregado (DPO): deve ser informado quem é o Encarregado pelo tratamento de dados pessoais da cooperativa e a forma de contatá-lo. (Ex.: O nosso Encarregado pelo tratamento de dados pessoais é Fulano e pode ser contatado a partir do nosso Portal de Privacidade (Acesse aqui) ou pelo e-mail
Este endereço para e-mail está protegido contra spambots. Você precisa habilitar o JavaScript para visualizá-lo. ); - Medidas de segurança adotadas: é importante que as cooperativas indiquem as medidas de segurança que adotam para proteger os dados pessoais contra acessos não autorizados, alterações, divulgações ou destruições. São exemplos de medidas de segurança:
- Pontos de coleta de dados pessoais protegidos com certificados SSL/TLS;
- Acesso aos dados limitado a pessoas autorizadas;
- Acesso controlado aos sistemas mediante uso de credenciais individuais;
- Controles lógicos nos dispositivos utilizados;
- Armazenamento de documentos de acordo com as melhores práticas de segurança da informação.
- Direitos dos titulares: deve ser informado expressamente a relação de direitos assegurados pela LGPD aos titulares e as formas como eles podem ser prontamente exercidos.
Para lembrar:
Os avisos de privacidade podem ser disponibilizados em sites, formulários digitais ou até mesmo em fichas físicas. Em regra, eles devem ser utilizados em todo e qualquer ponto de coleta de dados pessoais para que o titular de dados pessoais saiba previamente “para que”, “por quem”, “porque” e “por quanto tempo” os seus dados pessoais serão utilizados pelas cooperativas.
4. Política de Segurança da Informação (PSI)
É o documento que institui o Sistema de Gestão da Segurança da Informação (SGSI) nas cooperativas. Seu objetivo é garantir níveis adequados de proteção às informações da organização ou que estejam sob sua responsabilidade.
A PSI (como também é chamada), dentre outros, tem como propósito:
- Orientar quanto à adoção de controles e processos para atendimento dos requisitos de Segurança da Informação estabelecidos nas melhores práticas, a exemplo da ISO/IEC 27001;
- Indicar quais diretrizes e orientadores estratégicos são aplicados ao ambiente físico e digital para resguardar as informações das cooperativas, garantindo requisitos básicos de confidencialidade, integridade e disponibilidade;
- Prevenir possíveis causas de incidentes e responsabilização das cooperativas e seus colaboradores, associados, clientes e parceiros;
- Minimizar os riscos de perdas financeiras, de participação no mercado, da confiança de clientes, associados ou de qualquer outro impacto negativo nos negócios das cooperativas como resultado de falhas de segurança.
Lembre-se:
Não existe proteção de dados pessoais sem segurança da informação!
A política deve indicar uma série de diretrizes relacionadas à classificação, formas de tratamento das informações e controles que devem ser observados em todos os níveis das cooperativas. Assim como ocorre com a Política de Proteção de Dados Pessoais, a Política de Segurança da Informação também estabelece parâmetros gerais que devem ser detalhados em normas e procedimentos.
São exemplos de normas:
- Norma de backup: define as diretrizes para a realização de cópias de segurança para prevenir a perda das informações, softwares e sistemas das cooperativas;
- Norma de controle de acesso: define as diretrizes para gestão de identidade e para garantir o acesso seguro, de acordo com níveis de privilégio, aos ativos ou sistemas de informação das cooperativas;
- Norma de gestão de ativos da informação: define diretrizes sobre a identificação adequada dos ativos de informação das cooperativas para que os controles de proteção recomendados para estes ativos sejam implementados com êxito;
- Norma de gestão de incidentes e violação de dados pessoais: define as diretrizes e responsabilidades para garantir resposta e tratamento adequados aos incidentes que possam impactar ativos, informações, dados pessoais ou recursos computacionais das cooperativas.
Importante destacar que as normas complementares e as regras estabelecidas em cada uma das normas descritas aqui podem e devem variar de acordo com as peculiaridades de cada cooperativa, bem como diante das particularidades e complexidade dos negócios que realizam e de eventuais leis ou regulamentos específicos que incidam sobre tais negócios (Ex.: Resoluções que abordem temas de segurança da informação, emitidas pelo Bacen, com aplicabilidade para cooperativas de crédito).
5. Cláusulas Contratuais de Proteção de Dados Pessoais
Os contratos e outros documentos celebrados pelas cooperativas merecem atenção especial quando o assunto é proteção de dados pessoais. A definição de cláusulas contratuais robustas é imprescindível para a eficiência da gestão de terceiros e para delimitação de responsabilidades.
Assim, alguns aspectos devem estar obrigatoriamente contemplados nas cláusulas contratuais das cooperativas e formalizadas em contratos com prestadores de serviços ou parceiros que atuam como operadores ou controladores conjuntos:
- Responsabilidades das partes envolvidas nos tratamentos de dados pessoais;
- Limites para os tratamentos dos dados pessoais;
- Medidas de conformidade que precisarão ser mantidas pela parte com quem a contratação está sendo realizada;
- Monitoramento do terceiro, com previsão de auditoria;
- Obrigação de auxílio no atendimento dos direitos solicitados pelas pessoas;
- Dever de comunicação de eventual incidente envolvendo dados pessoais tratados a partir do contrato ou da relação mantida;
- Responsabilização da parte com quem o contrato está sendo mantido diante de descumprimentos contratuais ou descumprimento da LGPD na execução do objeto contratado.
Embora a definição dos papéis dos agentes de tratamento de dados pessoais (Controlador ou Operador) não decorra diretamente das definições acordadas nas cláusulas contratuais, elas são importantes instrumentos para assegurar que os interesses das cooperativas sejam respeitados pelos terceiros. Ainda assim, a preocupação com cláusulas contratuais não pode se limitar aos terceiros, já que as cooperativas devem estar atentas também ao relacionamento mantido com seus colaboradores e associados.
Por isso, é necessária a formalização de ajustes nos modelos de contratos de trabalho utilizados e formalização de aditivos contratuais em relação aos contratos vigentes para inclusão de disposições relacionadas à proteção de dados pessoais, além de estabelecer o compromisso do colaborador em contribuir ativamente com a manutenção e amadurecimento do Programa de conformidade.
Também é primordial que as cooperativas estabeleçam termos de adesão para benefícios optativos alcançados para os colaboradores e/ou associados, informando sobre eventual compartilhamento realizado com prestadores de serviços ou parceiros a partir da adesão do beneficiário.
6. Avaliações de Legítimo Interesse
É o documento elaborado para as atividades de tratamento de dados pessoais desenvolvidas pelas cooperativas com fundamento na base legal do “Legítimo Interesse”.
Essa avaliação é um instrumento difundido no modelo europeu de proteção de dados pessoais e incorporado pelas boas práticas no modelo brasileiro. Seu objetivo é formalizar a realização de um teste para comprovar que, efetivamente, há interesse legítimo e que este interesse não confronta com direitos das pessoas. O teste é composto por diversas perguntas que devem ser respondidas pelas cooperativas, divididas em três etapas:
- Adequação: nesta etapa, o objetivo é verificar se os dados pessoais tratados guardam relação com a finalidade almejada pelas cooperativas com a atividade de tratamento;
- Necessidade: busca avaliar se o tratamento dos dados pessoais é necessário, isto é, se não é possível alcançar a mesma finalidade de forma menos onerosa ou mediante meios alternativos e menos invasivos ao titular;
- Balanceamento: avalia se o tratamento de dados pessoais afeta os direitos e liberdades fundamentais do titular e contraria as suas legítimas expectativas.
Importante ressaltar que a confecção deste documento evidencia que as cooperativas cumprem com o princípio da responsabilização e da prestação de contas, demonstrando o compromisso e a preocupação das cooperativas em relação à matéria.
7. Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
O relatório de impacto à proteção de dados pessoais (também chamado de RIPD) é uma importante ferramenta que possibilita a análise, identificação e correção dos riscos relacionados à privacidade e proteção de dados pessoais.
O RIPD tem como objetivos:
- Dar transparência para as operações de tratamento de dados pessoais realizadas;
- Garantir o correto e adequado atendimento dos direitos dos titulares de dados pessoais,
- Adotar as melhores práticas de segurança da informação e proteção de dados pessoais; e
- Implementar uma atuação preventiva para correção de eventuais riscos que possam causar violação de dados pessoais ou a atuação em desconformidade com a LGPD e outros regulamentos sobre o tema.
Em regra, para que os objetivos indicados acima sejam alcançados satisfatoriamente, preferencialmente, o RIPD deve ser elaborado pelas cooperativas antes do início da operação de tratamento de dados pessoais.
Em relação a obrigatoriedade ou não de sua elaboração, a definição compete à Autoridade Nacional de Proteção de Dados (ANPD), que definirá os critérios por meio de regulamento próprio (ainda não disponibilizado).
Todavia, com base nas disposições indicadas na própria LGPD, tem-se que a elaboração do relatório é recomendada em atividades que resultam em alto risco aos titulares de dados pessoais, tais como:
- Tratamentos em larga escala de categorias especiais de dados pessoais, como dados pessoais sensíveis ou dados pessoais de crianças e adolescentes;
- Tratamentos de dados pessoais que envolvam o controle sistemático de ambientes acessíveis a muitas pessoas ou ao público em geral, tais como monitoramento de ambientes físicos e/ou digitais;
- Tratamentos de dados pessoais realizados a partir de decisões automatizadas, incluídas as decisões destinadas a definição de perfil pessoal, profissional, de consumo e/ou de crédito, inclusive aspectos de personalidade;
- Tratamentos de dados pessoais que visem o rastreamento da localização de pessoas ou a formação de perfil comportamental;
- Tratamentos de dados pessoais que se utilizem de inovações tecnológicas.
Além disso, por se tratar de uma ferramenta de identificação e mitigação de riscos, em qualquer caso a confecção pode ser recomendada pelo Encarregado pelo tratamento de dados pessoais ou pelo comitê responsável pelo Programa de conformidade nas cooperativas.