Autoridade contará com apoio necessário para desempenhar suas funções

A Autoridade Nacional de Proteção de Dados (ANPD) é agora vinculada ao Ministério da Justiça e Segurança Pública. Segundo a Portaria Conjunta MJSP/ANPD 05/2023, a pasta será responsável por colaborar com as atividades prestadas pela autoridade por meio de “assistência meramente administrativa e de forma temporária”.

Até então, a ANPD, formalizada pela Lei 13.853/2019, estava vinculada à Presidência da República. No entanto, com a alteração da estrutura organizacional do Ministério da Justiça (prevista no Decreto nº 11.348/23), a responsabilidade pela assistência administrativa do órgão máximo de proteção de dados pessoais do país foi alterada.

O vínculo não altera a característica de órgão autônomo e independente da ANPD. A vinculação, no entanto, é essencial para que a autoridade possa desenvolver as inúmeras ações previstas em suas atividades envolvendo a proteção de dados, já que foi constituída sem quadro funcional o aumento de despesas. A assistência administrativa contribuirá em temas como execução orçamentária, logística, atividades patrimoniais, financeiras e contábeis.

A MP 1.124/22, que transformou a ANPD em autarquia e reforçou sua autonomia, determina que o período de assistência administrativa é transitório, mas não definiu seu prazo de encerramento, afirmando apenas que ele será oportunamente conhecido. A vinculação ao Ministério da Justiça, indica, no entanto que a autoridade está recebendo o apoio necessário para desempenhar a sua função e se fortalecendo institucionalmente.

Confira abaixo as atribuições da ANPD:

- Zelar pela proteção de dados pessoais;

- Editar regulamentos e procedimentos sobre proteção de dados pessoais;

- Interpretar a aplicação da LGPD;

- Fiscalizar e aplicar sanções;

- Elaborar estudos para boas práticas no tratamento de dados pessoais;

- Implementar políticas públicas para a proteção de dados pessoais;

- Criar mecanismos para reclamações sobre o tratamento irregular de dados pessoais;

- Cooperar com órgãos internacionais de proteção de dados;

- Comunicar órgãos de controle sobre ações de descumprimento à LGPD;

- Realizar ou determinar a realização de auditorias;

- Ouvir entidades e órgãos públicos sobre temas relacionados à proteção de dados pessoais;

- Emitir relatórios anuais.

A norma que definirá a dosimetria e aplicação de sanções administrativas pelo descumprimento da Lei Geral de Proteção de Dados (LGPD) está prestes a ser publicada. Em evento virtual promovido no dia 27 de janeiro para comemorar o Dia Internacional da Proteção de Dados, o presidente da Autoridade Nacional de Proteção de Dados (ANPD), Waldemar Ortunho, revelou que a regulamentação deve ser publicada até o final de fevereiro e terá como relator o diretor Arthur Sabbat.

Embora a norma esteja em vigor há mais de dois anos, até o momento, a ANPD ainda não efetivou esta atribuição. Em setembro deste ano, a entidade colou em consulta pública uma minuta com as definições propostas para a regulamentação. O texto recebeu 2,5 mil sugestões que estão sendo avaliadas para publicação da resolução final.

Figura 1 - Etapas do processo regulatório envolvendo as penalidades

É importante, portanto, conhecer quais sanções podem ser aplicadas:

• Advertência, com indicação de prazo para adoção de medidas corretivas;
• Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no seu último exercício, excluídos os tributos e limitada, no total, a R$ 50.000.000,00, por infração;
• Multa diária, observado o limite total anterior;
• Publicização da infração, após devidamente apurada e confirmada a sua ocorrência;
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• Eliminação dos dados pessoais a que se refere a infração;
• Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; 
• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
• Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.

“As cooperativas devem lembrar que não é apenas o vazamento de dados pessoais que se caracteriza como infração à LGPD. Inúmeras outras situações podem gerar a aplicação de penalidades, como, por exemplo, a ausência de documentos obrigatórios, a não nomeação de DPO ou de canal de atendimento de direitos dos titulares”, explica Cristhian Groff, encarregado pelo tratamento de dados pessoais do Sistema OCB.

Importante:

Considerando que o processo regulatório para aplicação de penalidades está em fase final, é importante que cooperativas tratem as ações de adequação à LGPD como prioridade, executando planos de ações para estruturação da governança e conformidade, mas também para correção das lacunas nos processos que envolvem o tratamento de dados pessoais. Vale lembrar que, embora a ANPD ainda não tenha aplicado sanções, no Judiciário já são identificados inúmeros processos fundamentados na LGPD.

Gostou do tema? Nos acompanhe, em breve publicaremos conteúdos abordando exemplos de situações que geram a aplicação de penalidades na União Europeia e que possivelmente também serão objeto de discussões aqui no Brasil.

A comunicação de incidentes de segurança que possam acarretar risco ou dano relevante para titulares de dados pessoais conta com uma nova versão do formulário disponibilizado pela Autoridade Nacional de Proteção de Dados (ANPD). O uso do documento passou a ser obrigatório desde o dia primeiro de janeiro de 2023.

A revisão foi feita pela Coordenação Geral de Fiscalização da ANPD para facilitar o preenchimento pelos controladores e a análise das comunicações de incidentes pela entidade. O documento ampliou o uso de respostas estruturadas e incluiu orientações sobre o processo de comunicação de incidentes no corpo do formulário. Outro benefício esperado é a melhoria da qualidade das respostas para permitir a estruturação de uma base de dados confiável sobre incidentes de segurança.

O prazo para a comunicação dos incidentes ainda não foi expressamente definido, mas a recomendação é para que os controladores façam o registro até dois dias úteis da ciência do fato, o que deve ser observado também pelas cooperativas. Ainda este ano, no entanto, o prazo oficial deve ser deliberado, conforme agenda regulatória divulgada pela ANPD. O artigo Autoridade Nacional divulga nova agenda regulatória da LGPD identifica todos os pontos que serão regulamentados pela autoridade no biênio 2023/2024.

A comunicação pode ser feita de duas formas: completa, ou seja, quando a cooperativa já identificou as causas e reuniu todas as informações pertinentes ao evento, ou preliminar, com as informações obtidas até o momento da comunicação e que precisam ser complementadas em até 30 dias. “Os agentes de tratamento demonstram à autoridade o cumprimento de suas obrigações legais relativas ao incidente e a adoção de medidas de segurança adequadas às suas atividades de tratamento de dados”, informa a própria ANPD.

Por isso, a comunicação, ainda que realizada por cautela, será apreciada pela ANPD como boa prática adotada pela cooperativa, razão pela qual é recomendável que os incidentes identificados sejam devidamente registrados e comunicados a autoridade e aos titulares, caso haja alguma suspeita de que eles possam acarretar risco ou dano relevante aos titulares.

Em caso de dúvidas, a ANPD disponibiliza em seu site institucional informações gerais relacionadas ao procedimento de comunicação de incidentes ou eventos com a possibilidade de causar ou que causem risco ou dano relevantes para os titulares de dados pessoais.

Princípios

A Lei Geral de Proteção de Dados Pessoais (LGPD) é uma norma estabelecida com base em princípios, e por isso, é importante que as cooperativas os observem com atenção, principalmente os que dizem respeito a responsabilização e a prestação de contas. Em Descomplicando os princípios da LGPD é possível conferir um pouco mais sobre cada um dos princípios previstos na norma.

O artigo 46 da Lei Geral de Proteção de Dados Pessoais (LGPD) prevê a obrigação aos agentes de tratamento de dados pessoais (controladores e operadores) de adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Ocorre que até o momento, a Autoridade Nacional de Proteção de Dados (ANPD) disponibilizou apenas um guia orientativo sobre a matéria (Acesse o guia aqui), o qual é destinado aos agentes de tratamento de pequeno porte, ou seja, aqueles que atendem aos requisitos da Resolução n. 2/2022 da ANPD (Acesse a resolução aqui).

Embora o guia seja destinado a eles, todo e qualquer agente de tratamento, dentre eles as cooperativas, podem se valer das boas práticas recomendadas e indicadas no documento, uma vez que são disposições que permitirão que a organização tenha condições minimamente necessárias para desenvolver a temática de segurança da informação dentro de sua estrutura organizacional.

O guia aborda alguns dos principais controles que devem ser observados pelos agentes:

• Política de segurança da informação: é recomendável a existência deste documento, ainda que no formato simplificado, com previsão de revisões periódicas e contemplando aspectos relacionados com cópias de segurança, uso de senhas, acesso à informação, compartilhamento de dados, atualização de softwares, uso de correio eletrônico, uso de antivírus, entre outros;
• Conscientização e treinamento: é imprescindível que as organizações, independentemente de seu tamanho, invistam em seu capital humano. Rotinas de treinamento e conscientização sobre a importância e cuidados que devem ser adotados no tratamento de dados pessoais é um dos principais mecanismos de mitigação dos riscos de eventuais irregularidades;
• Gerenciamento de contratos: a existência de instrumentos contratuais com cláusulas de segurança da informação que assegurem a adequada proteção dos dados pessoais contemplando regras sobre compartilhamentos, relações controlador-operador e orientações sobre o tratamento a ser realizado, são indispensáveis para a segurança nos relacionamentos estabelecidos pelos agentes;
• Controle de acesso: controlar e restringir o acesso aos dados pessoais contribui diretamente para a governança efetiva dos dados na organização;
• Segurança dos dados pessoais armazenados: a segurança dos locais em que os dados pessoais são armazenados deve ser avaliada pelas organizações. Lembre-se que quanto maior o número de locais em que os dados estão armazenados, maior será o nível de cuidados que os agentes deverão adotar para garantir a segurança das informações;
• Segurança das comunicações: para assegurar que as informações transitarão de forma segura, convém que as organizações atentem para cuidados específicos e técnicos nas soluções utilizadas para a transferência de dados;
• Manutenção de programa de gerenciamento de vulnerabilidades: vulnerabilidades estão diariamente sendo descobertas e as organizações precisam estar atentadas com estes movimentos, mantendo seus disposições e sistemas devidamente atualizados para assegurar que os riscos sejam adequadamente mitigados;
• Medidas relacionadas ao uso de dispositivos móveis: sempre que possível, é importante que os agentes separem o uso de dispositivos móveis de uso privado daqueles de uso institucional. Controles de acesso e fatores de autenticação devem ser utilizados nestes dispositivos para combater acessos não autorizados de terceiros;
• Medidas relacionadas ao serviço em nuvem: além de aspectos contratuais que devem ser observados entre o agente e o fornecedor dos serviços em nuvem, devem também ser avaliados aspectos técnicos de controle de acesso e as medidas de segurança de autenticação existentes nos acessos aos ambientes em nuvem.

Além do guia orientativo, a ANPD também disponibilizou um checklist com 48 pontos para serem observados pelos agentes de tratamento na implementação de medidas de segurança que contribuirão com o amadurecimento da proteção de dados pessoais. Acesse o checklist aqui.

É importante destacar que o guia orientativo da ANPD não possui efeito normativo vinculante e deve ser entendido como um guia de boas práticas relacionadas a segurança da informação. Segundo a ANPD, “espera-se que essas medidas contribuam para estabelecer um ecossistema de proteção de dados pessoais mais seguro e, consequentemente, para um aumento na confiança dos titulares de dados nos agentes de tratamento de dados pessoais de pequeno porte.”

Em 2023 teremos diversos temas sendo regulamentados e que se relacionam indiretamente com os temas tratados acima, considerando a agenda regulatória publicada pela ANPD para o biênio 2023/2024. Clique aqui e confira o artigo sobre os temas que serão foco regulatório da ANPD no próximo ciclo de regulamentações da LGPD.

Por fim, vale reforçar que, embora o guia orientativo se destine aos agentes de tratamento de pequeno porte, é plenamente possível e recomendável que ele seja utilizado como ponto de início para que as cooperativas desenvolvam seus programas de conformidade com a LGPD.

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no último dia 4 de novembro, a Portaria 35/2022, que institui a Agenda Regulatória para o biênio 2023/2024. A publicação faz parte do papel de orientação e de regulamentação de dispositivos legais atribuídos ao órgão pela Lei Geral de Proteção de Dados (LGPD) e contou com contribuições feitas pela sociedade por meio de tomada de subsídios realizada previamente.

Entre os pontos estabelecidos na portaria para que cooperativas e outras organizações se adequem à Lei, está a finalização do processo de criação do Regulamento de dosimetria e aplicação de sanções administrativas, que vai definir como serão aplicadas as sanções administrativas às infrações, bem como os critérios que orientarão o cálculo do valor das multas. Segundo comunicado da ANPD, o documento encontra-se em fase final de elaboração.

A regulamentação da transferência internacional de dados também está prevista para a primeira fase da nova agenda regulatória. Para as cooperativas esse é um ponto bastante aguardado, uma vez que é comum para alguns ramos o relacionamento constante com parceiros localizados fora do território nacional e que resultam na necessidade de compartilhamento de dados pessoais para operacionalização das atividades. O tema foi recentemente objeto de tomada de subsídios e aguarda análise da ANPD para definição das normas.

Além disso, os itens que fazem parte da agenda regulatória vigente (biênio 2021/2022), e ainda não concluídos, foram alocados pela ANPD para a primeira fase do próximo ciclo regulatório. Ao todo, estão previstas 20 ações para o biênio 2023/2024), dividido em quatro fases:

Fase 1 – Composta por itens remanescentes da agenda 2021-2022 e novos temas:

• Regulamento de dosimetria e aplicação de sanções administrativas;
• Direitos dos titulares de dados pessoais;
• Comunicação de incidentes e especificação do prazo de notificação;
• Transferência Internacional de dados pessoais;
• Relatório de impacto à proteção de dados pessoais;
• Encarregado de proteção de dados pessoais;
• Hipóteses legais de tratamento de dados pessoais;
• Definição de alto risco e larga escala;
• Dados pessoais sensíveis – organizações religiosas;
• Uso de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa;
• Anonimização e pseudonimização;
• Regulamentação do disposto no art. 62 da LGPD.

Fase 2 - Itens cujo início do processo regulatório acontecerá em até 1 ano:

• Compartilhamento de dados pelo Poder Público;
• Tratamento de dados pessoais de crianças e adolescentes;
• Diretrizes para a política nacional de proteção de dados pessoais e da privacidade;
• Regulamentação de critérios para reconhecimento e divulgação de regras de boas práticas e de governança.

Fase 3 - Itens cujo início do processo regulatório acontecerá em até 1 ano e 6 meses:

• Dados pessoais sensíveis - dados biométricos
• Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança
• Inteligência artificial

Fase 4 - Itens cujo início do processo regulatório acontecerá em até 2 anos:

• Termo de ajustamento de conduta – TAC

Importante destacar a preocupação da ANDP em ouvir os agentes de tratamento sobre os temas que acarretam maior impacto nas operações e merecem maior atenção no processo regulatório da proteção de dados pessoais no Brasil. A regulamentação da Lei está avançando e, com ela, a maturidade para que as cooperativas e demais organizações que tratam dados pessoais possam iniciar, avançar e/ou aprimorar seus Programas de Conformidade com a legislação.

Dúvidas sobre quais são e quando serão aplicadas as multas pelo descumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) são bastante comuns. Embora a norma esteja em vigor há mais de dois anos, a Autoridade Nacional de Proteção de Dados (ANPD), recentemente transformada em autarquia especial e responsável pela fiscalização e interposição das sanções, ainda não efetivou esta atribuição.

Na prática, a possibilidade de aplicação das multas está em vigor desde de 31 de agosto de 2021. Efetivamente, no entanto, o cálculo de dosimetria das penalidades ainda não encerrou o seu processo administrativo regulatório. Em setembro deste ano, a ANPD colocou em consulta pública uma minuta com as definições propostas pela entidade. O texto recebeu cerca de 2,5 mil sugestões que passam por avaliação no momento para possibilitar a publicação da resolução final.

A expectativa é que o documento seja publicado ainda este ano e, por isso, é importante conhecer quais sanções podem ser aplicadas. Então, confira a lista abaixo:

• Advertência, com indicação de prazo para adoção de medidas corretivas;
• Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no seu último exercício, excluídos os tributos e limitada, no total, a R$ 50.000.000,00, por infração;
• Multa diária, observado o limite total anterior;
• Publicização da infração, após devidamente apurada e confirmada a sua ocorrência;
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• Eliminação dos dados pessoais a que se refere a infração;
• Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; 
• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
• Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.

“A multa de até 50 milhões, por infração é, sem dúvidas, a penalidade que mais chama a atenção e preocupa as cooperativas. No entanto, considero que as penalidades mais pesadas não são de caráter pecuniário, mas, sim, aquelas que proíbem parcial ou totalmente uma organização de realizar atividades envolvendo o tratamento dos dados pessoais. Organizações que não podem tratar dados pessoais têm suas atividades completamente inviabilizadas, já que não poderão contratar nem sequer um funcionário, por exemplo”

Cristhian Groff, Encarregado pelo tratamento de dados pessoais do Sistema OCB.

Ainda segundo ele, “as cooperativas devem lembrar que não é apenas o vazamento de dados pessoais que se caracteriza como infração à LGPD. Inúmeras outras situações podem gerar a aplicação de penalidades”. E cita alguns exemplos:

• Ausência de elaboração e atualização de Registro das Operações de Tratamento de Dados Pessoais;
• Ausência de elaboração de atualização de Relatórios de Impacto à Proteção de Dados Pessoais;
• Ausência de nomeação de DPO, exceto para agentes de tratamento de pequeno porte;
• Ausência de canal de atendimento de direitos dos titulares;
• Atendimento irregular de direitos dos titulares;
• Coleta de dados pessoais de forma excessiva e incompatível com a finalidade;
• Manutenção de dados pessoais por mais tempo que o necessário;
• Ausência de cláusulas contratuais obrigando operadores ao cumprimento da LGPD;
• Não informar explicitamente as pessoas sobre as atividades que serão realizadas com seus dados pessoais;
• Justificar as atividades que envolvem dados pessoais com as bases legais inadequadas – confira nosso conteúdo sobre bases legais clicando aqui;
• Medidas de segurança insuficientes para garantia da confidencialidade, integridade e disponibilidade;
• Não realizar treinamentos periódicos de colaboradores; e
• Ausência de políticas de privacidade e proteção de dados pessoais.

Para lembrar:

Recomenda-se às cooperativas que tratem as ações de adequação à LGPD como prioridade, executando planos de ações para estruturação da governança e conformidade, mas também para correção das lacunas nos processos que envolvem o tratamento de dados pessoais. Embora a ANPD ainda não tenha aplicado sanções, no Judiciário já são diversos os processos fundamentados na LGPD, muitos deles gerando condenações para as empresas ou cooperativas demandadas.

Gostou do tema? Nos acompanhe, em breve publicaremos conteúdo abordando exemplos de situações que geram a aplicação de penalidades na União Europeia e que possivelmente também irão gerar por aqui.

Os “cookies” podem ser entendidos como pequenos arquivos que são instalados nos dispositivos de usuários de sites e aplicativos, com o objetivo de coletar determinadas informações e dados pessoais. São utilizados, na maioria das vezes, para garantir o correto funcionamento de um site ou de um aplicativo e, ainda, para identificar os usuários, viabilizar pagamentos online, apresentar anúncios, realizar integrações com redes sociais ou medir a eficácia de um site a partir das interações que com ele os usuários estabelecem.

Para orientar sobre o uso dos cookies em conformidade com a Lei Geral de Proteção de Dados (LGPD), a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), lançou o Guia Orientativo sobre Cookies e Proteção de Dados Pessoais. A publicação dispõe sobre as limitações das finalidades do uso de cookies, hipóteses legais para justificar a utilização e outras orientações gerais sobre a necessidade de uma Política de Cookies e Banner de Cookies.

O guia salienta que as coletas de dados pessoais por meio cookies também devem obedecer aos princípios da LGPD: finalidade, necessidade, adequação, livre acesso e transparência entre outros.

“Não é possível coletar dados pessoais através de cookies para finalidades genéricas, ou seja, em situações em que ocorre a solicitação de aceite de termos e condições gerais, sem a indicação das finalidades específicas de uso. Também não é possível a coleta de cookies para uma determinada finalidade (ex.: ações de análise da interação do usuário com o conteúdo do site) e posterior utilização para outras finalidades (ex.: customização de ações de publicidade)”, descreve o guia.

Outro ponto de atenção diz respeito ao período de retenção dos cookies. Segundo a ANPD, devem ser eliminados assim que a finalidade que levou a coleta for alcançada ou quando a eliminação solicitada pelo titular for legítima. A autoridade considera que é possível haver a retenção de cookies por períodos maiores, desde que esteja condicionada às hipóteses previstas em lei, tais como, o cumprimento de obrigação legal ou regulatória.

Ao tratar das hipóteses legais para a coleta de cookies, a ANPD dispõe que “embora inexista hierarquia ou preferência entre as hipóteses legais previstas na LGPD, o recurso ao consentimento será mais apropriado quando a coleta de informações for realizada por cookies não necessários”. Acrescenta ainda que “não é apropriado utilizar a hipótese legal do consentimento nas hipóteses de cookies estritamente necessários, já que estes precisam coletar informações do usuário para a correta disponibilização da página eletrônica ou prestação de serviços”.

Ainda de acordo com a ANPD, a hipótese legal do legítimo interesse pode ser utilizada para os casos de utilização de cookies estritamente necessários. Do ponto de vista de boas práticas de adequação à LGPD relacionadas ao tema, a ANPD recomenda, para garantia da transparência na coleta de cookies e dos direitos dos usuários, a disponibilização de política de cookies e implementação de banner de cookies em sites e aplicativos.  

“A Política de Cookies deve apresentar informações sobre as finalidades específicas que justificam a coleta de dados pessoais por meio de cookies, o período de retenção e se há compartilhamento com terceiros, entre outros aspectos indicados no art. 9º da LGPD. Já sobre o Banner de Cookies, este é um recurso visual usado no design de aplicativos ou sites na internet, que utiliza barras de leitura destacadas para informar ao titular de dados, de forma resumida, simples e direta, sobre a utilização de cookies naquele ambiente. Além disso, o banner fornece ferramentas para que o usuário possa ter maior controle sobre o tratamento, como, por exemplo, permitindo que ele consinta ou não com determinados tipos de cookies”, afirma a ANPD em seu guia.

Para a elaboração do banner de cookies (que certamente você já identificou em uma série de sites que visitou recentemente), o guia trouxe algumas dicas do que deve ser evitado:

1. Utilizar um único botão no banner de primeiro nível, sem opção de gerenciamento no caso de utilizar a hipótese legal do consentimento (“concordo”, “aceito”, “ciente” etc.);
2. Impossibilitar ou dificultar a rejeição de todos os cookies não necessários;
3. Apresentar cookies não necessários ativados por padrão, exigindo a desativação manual pelo titular;
4. Não disponibilizar banner de segundo nível;
5. Apresentar lista de cookies demasiadamente granularizada, gerando uma quantidade excessiva de informações, o que dificulta a compreensão e pode levar ao efeito de fadiga, não permitindo a manifestação de vontade clara e positiva do titular.

Com a publicação do guia, é possível perceber que a ANPD está atenta aos requisitos necessários para o cumprimento da LGPD em sites e aplicativos. Em razão disso, é importante que as cooperativas mapeiem as atividades que ocorrem nestes ambientes, especialmente as que geram coletas de dados pessoais por meio de cookies e tecnologias similares. Em seguida, é necessário implementar Política de Cookies (informando os usuários sobre os cookies coletados, suas finalidades, prazos de retenção, dentre outras condições) e Banner de Cookies (informando os usuários de maneira resumida e permitindo que façam a gestão dos cookies com os quais consentem ou não).

A Autoridade Nacional de Proteção de Dados (ANPD) foi transformada, definitivamente, em autarquia especial com a promulgação da Lei 14.460/22 pelo Congresso Nacional, que aprovou a conversão da Medida Provisória 1.124/22 sem alterações no seu texto. A ANPD é responsável, entre outras atribuições, pela regulamentação da Lei Geral de Proteção de Dados Pessoais, a LGPD, bem como sua fiscalização e aplicação de sanções em caso de descumprimento da norma.

A medida é importante para que o Brasil passe a integrar o rol de países com nível avançado em proteção de dados pessoais. “A independência funcional, orçamentária e institucional são indispensáveis para que a ANPD possa desempenhar, como órgão da administração pública indireta, suas atribuições com maior qualidade, isenção e segurança, alinhando-se com as melhores práticas internacionais”, avalia o encarregado pelo tratamento de dados do Sistema OCB, Cristhian Groff.

Em relação às cooperativas, o encarregado reforça a necessidade do alinhamento contínuo as regras da LGPD. “Esta estruturação da ANPD traz mais robustez e confiabilidade para o sistema regulatório de proteção de dados e, ao mesmo tempo,  indica que os procedimentos de fiscalização devem ser intensificados nos próximos meses. Por isso, as cooperativas devem direcionar esforços para estruturação e manutenção de seus programas de conformidade”.

ANPD: criada em 2018 pela Medida Provisória 869, a autoridade somente passou a funcionar efetivamente em novembro de 2020 com a nomeação do seu primeiro diretor. Mesmo com a conversão da Medida Provisória 1.124/22, a ANPD permanecerá subordinada ao governo federal até a edição do ato conjunto da Secretária Geral da Presidência e da própria ANPD, que estabelecerá o período de transição, a nova estrutura regimental e a efetiva desvinculação da presidência da república.

Além do papel regulatório e fiscalizatório, a autoridade tem a função de fazer com que a população tenha conhecimento sobre as políticas de proteção de dados pessoais, como práticas e direitos sobre o uso deles, bem como repassar o entendimento das normas sobre a utilização dos dados pessoais.

A Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela orientação e regulamentação de diversos dispositivos da Lei Geral de Proteção de Dados Pessoais (LGPD), divulgou uma relação de regras da lei que serão objeto de regulamentação para que cooperativas e outras organizações possam se adequar. Os temas fazem parte da agenda regulatória 2021/2022 da ANPD, estabelecida a partir da Portaria 11/2021 para planejar a regulamentação de ações prioritárias.

No total, foram selecionados 9 diferentes temas nessa primeira etapa. A ANPD já realizou também uma tomada de subsídios para identificar os pontos que devem ser priorizados na composição da agenda regulatória do biênio 2023/2024, o que demonstra a preocupação do órgão em ouvir os agentes de tratamento sobre o que acarreta maior impacto nas operações.

 

Para lembrar:

O avanço do processo regulatório da proteção de dados pessoais exige atenção constante das cooperativas aos novos movimentos e regras disponibilizadas. Acompanhar e adequar os programas internos de proteção de dados de acordo com as novas diretrizes é fundamental.

Confira abaixo os 9 temas prioritários que estão sendo abordados pela ANPD:

1. Regimento Interno da ANPD: documento que regula a estrutura e funcionamento da ANPD. Foi instituído através da Portaria nº 01/2021;
2. Planejamento Estratégico da ANPD: apresenta o referencial estratégico da ANPD, com sua visão, missão, valores, objetivos e ações estratégicas vinculadas. Foi instituído através da Portaria nº 12/2021 e revisado em maio de 2022;
3. Proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos: regulamento aprovado pela Resolução nº 02/2022, que tem como objetivo estabelecer diretrizes para cooperativas e demais organizações sujeitas à LGPD que se enquadrem na categoria de agentes de tratamento de pequeno porte. A norma traz algumas flexibilizações sobre temas importantes como o registro de operações de tratamento de dados pessoais e a nomeação do encarregado pelo tratamento de dados pessoais;
4. Norma de fiscalização e aplicação de sanção: instituída por meio da Resolução nº 01/2021, tem por objetivo estabelecer os procedimentos inerentes ao processo de fiscalização e as regras a serem observadas no âmbito do processo administrativo sancionador pela ANPD;
5. Norma de sanção e dosimetria: foi recentemente objeto de consulta pública e recebeu mais de 2,5 mil contribuições. Atualmente, elas estão em análise de admissibilidade pela Coordenação-Geral de Normatização e avaliação das sugestões pela equipe de projeto da ANPD. Esta norma é a última etapa para que a ANPD inicie seu processo sancionador, ou seja, possa fiscalizar e, se necessário, penalizar os agentes de tratamento de dados pessoais que desrespeitarem a legislação. A expectativa é que a norma seja publicada ainda em 2022;
6. Comunicação de incidentes e especificação do prazo de notificação: foi objeto de tomada de subsídios e aguarda tramite regulatório na ANPD. A resolução estabelecerá os critérios e os prazos em que os incidentes envolvendo dados pessoais devem ser comunicados à ANPD e aos titulares. Enquanto o tema está pendente de regulamentação, recomenda-se que as cooperativas observem o prazo sugestivo de até dois dias úteis para eventual comunicação acerca de incidentes e também as demais diretrizes estabelecidas pela ANPD em seu site oficial;
7. Relatório de impacto à proteção de dados pessoais: foi objeto de tomada de subsídios e aguarda tramite regulatório na ANPD. A resolução estabelecerá os critérios e as hipóteses em que a elaboração do relatório é obrigatória. Trata-se de um dos documentos obrigatórios que as cooperativas devem confeccionar em seus programas de conformidade. Saiba quais são os documentos essenciais para estar em conformidade com a LGPD;
8. Encarregado de proteção de dados pessoais: responsável pela condução do Programa de Proteção de Dados Pessoais na cooperativa. Via de regra, a nomeação do encarregado é obrigatória, conforme estabelece o artigo 41 da LGPD. No entanto, a resolução que se encontra em elaboração pela ANPD e já foi objeto de tomada de subsídios, visa estabelecer a definição e as atribuições deste profissional, inclusive hipóteses de dispensa da necessidade de sua indicação. Vale destacar que a ANPD já regulamentou a não obrigatoriedade da nomeação pelos agentes de tratamento de pequeno porte;
9. Transferência Internacional de dados pessoais: um dos temas mais aguardados por muitas cooperativas. É comum que alguns ramos do cooperativismo no Brasil se relacionem constantemente com parceiros situados fora do território brasileiro e que resultem na necessidade de compartilhamento de dados pessoais para operacionalizar essas parcerias. O tema foi recentemente objeto de tomada de subsídios e aguarda tramite regulatório na ANPD.

 

Importante:

A dispensa de nomeação do encarregado pelos agentes de tratamento de pequeno porte não exime as cooperativas de estabelecerem um canal de comunicação com os titulares de dados pessoais.

O Conselho de Proteção de Dados Pessoais no Cooperativismo realizou sua reunião ordinária nesta quinta-feira (22), em formato virtual, para tratar sobre o compartilhamento de dados pessoais no Sistema Cooperativista Nacional. Sob o comando da presidente da Conselho, Ana Paula Andrade Ramos, foram apresentados novidades na adequação e conformidade interna do Sistema OCB e suas organizações estaduais à LGPD. Além disso, foi divulgado as informações sobre o site https://lgpd.coop.br/ e os materiais orientativos disponibilizados, em especial os vídeos divulgados na CapacitaCoop.

O tratamento de dados pessoais de crianças e adolescentes exige atenção redobrada, bem como a implementação de requisitos específicos, uma vez que são consideradas pessoas em condição de desenvolvimento e possuem proteção integral, especial e prioritária de acordo com a legislação brasileira.

Entre as regras específicas sobre o tema, as mais polêmicas e que geram maior dificuldade na implementação das ações corretivas estão ligadas a necessidade de consentimento dos pais ou responsáveis. A novidade é que segundo o Enunciado nº 684 da IX Jornada de Direito Civil e Estudo Preliminar da Autoridade Nacional de Proteção de Dados (ANPD), esse requisito não é mais obrigatório.

O art. 14 da Lei n. 13.709/2018 (Lei Geral de Proteção de Dados - LGPD) não exclui a aplicação das demais bases legais, se cabíveis, observado o melhor interesse da criança.

“Esse artigo é justamente o que determina a necessidade de consentimento para o tratamento de dados de crianças e adolescentes. O Enunciado, no entanto, indica que outras que outras bases legais também podem ser utilizadas, a  exemplo da execução de contratos, legítimo interesse, tutela da saúde e outras”, explica Cristhian Groff, Encarregado pelo tratamento de dados pessoais do Sistema OCB.

Para complementar o Enunciado e fomentar o debate sobre o tema, a ANPD  publicou o estudo preliminar Hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes, com três possíveis  interpretações para o tratamento de dados pessoais de crianças e adolescentes:

1. Estabelece que o consentimento dos pais ou responsáveis legais é obrigatório para o tratamento de dados pessoais de crianças, conforme expressa previsão do artigo 14, parágrafo primeiro da LGPD.
2. Equipara os dados pessoais de crianças e adolescentes a dados pessoais sensíveis, tendo em vista a vulnerabilidade deste público e, consequentemente, indica que os requisitos devem ser similares aqueles aplicados para os dados pessoais sensíveis.
3. Sinaliza a possibilidade de tratamento de dados pessoais de crianças e adolescentes utilizando-se de outras bases legais, ou seja, as presentes no artigo 7º e artigo 11 da LGPD, desde que observado o princípio do melhor interesse da criança e do adolescente. Confira nosso material sobre as bases legais da LGPD clicando aqui.

Segundo a ANPD, a hipótese mais adequada para o tratamento de dados pessoais de crianças e adolescentes é a terceira, tendo em vista que a utilização das demais (que não dependem de consentimento dos pais ou responsáveis), evitará restrições para ações que possam trazer benefícios para este público, como, por exemplo, a execução de políticas públicas, de programas de aprendizagem e promoção social.

O estudo preliminar propõe ainda a publicação de um Enunciado específico para esclarecer a polêmica com o seguinte teor:

O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou, no caso de dados sensíveis, no art. 11 da Lei Geral de Proteção de Dados (LGPD), desde que observado o seu melhor interesse, a ser avaliado no caso concreto, nos termos do caput do art. 14 da Lei.

Assim, a ANPD pretende tornar mais simples os requisitos para o tratamento de dados pessoais de crianças e adolescentes. No que diz respeito as cooperativas, é importante considerar a necessidade constante de:

• Observar os requisitos legais previstos na legislação;
• Avaliar o caso em concreto da atividade de tratamento de dados pessoais; e
• Atender ao princípio do melhor interesse das crianças e adolescentes envolvidos nas atividades de tratamento realizadas.

Fique atento:

As disposições do estudo preliminar não possuem força de regulamentação. No entanto, indicam que o posicionamento do órgão regulador e, consequentemente, a futura regulamentação tendem a seguir as diretrizes acima.

Em julgamento concluído na última quinta-feira (15), o Supremo Tribunal Federal (STF) confirmou, por maioria de votos, decisão que permite aos órgãos e entidades da administração pública federal o compartilhamento de dados pessoais entre si, desde que sejam observados os critérios e as disposições da Lei Geral de Proteção de Dados Pessoais (LGPD).¹

O julgamento respondeu a duas ações promovidas pela Ordem dos Advogados do Brasil (OAB) e pelo Partido Socialista Brasileiro (PSB) que questionavam a constitucionalidade do Decreto 10.046/2019 da Presidência da República. O decreto criou o Cadastro Base do Cidadão, para reunir informações existentes em diferentes órgãos da administração pública, e também o Comitê Central de Governança de Dados, que tem entre suas atribuições definir quais bases de dados devem integrar o cadastro.

A permissão para o compartilhamento, no entanto, deve seguir diversas regras já previstas na LGPD, tais como:  

1. O compartilhamento deve ser realizado para propósitos legítimos, específicos e explicitamente informados para as pessoas que tiverem seus dados pessoais compartilhados. Na linha do que já está disposto na LGPD, o STF reforça a necessidade de que cada atividade de tratamento de dados pessoais tenha propósitos bem definidos, documentados e amplamente informados para as pessoas;
2. O compartilhamento deve ser limitado ao mínimo necessário para que seja alcançado o propósito da iniciativa, programa ou ação realizados. Ou seja, os bancos de dados dos órgãos públicos não devem ser compartilhados de forma integral e ilimitada, mas sim de forma adaptável e customizada para as ações que, a partir do compartilhamento, serão realizadas;
3. Os requisitos, princípios, boas práticas, direitos e garantias previstos na LGPD devem ser integralmente cumpridos, inclusive no que diz respeito a adoção de programas de conformidade que contemplem práticas jurídicas, organizacionais e de segurança da informação;
4. As organizações da administração pública federal que compartilharem dados pessoais entre si devem informar ampla e detalhadamente sobre o compartilhamento realizado (Exemplos: quais dados pessoais, através de quais ferramentas, para quais objetivos, com quais outros órgãos públicos e, ainda, as medidas de segurança adotadas), em locais de fácil acesso, preferencialmente em seus sites;
5. Devem, ainda, adotar medidas robustas de segurança da informação, especialmente a criação de sistema eletrônico de registro de acesso aos dados pessoais (ou seja, que identifique, registre e monitore), a fim de que seja possível eventual responsabilização por indevida utilização.

Além desses requisitos, o STF definiu também que, caso órgãos públicos tratem dados pessoais de forma irregular, sejam responsabilizados pelos danos suportados pelas pessoas a quem os dados se referem. Ao mesmo tempo, os órgãos públicos poderão acionar os servidores ou agentes políticos responsáveis pelas transgressões nos casos de culpa ou dolo, que também poderão ser condenados por improbidade administrativa.

A decisão não gera efeitos diretos para as cooperativas, mas reforça o fato de que o compartilhamento de dados pessoais realizado para o desenvolvimento e execução das mais diversas atividades (com fornecedores e parceiros, na maioria das vezes), e nos mais variados segmentos em que as cooperativas atuam, deve observar, também, os requisitos acima.

Fique atento:

Para estar em conformidade com a LGPD, é essencial avaliar cada um dos compartilhamentos realizados e sua pertinência, além da adoção de instrumentos jurídicos e medidas de segurança da informação.

1. Processos relacionados: ADI 6649 e ADPF 695

A procura por serviços para proteção de dados e soluções tecnológicas está cada vez maior. Algumas cooperativas, atentas a essa oportunidade e em consonância com os atuais mecanismos utilizados para o tratamento de dados compatíveis com os dispositivos da Lei Geral de Proteção de Dados (LGPD), já vem prestando esses serviços, que podem ser acionados por meio da plataforma de e-commerce NegóciosCoop. 

A Cooperativa de Trabalho dos Profissionais de Privacidade e Proteção de Dados (Cooprodados), com sede no Rio Grande do Sul, foi a primeira a ofertar esse tipo de serviços. Segundo a cooperativa, seu diferencial está na oferta de soluções customizadas. Na gama de formações, especialidades e certificações, a coop oferece três principais produtos: adequação à LGPD; DPO as a Service (encarregado de dados); e treinamento.  Atende em todo o território nacional e os três produtos estão disponíveis na NegóciosCoop. 

De acordo com a presidente Sylvia Urquieta, a coop surgiu a partir de uma visão de uma das cooperadas, de que todos os profissionais estudiosos atuantes na LGPD deveriam ter retorno de seus investimentos em formação especializada e reconhecimento de sua dedicação de forma justa. “Somos 14 cooperados fundadores que se identificaram com os princípios do cooperativismo, que se reuniram por quase dois anos para tornar esta cooperativa uma realidade. Todos os cooperados possuem formações nas mais diversas áreas do conhecimento humano e profissional, o que nos oportuniza prestar serviços completos no âmbito de proteção de dados e privacidade”, explica. 

Ainda segundo ela, a Cooprodados é a primeira cooperativa de trabalho do Brasil, e do mundo, que reúne profissionais formados em Direito, TI, SI, Administração, Sistema Financeiro, Governança, Cooperativismo e Contabilidade. “Atuamos online para atender todo o Brasil e nossa aspiração é nos convertermos na primeira cooperativa de plataforma do Brasil e do Mundo do ramo de trabalho, que reúne profissionais experts em privacidade e proteção de dados”.  

Já a Lyseon Tech Cooperativa de Trabalho e Soluções Tecnológicas (Librecode), do Rio de Janeiro, é uma sociedade de mulheres desenvolvedoras de softwares que atua exclusivamente com softwares de licença livre. Esse diferencial possibilita que o código dos produtos sejam totalmente auditáveis e adequados à LGPD, além de proporcionar liberdade e autonomia aos clientes sobre os produtos, uma vez que não dependem de licença para utilizá-los. A coop foi constituída em 2018 e tem dois produtos cadastrados na NegóciosCoop. 

A presidente da LibreCode, Lívia Gouvêa, pontuou que a coop nasceu com o propósito de ser uma organização democrática e transparente, onde o conjunto de cooperados potencialize a qualidade dos serviços. "Nosso maior valor é a transparência e integridade de dados. Por isso, trabalhamos com software livre que permite total auditoria dos códigos dos sistemas e reconhecimento de falhas ou vazamentos de informação. Acreditamos que o trabalho em conjunto é muito mais eficaz. Assim, mais do que uma cooperativa, somos um movimento que atualmente é referência nacional quando se trata de privacidade, segurança e economia colaborativa". 

Atualmente, a coop atende a prefeitura de Niterói, a Escola Superior de Advocacia da Ordem dos Advogados do Brasil; a Fundação Oswaldo Cruz (FioCruz); a Unifop, cooperativa de saúde; a Escola Nacional de Saúde Pública Sérgio Arouca (ENSP); o Núcleo de Informação e Coordenação do Ponto BR (Nic.BR); a Associação do Ministério Público do Estado do Rio de Janeiro (AMPERJ); e o Sistema OCB/RJ. 

Acesse a plataforma de e-commerce NegóciosCoop e conheça os serviços prestados.  

Durante a Semana de Competitividade 2022, o Sistema OCB lançou diversas novidades para o cooperativismo brasileiro. Nesta sexta-feira (26), foi a vez da Assessoria Jurídica anunciar, em evento ao vivo transmitido pelo Youtube, que já está no ar o site sobre a Lei Geral de Proteção de Dados no cooperativismo, ou LGPD no coop.  A iniciativa tem por objetivo auxiliar as cooperativas na implementação e nos processos de conformidade da regulamentação. A apresentação foi comandada pela gerente jurídica, Ana Paula Andrade Ramos, e pelo advogado especialista em Privacidade e Proteção de Dados (DPO), Christian Groff.

De acordo com a gerente Jurídica a ideia é estimular os gestores a adequarem os procedimentos das cooperativas em consonância com as regras da LGPD, além de alertar sobre as dificuldades que podem se apresentar durante a implementação, bem como sobre as consequências da omissão. “O Sistema OCB tem trabalhado muitos aspectos relacionados à LGPD nos processos internos, a fim de assegurar que nossas entidades estejam em conformidade e sigam boas práticas jurídicas, organizacionais e de segurança da informação.  Mas, para além disso, queremos também auxiliar as cooperativas a compreenderem os impactos da LGPD sobre os negócios que realizam. O site é uma das ações para alcançar este objetivo”, explicou.

Ainda segundo ela, no site, as coops poderão buscar informações sobre como se adequar à lei, quais os principais conceitos, cartilhas, vídeos e outros materiais orientativos, que serão mantidos atualizados de acordo com o avanço da regulamentação da LGPD pela ANPD [Autoridade Nacional de Proteção de Dados. Assim, a plataforma conta com informações sobre como se adequar à LGPD; as bases regulatórias; quem são os agentes responsáveis pelo tratamento destes dados; o que são dados pessoais; esclarecimento de dúvidas e materiais de apoio.

“Com exceção das cooperativas muito pequenas e com reduzido número de associados, operações ou faturamento, todas as demais deverão nomear Encarregado pelo Tratamento de Dados Pessoais (DPO) para estarem em conformidade com a LGPD. A ausência de nomeação do DPO, vale lembrar, é inclusive infração à lei e pode gerar a aplicação de penalidades. Em linhas gerais, a pessoa física ou jurídica que ocupa esta posição é responsável por coordenar um Programa de Proteção de Dados Pessoais robusto, tangível e útil para a cooperativa, estabelecendo uma linha de equilíbrio entre o desenvolvimento dos negócios e a conformidade”, reforçou Christian Groff.

Acesse o site LGPD no coop: lgpd.somoscooperativismo.coop.br

Atuação OCB - Desde a promulgação da LGPD, o Sistema OCB vem desenvolvendo materiais e capacitações para auxiliar as cooperativas a se adequarem a nova norma. Já foram disponibilizados os e-books: Manual Prático de Segurança na Internet e LGPD no Cooperativismo: como se adaptar. Também foram realizadas capacitações via webinários em outubro de 2020 e reunião técnica, em setembro de 2021, quando as penalidades passaram a vigorar. Nas plataformas InovaCoop e CapacitaCoop e no canal do Sistema no Youtube é possível acessar os materiais.

Assista a live na íntegra:

Um site criado para ajudar as cooperativas com o passo a passo do processo de implantação, materiais de apoio e novidades sobre a LGPD. Assista também a palestra sobre "a função do DPO na cooperativa".

A segurança da informação baseia-se em três pilares conhecidos como “CID”: Confidencialidade, Integridade e Disponibilidade.

Não é possível falar sobre incidentes de segurança da informação ou sobre como as cooperativas podem evitá-los, sem compreender o que cada um destes pilares representa. Então:

• Confidencialidade: é a propriedade da informação de ser divulgada apenas para pessoas autorizadas; 
• Integridade: é a propriedade da informação de ser completa e exata;
• Disponibilidade: é a propriedade da informação de ser acessível e utilizável por quem precise dela e tenha autorização para acessá-la.

Assim, o incidente de segurança fica caracterizado quando o evento resultar na perda de pelo menos uma destas três propriedades. Vamos ver alguns exemplos?

a) Perda da Confidencialidade

A quebra da confidencialidade ocorre quando informações da cooperativa forem acessadas por indivíduos não autorizados, independentemente do motivo (acesso acidental ou ilícito). Também são considerados incidentes envolvendo a confidencialidade da informação:

• Ex-colaborador da cooperativa permanece com acesso aos arquivos após o seu desligamento;
• Vazamento de dados pessoais de clientes, associados e/ou colaboradores, após um ataque cibernético por ransomware;
• Concorrente obtém acesso ao planejamento estratégico da cooperativa;
• Ocorre o furto ou a perda de um dispositivo móvel (notebook, pendrive etc.) que contêm informações de associados da cooperativa;
• E-mail contendo informações e dados pessoais é remetido para e-mail que não o do verdadeiro destinatário, por equívoco.  

b) Perda da Integridade

A perda da integridade da informação é caracterizada quando há alteração ou exclusão indevida. São situações que caracterizam incidentes relacionados com a integridade da informação:

• Exclusão de arquivos por engano;
• Alteração de cadastro de associado de forma equivocada;
• Infecção por vírus que altera ou corrompe um arquivo de forma que impossibilite a restauração da informação. 

c) Perda da Disponibilidade

A perda da disponibilidade acontece quando as informações não estiverem mais disponíveis para utilização da cooperativa. São exemplos de incidentes envolvendo a disponibilidade da informação:

• Servidor de ERP indisponível após uma falha na fonte de alimentação, quando a fonte redundante não funcionou;
• Site da cooperativa indisponível após um ataque de negação de serviços (DoS);
• Sistema de atendimento aos associados indisponível, impedindo a realização dos atendimentos;
• Bases de dados indisponíveis em razão de um ataque por ransomware, afetando diversas atividades.

 

Importante!

Qualquer evento que caracterize o descumprimento de políticas ou normas de segurança da informação também deverá ser considerado um incidente de segurança. Deste modo, caso um colaborador compartilhe suas credenciais de acesso com terceiros, violando os termos das normas internas da cooperativa, estará caracterizado um incidente de segurança. 

Como prevenir a ocorrência de incidentes de segurança?

Primeiro, é importante ressaltar que não é possível estabelecer uma única medida para proteger as informações das cooperativas. Sempre será necessária a adoção de um conjunto de controles para permitir que o ambiente fique mais seguro, tanto em relação a incidentes que tenham como origem aspectos internos (ações de colaboradores/associados) quanto externos (ações de terceiros).

Assim, as medidas de segurança (controles) que devem ser adotadas pelas cooperativas para diminuir os riscos de ocorrência de incidentes, podem ser divididas em três categorias:

• Medidas físicas: têm como objetivo prevenir o acesso físico não autorizado, danos e interferências em instalações e informações da cooperativa (Ex.: a) Controle por de biometria para acesso ao ambiente do servidor; b) Controle de visitantes mediante registro de identificação, data e hora da entrada e saída);
• Medidas técnicas: tem como objetivo tratar riscos a confidencialidade, integridade ou disponibilidade de informações em formato eletrônico (Ex.: a) Uso de firewalls para bloquear acessos externos não autorizados; b) Utilização de soluções de antivírus nos equipamentos; c) Uso de soluções para prevenir o vazamento de informações, como DLP - Data Loss Prevention);
• Medidas organizacionais: tem como objetivo criar controles administrativos que complementam e suportam os controles técnicos (Ex.: a) Implementar Política de Segurança da Informação; b) Implementar Programas de Treinamentos e Campanhas de Conscientização).

Com a vigência da LGPD, a segurança da informação e o gerenciamento de incidentes ganharam maior relevância, tendo em vista as consequências jurídicas decorrentes da legislação. Atualmente, incidentes de segurança que envolvam dados pessoais podem ser objeto de multas administrativas, aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD).

Além disso, a LGPD estabelece que as cooperativas devem, em prazo razoável, comunicar à ANPD e os titulares de dados pessoais sobre a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante para as pessoas. Destaca-se que o “prazo razoável” referido na LGPD ainda está pendente de regulamentação. No entanto, a ANPD recomenda que os comunicados sejam realizados em até 2 (dois) dias úteis, após a cooperativa identificar o incidente.

Vale lembrar que, além da fiscalização e aplicação de multas, o titular de dados pessoais prejudicado pelo incidente de segurança também poderá ingressar com ação judicial para buscar reparação dos dados sofridos e/ou denunciar a cooperativa junto à ANPD. 

Desde modo, a gestão de incidentes e o fortalecimento da segurança da informação passam a ocupar lugar de destaque nas cooperativas, uma vez que a proteção de dados pessoais está diretamente ligada com a estruturação integrada de um Programa de Proteção de Dados Pessoais e de Segurança da Informação (Confira o material Documentos essenciais para conformidade com a LGPD).

Por isso, as cooperativas devem realizar avaliações para medir a sua maturidade sob aspectos de Segurança da Informação e, consequentemente, identificar as práticas já implementadas e estabelecer um plano de ação em relação àquelas ainda pendentes para tornar o ambiente mais seguro.

Nenhuma cooperativa espera enfrentar um incidente de segurança que resulte na exposição de informações estratégicas para o negócio ou dados pessoais de seus colaboradores, clientes ou associados, não é mesmo?!

Assim, é imprescindível dar a atenção devida ao tema a fim de evitar incidentes. 

Lembre-se: um incidente traz impactos e consequências de reputação, financeiras e operacionais.

Com a LGPD, uma série de novos direitos foram garantidos aos titulares de dados pessoais. Como você já sabe, estes titulares são todas as pessoas físicas que interagem com a cooperativa e têm seus dados pessoais tratados de alguma forma, ou seja, colaboradores, associados, visitantes de sites etc.

A LGPD prevê um total de 11 direitos que devem ser ostensivamente informados e garantidos aos titulares de dados pessoais. Vamos conhecer cada um deles?

I – Confirmação da existência de tratamento: este direito, que é derivado diretamente do princípio da transparência, determina que qualquer titular de dados pessoais pode solicitar a confirmação da existência de tratamento dos seus dados. Isso quer dizer que o titular deve permanecer sempre no controle dos seus dados pessoais.

Exemplo: alguma pessoa que participou de uma ação social da cooperativa pode solicitar a confirmação da existência de tratamento dos seus dados pessoais e os detalhes sobre a utilização.

II – Acesso aos dados: garante que o titular, mediante conhecimento anterior ou após ter solicitado a confirmação da existência de tratamento dos seus dados pessoais, possa ter acesso a quais dados seus estão sendo tratados. Exemplo: O titular de dados pessoais, após ter recebido a informação de que seus dados pessoais são tratados pela cooperativa, pode requerer acesso a estes dados (em formato físico e digital) e, ainda, a origem destes dados, os critérios utilizados, a finalidade do tratamento etc.

Atenção! A LGPD prevê que a confirmação da existência ou acesso aos dados pessoais devem ser informados imediatamente de forma simplificada ou por meio de declaração completa no prazo de 15 dias.

III – Correção de dados: garante que o titular pode solicitar a correção dos seus dados pessoais que estejam incompletos, inexatos ou desatualizados. Exemplo: mudança de endereço, estado civil, escolaridade e etc.

IV – Anonimização, bloqueio ou eliminação: este direito, que se subdivide em três, garante, primeiro, que o titular possa requerer a anonimização dos seus dados pessoais, ou seja, que seja retirado o caráter “pessoal” dos dados tratados. Permite também requerer o bloqueio, que se trata da suspensão temporária de qualquer operação de tratamento de seus dados pessoais; e, por fim, a eliminação dos dados que entenda desnecessários, excessivos ou cujo tratamento esteja em desconformidade com a lei. 

É importante destacar que, nestes três casos, a requisição do titular deve ser cuidadosamente analisada para que, caso não seja possível atender seu pedido, seja justificada a impossibilidade. 

V – Portabilidade: garante que o titular possa obter os seus dados pessoais de forma fácil e estruturada para assim transmitir a outro controlador. Exemplo: o associado, que é titular de dados pessoais, pode requerer a portabilidade de seus dados pessoais para outra cooperativa. 

VI – Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD: como você já sabe, o consentimento é uma das bases legais que autoriza o tratamento de dados pessoais. Ocorre que, havendo o consentimento, também há o dever de garantia de revogação deste consentimento e, após isso, o titular tem o direito de requerer também que os seus dados pessoais sejam eliminados. 

O direito de eliminação pode não ser atendido nos casos em que os dados pessoais precisam ser mantidos para cumprimento de obrigação legal ou regulatória ou, ainda, quando a cooperativa definir por torná-los anônimos

VII – Informação sobre compartilhamento dos dados: A LGPD não veda o compartilhamento de dados pessoais, porém é necessário obedecer a uma série de requisitos jurídicos, organizacionais e de segurança da informação para isso. Como o objetivo da Lei é sempre possibilitar que o titular esteja no controle dos seus dados pessoais, ele pode requerer informações sobre com quais organizações, sejam elas públicas ou privadas, a cooperativa compartilhou ou compartilha os dados pessoais.  

VIII – Informação sobre a possibilidade de não fornecer o consentimento e as suas consequências: O consentimento é uma das bases legais autorizadoras para o tratamento de dados pessoais. Por isso, precisa ser obtido de forma específica, expressa e inequívoca. Por outro lado, o titular também tem o direito de saber as consequências de não consentir com a utilização dos seus dados pessoais. 

Exemplo: após a realização de um evento, a cooperativa precisa coletar o consentimento dos seus associados para que, posteriormente, possa enviar comunicados sobre eventos futuros. Caso o titular de dados pessoais se negue a fornecer o consentimento ele deve ser informado previamente ou mediante consulta quais as consequências desta negativa – como a impossibilidade, na situação exemplificada, de ser comunicado sobre eventos futuros. 

IX – Revogação do consentimento: O titular tem o direito de, a qualquer tempo, revogar o consentimento concedido para o tratamento de seus dados pessoais. Aliás, deve ser informado ao titular, desde a coleta do consentimento, qual o procedimento para revogação. Cabe destacar que esta revogação não afeta as atividades de tratamento anteriores. 

Exemplo: para realização de envio de newsletter do seu site uma cooperativa deve coletar o consentimento do titular. Ocorre que, assim que o titular fizer a opção de revogar o seu consentimento, muitas vezes por meio de um mecanismo chamado opt-out, o tratamento de dados pessoais envolvidos nesta atividade deve ser cessado. 

X – Oposição ao tratamento: A LGPD prevê 10 bases legais que autorizam o tratamento de dados pessoais – confira o conteúdo sobre as bases legais aqui. Para uma delas, ou seja, o consentimento, o titular pode utilizar-se da revogação para cessar o tratamento de seus dados pessoais. Para as outras bases legais, a lei prevê a possibilidade do titular se opor ao tratamento caso entenda haver descumprimento legal. Quando algum titular se opor, uma resposta fundamentada deve ser remetida, justificando a regularidade (se for o caso) da atividade.

XI – Revisão de decisões tomadas com base em tratamento automatizado: atualmente são tomadas várias decisões automatizadas envolvendo dados pessoais, a exemplo da definição de perfil de consumo, liberação de crédito, entre outras. Assim, a LGPD possibilita que o titular busque informações dos critérios utilizados nestas decisões, bem como que sejam objeto de revisão. Exemplo: um associado de uma cooperativa de crédito pode solicitar informações sobre os critérios utilizados nas definições automatizadas para liberação de créditos ou pré-aprovação de limites. 

É importante destacar que as solicitações dos titulares de dados pessoais devem ser respondidas de forma gratuita, obedecendo aos prazos legais, e de forma eletrônica ou impressa, a critério do titular.

Para lembrar: É imprescindível que as cooperativas possuam um programa de governança que permita conservar, gerenciar e localizar os dados pessoais sob sua tutela e um canal de atendimento aos direitos que permita o direcionamento das requisições e facilite todo o processo de avaliação e resposta. 

O êxito do Programa de Proteção de Dados Pessoais nas cooperativas está diretamente ligado ao nível de envolvimento da alta gestão e das suas áreas de negócio.

Considerar o elemento “humano” é imprescindível para a sua implementação. Por isso, somente com o engajamento de todos ele se manterá e será realmente efetivo.

Lembre-se: a conformidade com a LGPD não é um tema para apenas uma ou outra área, mas de todas. E são todas mesmo!

Ainda assim, algumas áreas merecem maior atenção e demandam um profundo envolvimento na adequação à Lei e na manutenção do Programa de Proteção de Dados Pessoais, seja pelo volume e características dos dados pessoais [P1] que manuseiam ou pela relevância das atividades desenvolvidas e resultados obtidos.

As áreas que mais se destacam e devem obrigatoriamente se envolver quando o tema é Proteção de Dados Pessoais nas cooperativas, são:

  Área de Recursos Humanos ou Gestão de Pessoas

O RH geralmente é responsável por concentrar volume expressivo de dados pessoais e por realizar diversas atividades de tratamento de dados pessoais e dados pessoais sensíveis. Afinal, a área responde pelas atividades relacionadas à seleção e recrutamento, admissão, gestão de benefícios e convênios, condução de treinamentos, processamento de folha de pagamento, controles de jornada, suporte ao desenvolvimento profissional dos colaboradores, entre outras.

As rotinas de recursos humanos são extremante vivas e se moldam às necessidades impostas pela maioria das vezes por legislações e regulamentações. Por isso, a cooperativa deve estar atenta na forma como os dados pessoais são manipulados pela área e, principalmente, em como eles são acessados (quem os acessa), armazenados e descartados, quando necessário.

Desta forma, em geral, compete à área de recursos humanos:

• A implementação de treinamentos e campanhas de conscientização, desde a integração dos colaboradores e durante todo o período que permanecem vinculados à cooperativa;
• O auxílio e monitoramento da formalização de aditivos ao contrato de trabalho, com objetivo de informar os colaboradores sobre as atividades que são realizadas com seus dados pessoais e as características de tais atividades, bem como de compromissá-los ao cumprimento das regras estabelecidas em políticas, normas e procedimentos;
• A proposição de elaboração e revisão de documentos informativos e avisos de privacidade voltados para colaboradores, detalhando as atividades realizadas com seus dados pessoais;
• A formalização de termos de adesão para benefícios optativos alcançados para os colaboradores, informando sobre eventual compartilhamento realizado com prestadores de serviços ou parceiros a partir da adesão do colaborador;
• Informar a área de tecnologia da informação sobre a demissão de colaboradores, quando possível antes de ocorrer, para que credenciais de acesso a sistemas, e-mails e outros ambientes possam ser revogadas;
• Certificar-se de que dados pessoais de colaboradores não são compartilhados para finalidades estranhas ao vínculo de emprego, aos benefícios obrigatórios ou aos benefícios que o colaborador optou por receber, bem como aos casos em que o compartilhamento seja impositivo por conta de lei ou regulamento.  

Marketing ou Comunicação

Ações publicitárias e a divulgação das atividades desenvolvidas pelas cooperativas são importantes mecanismos de interação com a sociedade. A utilização dos canais oficiais de comunicação também se caracteriza como elemento essencial para a expansão dos negócios.

Por isso, há um tratamento expressivo de dados pessoais como “nome”, “e-mail”, “telefone”, utilizados para manutenção de mailings, remessa de e-mail marketing ou disparo de mensagens promocionais por meio de SMS e/ou WhatsApp. Além disso, dados pessoais, como “imagem” e “voz”, são utilizados com frequência na produção de materiais institucionais, publicitários ou para o registro de eventos.

Essas ações, comuns para boa parte das cooperativas, são apenas alguns exemplos. As áreas de marketing ou comunicação podem realizar outras várias atividades, como a definição de perfis do público que pretende atingir com determinadas ações, a realização de promoções e eventos, interações em redes sociais, dentre outras. 

Assim, independentemente das atividades realizadas, a área precisa revisitar a grande maioria dos seus processos para adequá-los à LGPD . Entre eles, é possível destacar: 

• Avisos de privacidade com informações detalhadas sobre a utilização dos dados pessoais em landingpages (páginas de conteúdo promocional na Internet) e limitação da coleta de dados pessoais (exemplo: se antes era coletados “nome”, “cpf”, “telefone”, “endereço”, “profissão”, “cargo” e “e-mail”, agora a coleta se limita a “nome”, “telefone”, “cargo” e  “e-mail”);
• Avisos de privacidade para eventos e atividades promocionais, informando aos participantes sobre a coleta de dados pessoais, de que maneira são ou serão utilizados, com quem serão compartilhados e por quanto tempo serão mantidos, além de outras informações;
• Consentimento ou termo de cessão de direitos relacionados à imagem para utilização em conteúdo de comunicação publicados em sites, redes sociais, revistas e outros;
• Opção facilitada para que as pessoas se oponham ao recebimento de e-mail marketing e mensagens de comunicação remetidas por Whatsapp ou SMS;
• Exclusão ou bloqueio, nas bases de dados, dos “e-mails” e “telefones” das pessoas que informam não possuírem mais interesse no recebimento de e-mails ou mensagens por Whatsapp ou SMS;
• Protocolos específicos para telemarketing, estabelecendo limites da frequência de abordagem e indicando no início dos contatos que as pessoas poderão informar se desejam ou não a continuidade da ligação ou de novos contatos;
• Quando responsáveis pela gestão de redes sociais, garantir que documentos em que estejam registrados dados pessoais não sejam solicitados por meio de mensagens ou outras interações nas redes sociais.

Área jurídica 

É responsabilidade da área jurídica assegurar que as relações estabelecidas com colaboradores, clientes, associados/cooperados, fornecedores e parceiros estejam pautadas nos fundamentos previstos na LGPD e que assegurem os interesses da cooperativa quando se trata da proteção de dados pessoais. 

Em regra, cabe ao Jurídico a importante função de estabelecer as justificativas legais para a realização das atividades envolvendo dados pessoais e adequar os contratos e outros documentos celebrados pela cooperativa, a fim de que prevejam requisitos relacionados à conformidade em proteção de dados pessoais, tais como:

• Responsabilidades das partes envolvidas nos tratamentos de dados pessoais;
• Limites para os tratamentos dos dados pessoais;
• Medidas de conformidade que precisarão ser mantidas pela parte com quem a contratação está sendo realizada;
• Monitoramento do Terceiro, com previsão de auditoria;
• Auxílio para o atendimento dos direitos solicitados pelas pessoas;
• Dever de comunicação de eventual incidente envolvendo dados pessoais tratados a partir do contrato ou da relação mantida;
• Responsabilização da parte com quem o contrato está sendo mantido diante de descumprimentos contratuais ou descumprimento da LGPD na execução do objeto contratado.

O apoio técnico da área garante que as ações da cooperativa estejam em conformidade com as legislações aplicáveis. Além disso, o Jurídico (interno ou consultoria externa especializada) auxilia diretamente na análise de eventuais regulamentações emitidas pela Autoridade Nacional de Proteção de Dados (ANPD) e sua posterior implementação nos processos da cooperativa. 

Tecnologia da Informação – TI 

Um erro muito comum nas cooperativas dos mais variados portes é acreditar que a LGPD é apenas “coisa de TI”. A área de TI, sem dúvidas, é extremamente importante para o Programa de Proteção de Dados Pessoais, mas não é a única responsável pela sua existência e manutenção, como já destacamos.

A equipe de TI é responsável direta pelas operações tecnológicas da cooperativa, ou seja, pelas atividades que envolvem seus equipamentos, sistemas, redes, conexões à internet e operacionalização das atividades do dia a dia de várias outras áreas. Assim, ela atua como uma espécie de coração, responsável por garantir os meios necessários para que as demais áreas possam executar plenamente suas atividades.

O envolvimento da TI na adequação à LGPD e na manutenção do Programa de Conformidade em Proteção de Dados Pessoais está diretamente vinculado às ações de segurança da informação que envolvem a política de segurança da informação, e as normas e procedimentos para níveis de permissão e controle de acesso, desenvolvimento, senhas, backups, gestão de ativos, monitoramento de redes, garantia de disponibilidade de serviço, gestão de incidentes cibernéticos (em conjunto com outras áreas) e outras. 

Por isso, é fundamental que, em conjunto com as demais áreas e com patrocínio da alta gestão, a TI adote os controles previstos na ISO 27701 (que institui o Programa de Privacidade da Informação). O procedimento é primordial para atender as boas práticas de segurança determinadas como obrigatórias na LGPD. 

A participação da TI também é essencial para adequação de sites e sistemas aos controles estabelecidos quando da adequação à LGPD. Por exemplo: quando for definida a supressão de determinados campos de coleta de dados pessoais em sistemas ou sites, a área terá que realizar ou solicitar para prestadores de serviço a realização da adequação desses ambientes. 

Assim, em resumo, a área de TI é responsável por inúmeras atividades envolvendo boas práticas de segurança (inclusive de gestão de riscos para novas atividades) e procedimentos adequados para o manuseio de equipamentos, sistemas e e-mails. 

Comercial

A LGPD não tem como objetivo dificultar ou inviabilizar as operações de qualquer cooperativa. Pelo contrário, o texto da Lei indica que a proteção de dados pessoais tem como fundamento o desenvolvimento econômico e tecnológico, a inovação, a livre iniciativa e a livre concorrência. 

Ou seja, atividades de prospecção comercial e manutenção de relacionamento com clientes estão resguardadas pela legislação, mas precisam atender determinadas condições para que sejam consideradas regulares. 

A área Comercial é responsável por boa parte do relacionamento com os clientes e, em muitas vezes, pelo faturamento da cooperativa. Assim como as demais áreas, também realiza atividades que envolvem a utilização de dados pessoais, tais como venda de produtos e/ou serviços, contratação de fornecedores, emissão de notas fiscais, cadastramento de fornecedores pessoas físicas em sistemas internos, remessa de produtos aos clientes, registros contábeis obrigatórios, dentre outras.

Justamente em razão deste volume de atividades, precisa estar atenta as políticas, normas e procedimentos implementados pela cooperativa para cumprir a LGPD, garantindo que o relacionamento conduzido junto aos clientes/consumidores esteja pautado na transparência e no uso consciente e adequado dos dados pessoais.

Social

O associado/cooperado é a razão de existir da cooperativa. É a partir da participação dele que as cooperativas desenvolvem suas atividades e concretizam seus negócios. 

Os associados são os maiores interessados na adequação das atividades da cooperativa aos termos da LGPD, uma vez que são os “donos” do negócio. A conformidade da cooperativa é a garantia de que seus próprios dados pessoais serão utilizados de forma adequada e mantidos em segurança.

Por isso, é primordial que a área responsável pelo relacionamento com os associados esteja diretamente envolvida na adequação à LGPD e no Programa de Proteção de Dados Pessoais, uma vez que atua como interlocutora com este público – pessoas físicas de quem, como já dito, a cooperativa também trata dados pessoais.

Também vale destacar que, em regra, a área Social é responsável pelo gerenciamento dos benefícios ofertados aos associados e seus dependentes, realizando naturalmente diversas rotinas que envolvem a utilização de dados pessoais e até mesmo de dados pessoais sensíveis.

A área tem ainda a importante tarefa de internalizar as ações desenvolvidas pelo Sistema OCB relacionadas ao apoio e promoção ao cooperativismo, além de servir de canal de integração dos associados aos programas de formação profissional e promoção social, executados em conjunto com as unidades estaduais.

 

Para lembrar

O amplo envolvimento de colaboradores, associados/cooperados e da alta gestão das cooperativas é medida indispensável para o sucesso da adequação à LGPD e para a eficiência e manutenção do Programa de Proteção de Dados Pessoais.

Com a intensificação do uso da internet, a proteção dos dados dos clientes passou a ocupar lugar de destaque na lista de preocupações da sociedade moderna. E para garantir a segurança das informações de todos que navegam pela internet, pessoal ou profissionalmente, foi promulgada, em 2018, a Lei Geral de Proteção de Dados (LGPD, como é mais conhecida a Lei nº 13.709/2018), e que passou a valer no dia 22 de setembro. Em função disso, o Sistema OCB realizou nesta quarta-feira, um webinário dividido em duas partes para debater os aspectos práticos e teóricos da LGPD.

Saiba mais em: https://www.somoscooperativismo.coop.br/