Notícias LGPD
Notícias LGPD
Como implementar a Lei Geral de Proteção de Dados (LGPD, como é mais conhecida a Lei nº 13.709/2018) na sua cooperativa? Essa pergunta norteou o último Encontro Coop deste ano. O evento, realizado pelo Sistema OCB, tem por objetivo promover um debate sobre os principais assuntos que impactam a rotina das coops brasileiras. E, nesta quinta-feira, o tema foi por onde começar a implementar essa lei, que, aliás, já está valendo desde o dia 22 de setembro.
Saiba mais em: https://www.somoscooperativismo.coop.br/
Notícias LGPD
A Lei Geral de Proteção de Dados entrou em vigor no dia 22 de setembro com o objetivo de proteger o consumidor do mau uso que as empresas fazem de seus dados. Por isso, o Sistema OCB promove nesta quarta-feira (7/10), um webinário sobre o tema, com o objetivo de tirar as dúvidas das cooperativas.
Saiba mais em: https://www.somoscooperativismo.coop.br/
Notícias LGPD
O Conselho de Proteção de Dados do Cooperativismo (CPDC) realizou sua quarta reunião nesta terça-feira (12). O encontro contou com a participação de 30 membros do colegiados, entre titulares e suplentes, que abordaram temas relacionados à aplicação da Lei Geral de Proteção de Dados (LGPD) ao Sistema Cooperativista Nacional.
“Foi uma reunião muito produtiva e que evidenciou a importância que o tema da privacidade e proteção de dados tem para as entidades de representação nacional e estadual do cooperativismo. Conseguimos avançar nas nossas pautas de adequação e conformidade com a LGPD internas do Sistema OCB e pretendemos estabelecer uma rotina de constante avaliação dos nossos índices de maturidade em relação aos processos envolvidos com a lei”, explicou a presidente do Conselho, Ana Paula Andrade Ramos.
Saiba mais em: https://www.somoscooperativismo.coop.br/
Featured
Notícias LGPD
A adequação das cooperativas à Lei Geral de Proteção de Dados Pessoais (LGPD) passa pela revisão de processos e procedimentos, e também, pela elaboração e formalização de diversos documentos que podem ser voltados tanto para o público interno, quanto externo.
Os documentos contribuem diretamente para que as cooperativas atendam aos princípios da responsabilização e da prestação de contas estabelecidos na LGPD (Confira o material Descomplicando os princípios da LGPD).
Por isso, é imprescindível que as coops compreendam os documentos essenciais para o cumprimento da legislação e os respectivos objetivos de cada um deles na estruturação e manutenção de Programas de Privacidade e Proteção de Dados Pessoais.
Vamos a eles?
1. Registro das Operações de Tratamento de Dados Pessoais
O documento é obrigatório e explicitamente indicado na LGPD, que pode ser definido como a compilação estruturada das operações de tratamento de dados pessoais realizadas dentro da estrutura organizacional das cooperativas.
O registro também é responsável por viabilizar a proteção de dados pessoais nas cooperativas, uma vez que, para poder atender plenamente às disposições da LGPD, é necessário que as coops tenham conhecimento das atividades que realizam envolvendo dados pessoais.
Assim, mais do que simplesmente cumprir uma obrigação legal, o registro contribui com a implementação dos controles necessários para atender aos princípios e demais obrigações previstas na legislação.
Além disso, a confecção e constante atualização do registro de operações de tratamento de dados pessoais permite identificações, como, por exemplo:
- Dos tipos de dados pessoais tratados em cada um dos processos da cooperativa;
- Das finalidades para as quais as atividades com dados pessoais são desenvolvidas;
- Das bases legais que legitimam as atividades realizadas com dados pessoais (Confira o material: Quais são as bases legais que podem justificar a utilização de dados pessoais);
- Dos direitos que possuem as pessoas em cada uma das atividades desenvolvidas pela cooperativa (Confira o material LGPD – Quais os direitos dos titulares de dados pessoais e como atendê-los);
- Dos locais em que os dados pessoais estão armazenados;
- Dos compartilhamentos com terceiros ou órgãos públicos em cada uma das operações envolvendo dados pessoais;
- Das medidas de segurança adotadas.
2. Política Interna de Privacidade e Proteção de Dados Pessoais
É o documento que institui o Programa de Privacidade e Proteção de Dados Pessoais nas cooperativas para garantir o cumprimento das disposições da LGPD e, consequentemente, níveis adequados de privacidade e proteção para os dados pessoais utilizados no desenvolvimento das suas atividades institucionais.
Na política interna de privacidade e proteção de dados pessoais são estabelecidas uma série de diretrizes que devem ser cumpridas em todos os níveis das cooperativas. Essas diretrizes estão vinculadas à transparência, informação, manutenção de registros, formalização de documentos, segurança (confidencialidade, integridade e disponibilidade), atendimento de direitos, prazos de retenção, relações com terceiros e outros pontos.
São exemplos de diretrizes:
- Dever de informação aos titulares de dados pessoais sobre as atividades que serão realizadas com seus dados pessoais, antes do momento em que os dados pessoais sejam coletados ou utilizados pela primeira vez;
- Dever dos colaboradores de comunicar o Encarregado pelo tratamento de dados pessoais a respeito de todas as novas atividades de utilização de dados pessoais que passarem a ser realizadas nas cooperativas, bem como sobre eventuais atualizações daquelas já mapeadas anteriormente.
- Compromisso da cooperativa de que os dados pessoais apenas serão utilizados se a finalidade da utilização estiver devidamente registrada e justificada de acordo uma base legal permitida e adequada à categoria dos dados pessoais tratados e à finalidade do tratamento.
Dá para notar a partir dos exemplos acima a importância do envolvimento das principais áreas das cooperativas no Programa de Conformidade (Confira o material LGPD: Quais áreas da cooperativa são mais impactadas pelas medidas de adequação?), pois elas contribuem diretamente na estruturação da política e integram o Comitê responsável pelo gerenciamento do Programa.
É importante destacar que esse documento é construído a partir das peculiaridades de cada cooperativa e deve ser avaliado e formalmente aprovado pela alta gestão para que suas diretrizes passem a ser exigidas dos colaboradores, prestadores de serviço e de outras partes envolvidas nas atividades realizadas.
Além das diretrizes gerais que estarão nesta política, recomenda-se que as cooperativas especifiquem outras diretrizes em normas e procedimentos, que poderão regrar determinadas áreas e/ou aspectos da proteção de dados pessoais na estrutura das cooperativas.
Dentre as normas e procedimentos complementares, destacam-se:
- Norma de Retenção e Descarte de Dados Pessoais: Neste documento, dentre outras disposições, deve ser indicada a necessidade de elaboração e atualização de tabelas de temporalidade que servirão de referência quanto aos prazos de manutenção dos dados pessoais e as formas de descarte que serão adotadas;
- Norma de Gestão de Terceiros: define o processo que as cooperativas adotarão para que a LGPD também seja cumprida por prestadores de serviços e parceiros com os quais compartilham dados pessoais. Deve prever, dentre outras medidas, a forma como o Due Diligence (Diligência prévia de avaliação da conformidade de terceiros) será realizado e a periodicidade da sua realização.
- Procedimento para atendimento dos direitos dos titulares: Deve estabelecer os mecanismos que deverão ser observados pelo Encarregado pelo tratamento de dados pessoais no processo de validação da identidade dos titulares e o fluxo de trabalho de processamento das solicitações, desde o recebimento até a finalização do atendimento.
3. Política Externa de Privacidade ou Aviso de Privacidade
É muito comum observarmos na maioria dos sites a expressão “Política de Privacidade”, não é mesmo? No entanto, a nomenclatura adequada para este documento é Aviso de Privacidade, pois ele tem como objetivo dar transparência aos titulares acerca das atividades de tratamento de dados pessoais realizadas pelas cooperativas.
O aviso de privacidade é um dos principais instrumentos utilizados para atender ao princípio da transparência e evitar o efeito “surpresa” na utilização dos dados pessoais. Ou seja, é neste documento que as cooperativas devem informar detalhadamente as atividades que realizam com dados pessoais.
Devem ser indicados, no mínimo:
- Finalidade: detalhar as finalidades específicas que as cooperativas pretendem alcançar com o tratamento dos dados pessoais (Ex.: Enviar e-mail marketing semanalmente);
- Forma e duração do tratamento: os titulares serão informados sobre como e por quanto tempo os dados pessoais serão utilizados (Ex.: Os dados serão coletados por meio de um formulário de newsletter existente no site, inseridos em uma ferramenta de disparo de e-mail marketing que realizará envios semanais, pelo prazo de 1 ano);
- Qualificação do controlador: os titulares devem ser informados claramente sobre a identificação e o contato das cooperativas envolvidas no tratamento dos dados pessoais (Ex.: A Cooperativa XPTO é a responsável pela realização do tratamento dos dados pessoais para fins de e-mail marketing, a qual pode ser contatada por meio do e-mail
Este endereço para e-mail está protegido contra spambots. Você precisa habilitar o JavaScript para visualizá-lo. ); - Terceiros envolvidos: as cooperativas devem informar quais terceiros participam das atividades realizadas com dados pessoais (Ex.: seus dados pessoais serão compartilhados com a Plataforma XPTO para possibilitar a realização do disparo do e-mail marketing);
- Identificação do Encarregado (DPO): deve ser informado quem é o Encarregado pelo tratamento de dados pessoais da cooperativa e a forma de contatá-lo. (Ex.: O nosso Encarregado pelo tratamento de dados pessoais é Fulano e pode ser contatado a partir do nosso Portal de Privacidade (Acesse aqui) ou pelo e-mail
Este endereço para e-mail está protegido contra spambots. Você precisa habilitar o JavaScript para visualizá-lo. ); - Medidas de segurança adotadas: é importante que as cooperativas indiquem as medidas de segurança que adotam para proteger os dados pessoais contra acessos não autorizados, alterações, divulgações ou destruições. São exemplos de medidas de segurança:
- Pontos de coleta de dados pessoais protegidos com certificados SSL/TLS;
- Acesso aos dados limitado a pessoas autorizadas;
- Acesso controlado aos sistemas mediante uso de credenciais individuais;
- Controles lógicos nos dispositivos utilizados;
- Armazenamento de documentos de acordo com as melhores práticas de segurança da informação.
- Direitos dos titulares: deve ser informado expressamente a relação de direitos assegurados pela LGPD aos titulares e as formas como eles podem ser prontamente exercidos.
Para lembrar:
Os avisos de privacidade podem ser disponibilizados em sites, formulários digitais ou até mesmo em fichas físicas. Em regra, eles devem ser utilizados em todo e qualquer ponto de coleta de dados pessoais para que o titular de dados pessoais saiba previamente “para que”, “por quem”, “porque” e “por quanto tempo” os seus dados pessoais serão utilizados pelas cooperativas.
4. Política de Segurança da Informação (PSI)
É o documento que institui o Sistema de Gestão da Segurança da Informação (SGSI) nas cooperativas. Seu objetivo é garantir níveis adequados de proteção às informações da organização ou que estejam sob sua responsabilidade.
A PSI (como também é chamada), dentre outros, tem como propósito:
- Orientar quanto à adoção de controles e processos para atendimento dos requisitos de Segurança da Informação estabelecidos nas melhores práticas, a exemplo da ISO/IEC 27001;
- Indicar quais diretrizes e orientadores estratégicos são aplicados ao ambiente físico e digital para resguardar as informações das cooperativas, garantindo requisitos básicos de confidencialidade, integridade e disponibilidade;
- Prevenir possíveis causas de incidentes e responsabilização das cooperativas e seus colaboradores, associados, clientes e parceiros;
- Minimizar os riscos de perdas financeiras, de participação no mercado, da confiança de clientes, associados ou de qualquer outro impacto negativo nos negócios das cooperativas como resultado de falhas de segurança.
Lembre-se:
Não existe proteção de dados pessoais sem segurança da informação!
A política deve indicar uma série de diretrizes relacionadas à classificação, formas de tratamento das informações e controles que devem ser observados em todos os níveis das cooperativas. Assim como ocorre com a Política de Proteção de Dados Pessoais, a Política de Segurança da Informação também estabelece parâmetros gerais que devem ser detalhados em normas e procedimentos.
São exemplos de normas:
- Norma de backup: define as diretrizes para a realização de cópias de segurança para prevenir a perda das informações, softwares e sistemas das cooperativas;
- Norma de controle de acesso: define as diretrizes para gestão de identidade e para garantir o acesso seguro, de acordo com níveis de privilégio, aos ativos ou sistemas de informação das cooperativas;
- Norma de gestão de ativos da informação: define diretrizes sobre a identificação adequada dos ativos de informação das cooperativas para que os controles de proteção recomendados para estes ativos sejam implementados com êxito;
- Norma de gestão de incidentes e violação de dados pessoais: define as diretrizes e responsabilidades para garantir resposta e tratamento adequados aos incidentes que possam impactar ativos, informações, dados pessoais ou recursos computacionais das cooperativas.
Importante destacar que as normas complementares e as regras estabelecidas em cada uma das normas descritas aqui podem e devem variar de acordo com as peculiaridades de cada cooperativa, bem como diante das particularidades e complexidade dos negócios que realizam e de eventuais leis ou regulamentos específicos que incidam sobre tais negócios (Ex.: Resoluções que abordem temas de segurança da informação, emitidas pelo Bacen, com aplicabilidade para cooperativas de crédito).
5. Cláusulas Contratuais de Proteção de Dados Pessoais
Os contratos e outros documentos celebrados pelas cooperativas merecem atenção especial quando o assunto é proteção de dados pessoais. A definição de cláusulas contratuais robustas é imprescindível para a eficiência da gestão de terceiros e para delimitação de responsabilidades.
Assim, alguns aspectos devem estar obrigatoriamente contemplados nas cláusulas contratuais das cooperativas e formalizadas em contratos com prestadores de serviços ou parceiros que atuam como operadores ou controladores conjuntos:
- Responsabilidades das partes envolvidas nos tratamentos de dados pessoais;
- Limites para os tratamentos dos dados pessoais;
- Medidas de conformidade que precisarão ser mantidas pela parte com quem a contratação está sendo realizada;
- Monitoramento do terceiro, com previsão de auditoria;
- Obrigação de auxílio no atendimento dos direitos solicitados pelas pessoas;
- Dever de comunicação de eventual incidente envolvendo dados pessoais tratados a partir do contrato ou da relação mantida;
- Responsabilização da parte com quem o contrato está sendo mantido diante de descumprimentos contratuais ou descumprimento da LGPD na execução do objeto contratado.
Embora a definição dos papéis dos agentes de tratamento de dados pessoais (Controlador ou Operador) não decorra diretamente das definições acordadas nas cláusulas contratuais, elas são importantes instrumentos para assegurar que os interesses das cooperativas sejam respeitados pelos terceiros. Ainda assim, a preocupação com cláusulas contratuais não pode se limitar aos terceiros, já que as cooperativas devem estar atentas também ao relacionamento mantido com seus colaboradores e associados.
Por isso, é necessária a formalização de ajustes nos modelos de contratos de trabalho utilizados e formalização de aditivos contratuais em relação aos contratos vigentes para inclusão de disposições relacionadas à proteção de dados pessoais, além de estabelecer o compromisso do colaborador em contribuir ativamente com a manutenção e amadurecimento do Programa de conformidade.
Também é primordial que as cooperativas estabeleçam termos de adesão para benefícios optativos alcançados para os colaboradores e/ou associados, informando sobre eventual compartilhamento realizado com prestadores de serviços ou parceiros a partir da adesão do beneficiário.
6. Avaliações de Legítimo Interesse
É o documento elaborado para as atividades de tratamento de dados pessoais desenvolvidas pelas cooperativas com fundamento na base legal do “Legítimo Interesse”.
Essa avaliação é um instrumento difundido no modelo europeu de proteção de dados pessoais e incorporado pelas boas práticas no modelo brasileiro. Seu objetivo é formalizar a realização de um teste para comprovar que, efetivamente, há interesse legítimo e que este interesse não confronta com direitos das pessoas. O teste é composto por diversas perguntas que devem ser respondidas pelas cooperativas, divididas em três etapas:
- Adequação: nesta etapa, o objetivo é verificar se os dados pessoais tratados guardam relação com a finalidade almejada pelas cooperativas com a atividade de tratamento;
- Necessidade: busca avaliar se o tratamento dos dados pessoais é necessário, isto é, se não é possível alcançar a mesma finalidade de forma menos onerosa ou mediante meios alternativos e menos invasivos ao titular;
- Balanceamento: avalia se o tratamento de dados pessoais afeta os direitos e liberdades fundamentais do titular e contraria as suas legítimas expectativas.
Importante ressaltar que a confecção deste documento evidencia que as cooperativas cumprem com o princípio da responsabilização e da prestação de contas, demonstrando o compromisso e a preocupação das cooperativas em relação à matéria.
7. Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
O relatório de impacto à proteção de dados pessoais (também chamado de RIPD) é uma importante ferramenta que possibilita a análise, identificação e correção dos riscos relacionados à privacidade e proteção de dados pessoais.
O RIPD tem como objetivos:
- Dar transparência para as operações de tratamento de dados pessoais realizadas;
- Garantir o correto e adequado atendimento dos direitos dos titulares de dados pessoais,
- Adotar as melhores práticas de segurança da informação e proteção de dados pessoais; e
- Implementar uma atuação preventiva para correção de eventuais riscos que possam causar violação de dados pessoais ou a atuação em desconformidade com a LGPD e outros regulamentos sobre o tema.
Em regra, para que os objetivos indicados acima sejam alcançados satisfatoriamente, preferencialmente, o RIPD deve ser elaborado pelas cooperativas antes do início da operação de tratamento de dados pessoais.
Em relação a obrigatoriedade ou não de sua elaboração, a definição compete à Autoridade Nacional de Proteção de Dados (ANPD), que definirá os critérios por meio de regulamento próprio (ainda não disponibilizado).
Todavia, com base nas disposições indicadas na própria LGPD, tem-se que a elaboração do relatório é recomendada em atividades que resultam em alto risco aos titulares de dados pessoais, tais como:
- Tratamentos em larga escala de categorias especiais de dados pessoais, como dados pessoais sensíveis ou dados pessoais de crianças e adolescentes;
- Tratamentos de dados pessoais que envolvam o controle sistemático de ambientes acessíveis a muitas pessoas ou ao público em geral, tais como monitoramento de ambientes físicos e/ou digitais;
- Tratamentos de dados pessoais realizados a partir de decisões automatizadas, incluídas as decisões destinadas a definição de perfil pessoal, profissional, de consumo e/ou de crédito, inclusive aspectos de personalidade;
- Tratamentos de dados pessoais que visem o rastreamento da localização de pessoas ou a formação de perfil comportamental;
- Tratamentos de dados pessoais que se utilizem de inovações tecnológicas.
Além disso, por se tratar de uma ferramenta de identificação e mitigação de riscos, em qualquer caso a confecção pode ser recomendada pelo Encarregado pelo tratamento de dados pessoais ou pelo comitê responsável pelo Programa de conformidade nas cooperativas.
Notícias LGPD
O tratamento de dados pessoais de crianças e adolescentes exige atenção redobrada, uma vez que são consideradas pessoas em condição de desenvolvimento e possuem proteção integral, especial e prioritária de acordo com a legislação brasileira.
A Lei Geral de Proteção de Dados Pessoais (LGPD) traz um capítulo específico sobre esse assunto, para garantir o respeite os direitos das crianças e dos adolescentes pelas organizações.
As cooperativas realizam o tratamento de dados pessoais deste público, por exemplo, na admissão de estagiários e jovens aprendizes ou no desenvolvimento de ações, treinamentos e programas de Formação Profissional e Promoção Social.
Mas quais são os requisitos para que o tratamento de dados pessoais de crianças e de adolescentes seja legítimo?
Para realizar o tratamento de dados pessoais de crianças e adolescentes de forma regular, a cooperativa deve apresentar uma justificativa adequada, que no cenário da LGPD ganha o nome de base legal (confira o material sobre bases legais aqui). Esta base legal, pode ser o consentimento, ou seja, quando for realizado tratamento de dados pessoais de crianças ou adolescentes, a justificativa – base legal - a ser utilizada poderá ser o consentimento, que obrigatoriamente deverá ser específico, em destaque e fornecido por pelo menos um dos pais ou responsável legal.
Importante ressaltar que o consentimento não é a única base legal que pode ser utilizada para o tratamento de dados pessoais de crianças e adolescentes. Há também a possibilidade de utilização de outros instrumentos. Recentemente foi publicado o enunciado nº 4796 da Jornada de Direito Civil, afirmando que “o art. 14 da Lei LGPD não exclui a aplicação das demais bases legais, se cabíveis, observado o melhor interesse da criança”.
Existem, ainda, duas exceções em que as cooperativas podem realizar o tratamento de dados pessoais de crianças e adolescentes sem consentimento ou outra base legal válida: 1) quando o tratamento for necessário para comunicação com seus familiares, pais ou responsáveis; e 2) para proteção da vida, em atendimentos emergenciais ou questões de saúde, por exemplo.
Atenção!
É fundamental que, caso opte pelo consentimento, a cooperativa se certifique de que este foi efetivamente formalizado por um dos pais ou responsáveis legais.
As cooperativas devem informar de forma clara e facilitadas: quais os tipos de dados pessoais coletados, qual a finalidade do tratamento, quais as medidas de segurança utilizadas, com quem os dados pessoais serão compartilhados, os procedimentos para o exercício dos direitos estabelecidos na LGPD e por meio de qual canal podem ser solicitados e, ainda, a identificação e contato do encarregado pelo tratamento de dados pessoais.
É importante destacar que as cooperativas devem fornecer informações simples, claras e acessíveis, considerando as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais dos titulares deste público, com a utilização de recursos audiovisuais, quando for considerado adequado.
Ou seja, evite a utilização de linguagem complexa ou termos técnicos, bem como disponibilize as informações em ambiente com acesso facilitado. Para isso, é recomendável que as cooperativas utilizem recursos diversos como: desenhos, fluxogramas, esquemas, vídeos, entre outros. O objetivo é tornar o conteúdo mais acessível para este público e para os seus responsáveis, levando em conta aspectos como idade, localidade e até mesmo possibilidade de acesso à informação.
Então, em resumo, quais são as reflexões que a cooperativa deve considerar no tratamento de dados pessoais de crianças e adolescentes?
- O tratamento dos dados pessoais da criança ou do adolescente é essencial e estritamente necessário para conseguir desenvolver a atividade?
- Existe outro meio para desenvolver a atividade sem que haja o tratamento de dados pessoais de crianças e adolescentes?
- A finalidade do tratamento foi informada de forma clara e explícita ao titular e aos seus responsáveis legais?
- O tratamento é realizado com a aplicação da base legal adequada?
- No caso de consentimento, foi fornecido por um dos pais ou responsáveis legais?
- O tratamento de dados pessoais é realizado com base no melhor interesse da criança e do adolescente?
Para lembrar!
Recomenda-se atenção especial e redobrada por parte das cooperativas em relação ao tratamento de dados pessoais de crianças e adolescentes (que, como já dito, podem ser menores aprendizes, estagiários, dependentes de colaboradores ou associados). Para isso, deve-se buscar sempre os melhores meios para fornecer as informações necessárias, com a elaboração de informativos, avisos, cartilhas, vídeos e, ainda, garantindo que a atividade seja realizada de acordo com uma base legal adequada.
Notícias LGPD
Certamente você já ouviu falar que a LGPD é repleta de princípios e que, na grande maioria das suas disposições, não indica de forma específica quais controles ou medidas as organizações precisam adotar para estarem adequadas à Lei, limitando-se a indicar que boas práticas organizacionais, de segurança da informação e de gestão de dados pessoais devem ser implementadas. Justamente por conta disso, é essencial que você entenda os princípios estabelecidos. Vamos juntos?
É preciso destacar que os princípios devem ser observados por coops durante o desenvolvimento de toda e qualquer atividade de tratamento/utilização de dados pessoais. Para exemplificar, explicamos abaixo os princípios que as cooperativas devem observar sempre que utilizarem dados pessoais:
1. Princípio da Finalidade: segundo a LGPD, a utilização dos dados pessoais deve estar vinculada à propósitos legítimos, específicos e explicitamente informados, para as pessoas a quem os dados pessoais se referem, sem possibilidade de utilização posterior de forma incompatível com a finalidade previamente formalizada e informada.
Em outras palavras, as cooperativas precisam formalizar os objetivos para os quais tratam dados pessoais nos seus processos (as finalidades devem estar indicadas no Registro das Operações de Tratamento de Dados Pessoais – incluir link para o conteúdo de documentos obrigatórios) e informar explicitamente para as pessoas a quem os dados se referem sobre as atividades que serão realizadas.
! Dica:
A informação explícita poderá estar em políticas externas de privacidade, sites, contratos e outros documentos, murais, ações de comunicação diversas e em outros canais.
2. Princípio da Adequação: deve haver compatibilidade entre a utilização dos dados pessoais e as finalidades explicitamente informadas ao titular, e também, de acordo com o contexto do tratamento. Explicando melhor: as cooperativas precisam garantir que os dados pessoais tratados são adequados e compatíveis com a atividade que está sendo realizada.
Exemplo: caso dados pessoais estejam sendo utilizados para avaliar um candidato para determinada vaga de trabalho, devem ser tratados apenas os dados compatíveis com a identificação do perfil profissional e acadêmico pretendido. Não seria adequado, portanto, a cooperativa tratar dados pessoais como título de eleitor ou dados pessoais sensíveis, como opinião/filiação política nesse tipo de atividade.
3. Princípio da Necessidade: a coleta e utilização dos dados pessoais deve ser limitada ao mínimo necessário para a realização dos objetivos e dos processos das cooperativas. Isto é, além de tratar os dados pessoais compatíveis com a finalidade formalizada e informada ao titular, as cooperativas devem tratar a menor quantidade de dados pessoais possível para alcançar o propósito da atividade.
Aproveitando o exemplo acima, além de não utilizar dados pessoais incompatíveis com o objetivo de avaliar perfil profissional e acadêmico em processo seletivo, a cooperativa está obrigada a identificar se, dentre aqueles dados pessoais que são compatíveis, todos são necessários ou se, eventualmente, dados pessoais dispensáveis estão sendo utilizados – e, neste caso, deixar de utilizá-los. Esta reflexão e avaliação deve ser realizada em todos os processos que envolvem dados pessoais.
4. Princípio do Livre Acesso: deve ser garantida para as pessoas a quem os dados pessoais se referem a possibilidade de consulta facilitada e gratuita sobre a forma e a duração da utilização, bem como sobre a integralidade de seus dados pessoais. Ou seja, sempre que as pessoas solicitarem, as cooperativas precisarão dar acesso a informações sobre o tratamento, assim como aos próprios dados pessoais que dizem respeito ao solicitante.
5. Princípio da Qualidade: a cooperativa deve garantir exatidão, clareza, relevância e atualização dos dados pessoais. Isto é, durante todo o período em que as cooperativas mantiverem os dados pessoais das pessoas com quem se relacionam nos seus ambientes físicos ou digitais (sistemas, e-mails e outros), são obrigadas a garantir que estejam exatos (sem alterações indevidas) e devidamente atualizados.
6. Princípio da Transparência: é a obrigação de direcionar para as pessoas com quem a cooperativa se relaciona informações claras, precisas e facilmente acessíveis sobre a utilização dos dados pessoais.
Em outras palavras, as cooperativas possuem o dever de informar detalhadamente as pessoas sobre as atividades que realizam com dados pessoais, destacando os objetivos da utilização, os tipos de dados pessoais ou dados pessoais sensíveis utilizados, a justificativa legal para a utilização, os prazos de retenção e a existência de eventuais compartilhamentos com terceiros (prestadores de serviços ou órgãos públicos, por exemplo).
Atenção: As informações devem estar em ambientes de fácil acesso, como sites, aplicativos e pontos físicos de atendimento de clientes e associados.
7. Princípio da Segurança: obriga a adoção de medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
É dever das cooperativas a adoção de medidas capazes de manter a disponibilidade, integridade e confidencialidade dos dados pessoais enquanto estão sob sua responsabilidade. Não por acaso, para estar em conformidade com a LGPD é indispensável a implementação de uma série de controles organizacionais e tecnológicos, a depender da complexidade do ambiente da cooperativa, para melhoria do Sistema de Gestão de Segurança da Informação.
8. Princípio da Prevenção: as cooperativas devem adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Ou seja, é necessário realizar ações preventivas constantemente, como oferecer treinamentos e conscientização sobre boas práticas para os colaboradores e terceiros que manipulam dados pessoais; adotar políticas de gestão de riscos de privacidade e proteção de dados pessoais; e desenvolver ações de controle que previnam ataques cibernéticos e que mitiguem vulnerabilidades de sistemas. Tudo para evitar que danos possam ser causados para as pessoas!
9. Não Discriminação: indica que é vedada a utilização de dados pessoais para fins discriminatórios, ilícitos ou abusivos. Em nenhuma hipótese, as cooperativas podem tratar dados pessoais com tais objetivos.
10. Responsabilização e Prestação de Contas: as cooperativas precisam demonstrar que adotam medidas eficazes e capazes de comprovar a observância e o cumprimento da LGPD e de outras normas de proteção de dados pessoais. Para isso, devem demonstrar a efetividade de seus programas de proteção de dados pessoais, reiteradamente, seja quando solicitado pelas pessoas, pela ANPD, ou ainda em processos judiciais e auditorias promovidas por parceiros.
Confira alguns exemplos de medidas de conformidade:
- - Políticas, normas e procedimentos relacionados ao programa de proteção de dados pessoais e segurança da informação;
- - Treinamentos e campanhas de conscientização para colaboradores;
- - Nomeação de Encarregado pelo tratamento de dados pessoais (Saiba mais);
- - Constituição formal de comitê para tratar sobre o tema e atas das reuniões realizadas, registro das Operações de Tratamento de Dados Pessoais, relatórios de impacto à proteção de dados pessoais e a disponibilização de canais de atendimento de direitos.
Saiba mais sobre os documentos essenciais para a conformidade com a LGPD aqui.
Para lembrar: Os princípios são fundamentos da Lei, representam sua essência e devem ser integralmente observados durante todas as atividades de tratamento de dados pessoais realizadas pelas cooperativas. Caso os processos de negócio que envolvem a utilização de dados pessoais não estejam adequados aos valores gerais da LGPD, fica caracterizada infração severa à Lei.
Os princípios não são mera formalidade ou excessiva conceituação técnica, mas regras básicas que devem ser observadas diariamente e, inclusive, efetivadas em políticas, normas e procedimentos de privacidade e proteção de dados.
Notícias LGPD
Os projetos de adequação ganham cada vez mais prioridade na pauta das cooperativas e a razão para isso é simples: elas estão sujeitas à LGPD e a outras regras e resoluções que também abordam aspectos relacionados à privacidade e proteção de dados pessoais.
Para que esses projetos alcancem os resultados esperados, é importante que a condução do processo considere a cooperativa como um todo, bem como as suas especificidades e as melhores práticas de mercado.
Saiba quais são os erros comuns nos projetos de adequação e como podem ser evitados para garantir a conformidade da cooperativa à LGPD.
1. Considerar apenas algumas áreas
Quando se fala em adequar uma cooperativa à LGPD, é preciso ter em mente que todas as suas áreas devem ser envolvidas. E são todas mesmo! É um equívoco pensar que a LGPD é responsabilidade apenas do Jurídico ou da Tecnologia da Informação (TI). Cuidado: Projetos de adequação que consideram apenas parte das áreas dão uma falsa sensação de conformidade e colocam a cooperativa em alto risco.
Por isso, a primeira coisa a fazer é pensar o todo. Isso porque as atividades da cooperativa são executadas por pessoas e todas elas, no exercício de suas funções, em qualquer área, em alguma medida, precisam aderir à cultura da privacidade e proteção de dados pessoais, incorporando no seu dia a dia práticas referentes ao tema.
A participação das áreas também é imprescindível no mapeamento das atividades de tratamento de dados pessoais (ou seja, no mapeamento dos processos de negócio da cooperativa que envolvem a utilização dessas informações) e, posteriormente, na implementação das ações corretivas (para correção de falhas ou pontos em aberto, tanto jurídicos quanto organizacionais e de segurança da informação).
2. Não mapear processos ou mapeá-los de forma inconsistente
O mapeamento adequado dos processos da cooperativa que utilizam dados de pessoas físicas é um passo fundamental do projeto de adequação. Muitas ações posteriores serão executadas com base nesse mapeamento. Além disso, ele é ferramenta básica para atender aos direitos dos titulares e também para possibilitar a elaboração do Registro das Operações de Tratamento de Dados Pessoais.
Por isso, atenção: Mapeamentos incompletos não fornecem os subsídios necessários para o desenvolvimento do projeto e comprometem o programa de conformidade da cooperativa!
Anote alguns dos pontos que obrigatoriamente devem ser levantados no mapeamento:
- Dados pessoais ou dados pessoais sensíveis utilizados em cada um dos processos, categoria das pessoas que têm seus dados pessoais tratados (isto é, identificação se são colaboradores, associados, prestadores de serviço, visitantes e etc.);
- Sistemas relacionados a cada um dos processos, prazos de retenção, compartilhamento de dados pessoais com terceiros (outras cooperativas, empresas e órgãos públicos);
- Existência de transferências internacionais, medidas de segurança aplicadas no processo, objetivos e finalidade da utilização dos dados pessoais (também de forma individualizada por processo), entre outros.
Outra dica é que é necessário ter experiência em mapeamento de processos para participar desta atividade. O mapeamento pode ser realizado por meio de entrevistas ou de respostas a questionários com perguntas previamente definidas para identificação dos pontos necessários à avaliação de conformidade.
Lembre-se: O que não for mapeado dificilmente será corrigido.
3. Falta de engajamento da alta gestão
O posicionamento da alta gestão determina como a visão da cooperativa e a sua cultura incorporam o tema da privacidade e proteção de dados pessoais. Quanto mais engajada ela estiver, melhor e mais efetiva serão as respostas dos demais envolvidos no processo. Isso porque as medidas de adequação costumam impactar hábitos, exigindo motivação, empenho e dedicação de toda a equipe. Por isso, é preciso transmitir uma mensagem clara de que o tema LGPD deve ser enfrentado com qualidade e, na maioria das vezes, com prioridade.
Sem esse engajamento e suporte da alta gestão, a cooperativa terá dificuldades para atingir os objetivos definidos, causando, inclusive, prejuízos em relação aos investimentos eventualmente realizados.
Lembre-se: A adequação à LGPD só será efetiva se a alta gestão definir a privacidade e proteção de dados pessoais como valores da cooperativa.
4. Não definir um comitê e não nomear encarregado pelo tratamento de dados pessoais
O Comitê de Privacidade e Proteção de Dados Pessoais é o responsável por implantar e manter o programa de conformidade na cooperativa. Ele deve ser composto por representantes de áreas-chave, garantindo que a equipe seja multidisciplinar e possa compartilhar as suas atribuições.
Se ocorrer demora na nomeação do Comitê, o cronograma do projeto ficará comprometido. Se o Comitê não é nomeado ou não assume de fato as suas responsabilidades, a implantação do programa de privacidade e proteção de dados, por consequência, se torna inviável.
Por isso, mesmo que esteja bem assessorada por prestadores de serviço especializados nos temas jurídicos, organizacionais e de segurança da informação necessários para conformidade com a LGPD, a cooperativa precisa de pessoas (recursos internos) capazes de conduzir uma série de ações fundamentais para o sucesso do programa.
O Encarregado pelo tratamento de dados pessoais, por sua vez, é o responsável pela comunicação com os titulares dos dados pessoais e com a Autoridade Nacional de Proteção de Dados (ANPD) e tem inúmeras responsabilidades referentes à manutenção da conformidade na cooperativa.
Assim, é recomendável que o Encarregado seja nomeado o quanto antes para acompanhar o projeto de adequação desde o início. Além disso, é importante que ele não acumule esta função com outras em que possa ocorrer conflito de interesses.
5. Implantação parcial de políticas e normas
Políticas e normas são documentos importantíssimos que declaram a visão da cooperativa sobre privacidade, proteção de dados pessoais e segurança da informação. Elas determinam as diretrizes que a cooperativa deve seguir com relação a esses temas.
Dessa forma, todas as áreas (no que compete a cada uma) devem realizar suas atividades em conformidade com as políticas e normas. Fornecedores também precisam estar cientes das principais diretrizes do programa de conformidade e devem se adequar para realizar a prestação de serviços nos limites informados.
Políticas e normas parcialmente implementadas geram evidências de não-conformidade. E isso é justamente o contrário do que se deseja, além de poder gerar outros impactos negativos como questionamentos sobre as diretrizes definidas, o que colocaria em dúvida a própria solidez do programa de conformidade.
Lembre-se: As diretrizes que estão registradas em políticas e normas devem refletir aquilo que acontece, de fato, no dia a dia da cooperativa.
6. Implementar soluções padronizadas
Embora existam pontos em comum entre as cooperativas, cada uma tem as suas particularidades. Processos podem ser muito parecidos, mas geralmente são executados de maneiras diferentes e, por isso, exigem soluções específicas.
As necessidades, prioridades e riscos também são específicos em cada cooperativa, especialmente quando se considera a grande multiplicidade e distinção entre os ambientes físicos e digitais nos quais as atividades são realizadas Não há como utilizar soluções de gaveta para contextos diferentes sem comprometer a conformidade ou o negócio.
Lembre-se: Soluções mágicas não existem! É preciso avaliar o contexto de cada cooperativa e buscar as melhores práticas, estrategicamente alinhadas com os objetivos de negócio. O apoio de consultoria especializada, experiente e capacitada pode ser fundamental para alcançar os resultados almejados.
7. Não focar em treinamento e conscientização
Como é de conhecimento de todos, as cooperativas são constituídas de pessoas. São pessoas que trabalham, produzem e legitimam todas as suas ações. É fundamental, portanto, que essas pessoas compreendam a importância do seu papel para o desenvolvimento do projeto de adequação e para posterior manutenção de um Programa de Conformidade.
É preciso ter em mente que trabalhar tendo a privacidade e proteção de dados pessoais como princípio norteador representa uma mudança de cultura significativa. Leva tempo e demanda a execução contínua de ações de engajamento com todos os envolvidos.
Assim, não é suficiente, por exemplo, apresentar uma palestra ou enviar uma apresentação para um colaborador novo e considerar que ele está ciente do que representa a privacidade e proteção de dados pessoais para a cooperativa. Um cooperado também precisa entender o que significa para ele a implantação de práticas que garantem a proteção de seus dados pessoais e porque são implementadas.
Cada colaborador tem um papel-chave no que se refere à garantia de segurança da informação. Por isso, não adianta realizar altos investimentos em equipamentos e ferramentas de segurança da informação, se as pessoas não conseguem identificar riscos básicos ou não fizerem as comunicações necessárias quando desconfiarem de algo fora do esperado.
Lembre-se: É fundamental a implantação de um plano de treinamentos continuados que relembre e reforce conceitos, práticas e a responsabilidade de cada um para a segurança da informação e proteção de dados pessoais. A falta da implantação de ações de conscientização e treinamento contínuos compromete a conformidade.
8. Ausência de documentação das ações de correção e prevenção que são realizadas para cumprir a LGPD
Tão importante quanto estar em conformidade é evidenciar a conformidade. Por isso, é necessário comprovar a conformidade em diversas situações, como por exemplo, quando parceiros realizarem auditorias, por exigência da ANPD em processos de fiscalização ou, ainda, em processos judiciais – quando a LGPD for fundamento para o ajuizamento da ação.
Para que a cooperativa esteja pronta para tais situações, não perca credibilidade, nem sofra sanções e multas que podem inviabilizar o negócio, é preciso que as práticas de privacidade, proteção de dados pessoais e segurança da informação sejam formalizadas.
A documentação (políticas, normas, procedimentos, formalização da nomeação de comitês, atas de reunião, registros de presença e comprovação da realização de treinamentos, relatórios de testes de intrusão, ações de prevenção a incidentes, avaliação de riscos, dentre outras) que sustenta e comprova a existência e eficácia do programa de conformidade deve estar sempre atualizada e disponível.
Notícias LGPD
Conheça a LGPD em detalhes: confira a explicação de termos como proteção de direitos, circulação de dados, transparência e segurança, e tire suas principais dúvidas.
Notícias LGPD
A proteção de dados pessoais na prática: saiba como aplicar as mudanças que a lei pede em sua cooperativa.
Notícias LGPD
Entenda quais medidas a ANPD adotou para simplificar o cumprimento da LGPD por cooperativas de pequeno porte.
Notícias LGPD
Compreenda alguns conceitos e regras da LGPD a serem observadas nas atividades que envolvem a utilização de dados pessoais.
Notícias LGPD
Previna sua cooperativa de fraudes, ameaças, ataques e golpes virtuais com as dicas e orientações que preparamos para você!
Notícias LGPD
Preparamos um e-book sobre como sua cooperativa pode adaptar processos, conhecer boas práticas e ficar por dentro de oportunidades que surgiram com a chegada da LGPD. Baixe agora!
Notícias LGPD
Os agentes de tratamento são justamente os responsáveis pela realização do tratamento de dados pessoais – ou seja, pelas atividades que envolvem a utilização de dados pessoais. Os agentes de tratamento podem ser divididos em duas categorias principais: controlador e operador.
Controlador
O controlador é o responsável pela tomada de decisões relacionadas ao tratamento de dados pessoais. Podemos concluir que é a cooperativa que define o que será ou não realizado com um dado pessoal (exemplo: se o dado pessoal será inserido ou não em sistemas, se será utilizado ou não para fins de marketing e publicidade, por quanto tempo será retido, com quem será compartilhado, dentre outros).
Nas rotinas diárias de tratamento de dados pessoais, as cooperativas podem exercer este papel nas atividades originadas do relacionamento com seus respectivos associados e colaboradores, por exemplo. As cooperativas também podem manter iniciativas em comum com outras organizações, oportunidade em que estará caracterizada a controladoria conjunta – isto é, mais de uma organização tomando decisões sobre as ações que serão realizadas com os dados pessoais.
Operador
Os operadores são cooperativas que não decidem o que será realizado com os dados pessoais, mas realizam atividades com dados pessoais em nome e sob determinação dos controladores. Vale destacar que os prestadores de serviço se enquadram neste papel.
Quando a cooperativa contrata um prestador de serviços - e, para que os serviços sejam prestados, permite que sejam acessados dados pessoais de associados ou colaboradores, ou compartilha tais dados pessoais -, este prestador de serviços é um operador. Um exemplo são contadores, escritórios de advocacia, empresas que fazem gestão de benefícios de colaboradores ou associados, consultorias, sistemas/softwares, transportadores, dentre outros, contratados pela coop e que figuram como operadores, de acordo com a LGPD.
Os operadores devem utilizar os dados pessoais apenas para as atividades para as quais foram contratados e seguindo as instruções expressas dos controladores. Eles não podem, por exemplo, utilizar os dados pessoais para objetivos desvinculados da prestação dos serviços ou em proveito próprio.
EXEMPLO
Quando a cooperativa contrata um escritório de contabilidade e, consequentemente, compartilha uma série de dados pessoais de colaboradores, terceiros ou mesmo clientes, o escritório de contabilidade não pode utilizar tais dados pessoais para abordar essas pessoas a fim de lhes oferecer serviços. Também não pode compartilhar tais dados pessoais com outras pessoas jurídicas desvinculadas do contrato que a cooperativa mantém com ele.
É importante destacar, no entanto, que as cooperativas podem ser classificadas como operadores em atividades realizadas sob determinação de outras organizações e em relação as quais não possuem autonomia de definição. Os colaboradores da cooperativa jamais serão considerados operadores, apenas organizações externas que podem estar nesta condição.
Em todas as atividades de tratamento de dados pessoais realizadas pelas cooperativas, há a necessidade de clareza sobre o papel que ocupam – de controlador ou operador. Tal definição é indispensável para identificação das medidas necessárias à conformidade. Exemplo: se a cooperativa for controladora, é ela quem deve definir qual a base legal utilizada para que a atividade seja justificada.
O que é o Encarregado pelo tratamento de dados pessoais ou DPO?
O Encarregado pelo Tratamento de Dados Pessoais, também conhecido como DPO (Data Protection Officer), é o responsável por avaliar as solicitações das pessoas físicas que tenham relação com seus dados pessoais, bem como o responsável por comunicar-se com a Autoridade Nacional de Proteção de Dados (ANPD). É, ainda, o responsável pela manutenção de um programa de conformidade em proteção de dados pessoais – ou seja, quem deve coordenar uma série de ações para estimular que os dados pessoais sejam utilizados de acordo com a Lei no ambiente da cooperativa e junto dos prestadores de serviço e parceiros.
O Encarregado pode ser um colaborador da cooperativa, formalmente nomeado para tal função, ou um prestador de serviços, contratado especificamente para tal função.
O Encarregado deve contar com o apoio da alta gestão e ser envolvido em todas as decisões relacionadas às atividades de tratamento de dados pessoais.
Notícias LGPD
O Conselho de Proteção de Dados no Cooperativismo (CPDC) foi criado pela Política Geral de Privacidade e Proteção de Dados Pessoais da OCB, instituída pela Resolução OCB n. 065/2021, sendo definido como órgão de apoio da alta gestão da Organização das Cooperativas Brasileiras, desempenhando papel de orientação e conscientização relacionada à Proteção de Dados Pessoais nas atividades cooperativistas no Brasil.
Responsabilidades
São atribuições do conselho:
- Analisar e recomendar a uniformização de entendimentos relacionados à Proteção de Dados Pessoais no âmbito do cooperativismo brasileiro;
- Estabelecer padrões de condutas e boas práticas voltadas à Privacidade e Proteção de Dados Pessoais;
- Desenvolver e/ou contribuir com o desenvolvimento de código de boas práticas em Privacidade e Proteção de Dados Pessoais para o Cooperativismo;
- Disseminar as boas práticas voltadas à Privacidade e Proteção de Dados Pessoais nas Unidades Estaduais do Sistema OCB;
- Expedir recomendações de Proteção de Dados Pessoais para orientar a execução das atividades institucionais nas Unidades Estaduais do Sistema OCB;
- Recomendar a atualização de entendimentos consolidados, recomendações e documentos expedidos.
Composição
O Conselho é composto:
- 1 representante da OCB Nacional, que será o presidente do conselho
- 1 representante da CNCoop
- 1 representante do SESCOOP Nacional
- 27 representantes dos Estados, sendo uma indicação por Unidade Estadual do Sistema OCB.
Periodicidade das reuniões
As reuniões ordinárias do conselho ocorrem bimestralmente e as reuniões extraordinárias mediante convocação do seu presidente.
Reuniões realizadas
Notícias LGPD
Aqui você encontra materiais sobre a LGPD em diferentes formatos para guiar sua cooperativa na adequação à lei
Notícias LGPD
Há várias possibilidades de configuração de projetos de adequação à LGPD. O que não muda é que, em cada um deles, algumas etapas e entregáveis básicos são obrigatoriamente comuns. Apresentamos abaixo um modelo de projeto de adequação à LGPD em cinco etapas, com aspectos gerais e estruturantes. Ele pode ser utilizado pelas cooperativas que ainda não se adequaram ou que estão em fase de execução das adequações necessárias.
As cooperativas poderão desenvolver seus projetos, dividindo as ações em 5 (cinco) fases, conforme demonstra a imagem abaixo:
etapas do projeto
Clique nos círculos para navegar por cada etapa
Primeira etapa – Planejamento
O primeiro passo é montar um comitê de adequação à LGPD com profissionais especializados, tanto nos aspectos jurídicos, quanto nos de tecnologia e segurança da informação. É indispensável, ainda, que a cooperativa avalie se possui profissionais com a expertise necessária para condução do projeto de adequação ou se, eventualmente, precisará contratar consultoria especializada.
Para as cooperativas que optarem pela contratação de consultorias, durante a etapa de escolha, recomenda-se que optem por fornecedores que tratem o projeto de adequação à LGPD de modo integral, entregando soluções de tecnologia da informação (infraestrutura), segurança da informação (melhores práticas) e temas jurídicos. Também é recomendável que a contratação esteja baseada em entregáveis e não em avaliações ou planos de ação subjetivos.
Ao montar comitê, avalie a nomeação do encarregado pelo tratamento de dados pessoais, que será a pessoa responsável para atuar como canal de comunicação entre a cooperativa e as pessoas de quem os dados pessoais são utilizados e, ainda, com a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado também é o principal responsável pela manutenção do Programa de Conformidade em proteção de dados pessoais e, portanto, é interessante que seja nomeado e atribuído para tal função desde o início da adequação.
Após estruturar o comitê, planeje o projeto de acordo com a estrutura e as complexidades da cooperativa, estabelecendo as medidas prioritárias (como, por exemplo, a disponibilização de um canal para atendimento dos direitos alcançados pela LGPD) e o cronograma para realização de cada uma delas. Para conseguir cumprir o cronograma, é interessante realizar uma avaliação macro de aderência à Lei, para que possam saber o quão próximas ou distantes estão de um patamar aceitável de conformidade.
É recomendado, também, que realizem ações de conscientização e preparação para todos os colaboradores e áreas envolvidas nas medidas de adequação.
O que se espera da etapa da adequação?
- Nomeação de comitê responsável pela LGPD na cooperativa;
- Nomeação de encarregado pelo tratamento de dados pessoais;
- Identificação da necessidade de contratar consultorias especializadas e, em caso positivo, contratação da consultoria;
- Planejamento dos entregáveis do projeto de adequação alocados em cada uma das fases;
- Realização de ações de conscientização sobre o tema com os colaboradores da cooperativa que participarão do projeto de adequação;
- Identificação de leis ou regulamentos setoriais sobre o tema que se apliquem aos negócios realizados pela cooperativa (exemplo: resoluções da ANS sobre tópicos relacionados à segurança da informação ou compartilhamento de dados pessoais entre serviços de saúde, para cooperativas que operam na saúde suplementar ou, ainda, resoluções do BACEN sobre métodos seguros de armazenamento de dados em serviços de Cloud, para cooperativas de crédito).
Segunda etapa - Mapeamento
O segundo passo do projeto é mapear detalhadamente todos os processos da cooperativa que envolvem o tratamento/utilização de dados pessoais.
O mapeamento dos processos deve indicar, no mínimo:
a) Em qual o processo os dados pessoais são utilizados;
b) O fluxo do tratamento de dados pessoais no processo, abrangendo todo o ciclo de vida desses dados;
c) Qual a finalidade de utilização dos dados pessoais no processo;
d) Quais são os dados pessoais ou dados pessoais sensíveis utilizados;
e) Qual a categoria de titulares de dados pessoais que têm os dados pessoais tratados no processo (colaboradores, candidatos a vagas, associados, prestadores de serviço pessoa física, representantes de cooperativas, visitantes, entre outros);
f) Qual a fonte dos dados pessoais (ou seja, de onde foram coletados);
g) Qual o volume aproximado de dados pessoais tratados ou de pessoas que têm seus dados pessoais tratados no processo;
h) Se o processo ocorre em meio físico ou virtual, indicando, neste último caso, os sistemas utilizados;
i) Se terceiros, na condição de operadores ou controladores conjuntos, participam do processo, com suas respectivas identificações;
j) Quais os direitos elegíveis para os titulares de dados pessoais, especificamente no processo;
k) O local de armazenamento dos dados pessoais;
l) O período de retenção/armazenamento dos dados pessoais, se definido;
m) A existência de eventual transferência internacional de dados pessoais;
n) Os documentos relacionados ao processo, tais como declarações, contratos, termos, memorandos, acordo, atas, editais, dentre outros.
Além do mapeamento dos processos, é indispensável a realização de mapeamento dos sistemas e bancos de dados utilizados pela cooperativa, assim como dos controles de segurança da informação implementados no seu ambiente físico e digital.
Recomenda-se que o mapeamento dos controles de segurança da informação existentes e inexistentes seja realizado de acordo com as Normas ISO/IEC 27001 (Sistema de Gestão da Segurança da Informação) e ISO/IEC 27701 (Sistema de Gestão da Privacidade da Informação).
Esta etapa deve ser conduzida com excelência, sempre priorizando a qualidade em detrimento da velocidade. Lembre-se: o que não é mapeado, não será avaliado e, posteriormente, corrigido.
Caso os mapeamentos sejam realizados por consultoria especializada, as cooperativas devem validá-los antes de passar para a etapa seguinte.
O que se espera da etapa de mapeamento?
- Que sejam conhecidos e mapeados todos os processos realizados pela cooperativa envolvendo dados de pessoas físicas, seus respectivos fluxos e documentos;
- Que sejam conhecidos e mapeados os sistemas e bancos de dados utilizados pela cooperativa;
- Que sejam conhecidos os controles de segurança da informação que a cooperativa não adota.
Terceira etapa – avaliação
A terceira etapa do projeto de adequação consiste em avaliar todos os processos mapeados, identificando as necessidades de ajustes jurídicos, organizacionais e de segurança da informação. Ou seja, os processos precisam ser avaliados para identificação de gaps de natureza jurídica, organizacional ou de segurança da informação.
É neste momento que a cooperativa, com seus recursos próprios ou com ajuda de consultoria especializada, precisa “pegar uma lupa” e cuidadosamente identificar os riscos que estão presentes nas atividades que realiza para, posteriormente, tratá-los.
Os riscos podem ser jurídicos (como a ausência de justificativas legais para realização das atividades com dados pessoais ou a ausência da formalização de obrigações em contratos), organizacionais (falta de padronização de atividades relacionados com dados pessoais, dificultando a governança) e de segurança da informação (ausência de boas práticas de segurança nos processos, tais como controles de acesso, backups, segmentação de redes, registros de logs e muitas outras).
Nesta etapa de avaliação serão conhecidas todas as medidas necessárias para adequação da cooperativa, que vão embasar o plano de ação a ser executado na etapa seguinte.
O que se espera da etapa de avaliação?
- que sejam avaliados todos os processos, identificando gaps jurídicos, organizacionais e de segurança da informação;
- que sejam avaliadas as medidas estruturantes para o programa de proteção de dados pessoais e para o programa de segurança da informação;
- que sejam avaliados os documentos relacionados aos processos;
- com base nos gaps identificados, que seja disponibilizado plano de ação para implementação de ações corretivas e ações estruturantes para a conformidade com a LGPD (tais como, políticas, normas, procedimentos e documentos obrigatórios – confira nosso conteúdo sobre documentos essenciais para conformidade com a LGPD aqui)
Quarta etapa – correção
A quarta etapa consiste na implementação das medidas necessárias para correção dos gaps identificados na fase anterior e, consequentemente, para o tratamento dos riscos. Devem ser implementadas tanto medidas estruturais (como a Política Interna de Privacidade e Proteção de Dados Pessoais, que cria um programa de conformidade estabelecendo diretrizes, papéis e responsabilidades), como medidas específicas para correção de gaps identificados nos processos (limitação de compartilhamento de dados pessoais com um fornecedor que participa de determinado processo ou formalização de um contrato, por exemplo).
São exemplos das medidas estruturantes que devem ser implementadas:
a) Política Interna de Privacidade e Proteção de Dados Pessoais;
b) Política externa de Privacidade e Proteção de Dados Pessoais e avisos de privacidade;
c) Norma de retenção e descarte de dados pessoais, estabelecendo tabela da temporalidade;
d) Procedimento para atendimento de direitos dos titulares;
e) Procedimento de gestão de terceiros;
f) Procedimento de elaboração de relatórios de impacto à proteção de dados pessoais;
g) Procedimento de elaboração de avaliações de legítimo interesse;
h) Registro das operações de tratamento de dados pessoais;
i) Política de Segurança da Informação e normas específicas para gestão e prevenção de incidentes, controle de acesso, backups, senhas, e-mails, rede, dentre outros;
j) implementação de rotinas de conscientização e treinamento sobre proteção de dados pessoais e segurança da informação, desde a integração de colaboradores até o momento em que são desligados;
k) avaliação da necessidade de contratação de seguro para riscos cibernéticos.
São exemplos de medidas corretivas para gaps de processos que devem ser implementadas:
a) limitação de compartilhamento de dados pessoais com fornecedores;
b) formalização de contratos com fornecedores e parceiros de negócio com quem são compartilhados dados pessoais, a fim de que tais fornecedores e parceiros de negócio se obriguem ao cumprimento da LGPD e a adoção de determinadas medidas;
c) definição da temporalidade de retenção dos dados pessoais em cada um dos processos e dos métodos de eliminação utilizados após atingidos os prazos;
d) formalização e registro dos consentimentos (livres, específicos e informados) para os processos cuja a base legal for o consentimento;
e) limitação da coleta de dados pessoais desnecessários para alcançar a finalidade/objetivo dos processos;
f) formalização de termos de adesão, com avisos de privacidade, para benefícios optativos alcançados para colaboradores e dependentes e, também, quando aplicável, para associados;
g) elaboração de relatórios de impacto á proteção de dados pessoais nos processos em que for identificada a necessidade;
h) elaboração de avaliações de legítimo interesse nos processos cuja a base legal for o legítimo interesse;
i) implementação de ajustes específicos em sistemas e sites;
j) descontinuação de processos sem base legal legítima;
k) regularização de transferências internacionais, se houver;
l) informações explícitas aos titulares sobre o tratamento de dados pessoais incorporadas aos processos – por meio de documentos, avisos de privacidade, informativos e outros;
m) realização de treinamentos e conscientizações sobre novas políticas, normas e procedimentos.
Vale lembrar que em projetos de adequação conduzidos com qualidade, são centenas as ações identificadas para correção de gaps de processos. Pense o seguinte: se na sua cooperativa forem realizados 100 processos de negócio com dados de pessoas físicas e 3 gaps forem identificados em cada um deles, em média, serão 300 ações corretivas para realizar.
Acima exemplificamos medidas estruturantes para os programas de conformidade, que criam diretrizes jurídicas, organizacionais e de segurança da informação e também medidas especificas para correção de gaps identificados em processos. No entanto, cada cooperativa tem suas peculiaridades diante do contexto dos negócios que desenvolve, da complexidade da sua estrutura operacional e de sistemas da informação, de eventuais regulamentações específicas que incidam sobre sua atividade, além de outras individualidades. Com isso, os projetos de adequação à LGPD devem ser realizados de forma customizada: soluções de gaveta não levam a um nível satisfatório de conformidade. Não deixe de ler nosso material sobre erros comuns no projeto de adequação, clicando aqui.
O que se espera da etapa de correção?
- Implementação de ações corretivas para todos os gaps jurídicos, organizacionais e de segurança da informação identificados nos processos que se utilizam de dados pessoais e na estrutura que oferece suporte para tais processos;
- Implementação de medidas estruturantes do programa de governança, tais como políticas, normas e procedimentos. Sugerimos que você leia nossos conteúdos sobre documentos que evidenciam a conformidade clicando aqui.
Sugerimos que você leia nosso conteúdos sobre documentos que evidenciam a conformidade, clicando aqui.
Quinta etapa – mitigação e manutenção
O quinto e último passo é a consolidação das correções realizadas, das políticas, normas e procedimentos estabelecidos. Nesta etapa, as cooperativas devem incorporar todas as diretrizes de políticas, normas e procedimentos nas novas atividades que passarem a realizar (considerando que, naquelas já mapeadas e corrigidas, tais diretrizes já estarão contempladas). Ainda, devem implementar procedimentos de auditoria contínua para os controles de governança estabelecidos para manutenção da conformidade (ex.: auditoria de terceiros, de cumprimento de prazos de retenção, de incorporação de cláusulas contratuais, de atualização dos documentos e etc.).
É recomendável que as reuniões do comitê de LGPD da cooperativa sejam realizadas com frequência, no mínimo, mensal. As políticas, normas e procedimentos talvez necessitem de atualização na medida em que os processos da cooperativa com dados pessoais sofram algum tipo de alteração ou na medida em que passem a ser realizados novos processos – o negócio, como você sabe, é dinâmico, novas atividades serão realizadas após a conclusão do mapeamento. É essencial, portanto, que as áreas e seus respectivos gestores informem ao encarregado pelo tratamento de dados pessoais sempre que as atividades já mapeadas sofrerem alteração de fluxo ou de outras características, assim como informem sobre novas atividades que passarem a ser realizadas.
Nesta fase, a cooperativa poderá realizar ações de educação, conscientização e comunicação, evidenciando as principais medidas implementadas e transformando o trabalho realizado em valor para o negócio.
O tema LGPD não se esgota, já que vários procedimentos precisam ser mantidos e atualizados para a cooperativa estar em conformidade. Com o passar do tempo, o programa de conformidade em proteção de dados pessoais irá ganhar corpo e maturidade. Até lá, não há outra alternativa: é preciso colocar as mãos na massa e envolver colaboradores, prestadores de serviço e parceiros de negócio nas medidas de adequação e manutenção da conformidade.
Notícias LGPD
Entenda as bases legais da LGPD
A LGPD estabelece que os dados pessoais e dados pessoais sensíveis só podem ser tratados se a atividade realizada estiver devidamente justificada com bases legais previstas em Lei. Entende-se as bases legais como justificativas para as atividades que utilizam os dados pessoais. Além disso, de acordo com a LGPD, obrigatoriamente, todas as atividades de tratamento de dados pessoais, acompanhadas das suas finalidades e bases legais, devem estar formalizadas no Registro das Atividades de Tratamento de Dados Pessoais.
A LGPD conta com 10 bases legais regulamentadas para o tratamento de dados pessoais. São elas:
- Consentimento;
- Cumprimento de obrigação legal ou regulatória;
- Pela administração pública, execução de políticas públicas;
- Realização de estudos por órgão de pesquisa;
- Execução de contratos ou diligência pré-contratual;
- Exercício regular de direitos;
- Proteção da vida;
- Tutela da saúde;
- Proteção do crédito; e
- Legítimo interesse.
Atenção!
Para justificar atividades com dados pessoais sensíveis (confira a lista dos dados que são considerados sensíveis aqui), as bases legais são mais restritas. A possibilidade de justificar as atividades de tratamento com execução de contratos, legítimo interesse e proteção ao crédito, por exemplo, são excluídas. Por outro lado, é permitida a utilização da base legal de prevenção a fraudes.
Em regra, as cooperativas devem justificar as atividades que envolvem o tratamento de dados pessoais com a base legal legítima e vinculada à finalidade do tratamento dos dados pessoais . Nesse sentido, é importante lembrar que justificar irregularmente a atividade, ou seja, optar pela base legal irregular, por si só, caracteriza infração à LGPD.
Conheça as bases legais mais comuns para justificar as atividades realizadas com dados pessoais pelas cooperativas:
Consentimento do titular:
Quando o titular consente de forma livre, informada e inequívoca com determinado tratamento de dados pessoais, por meio de uma ação positiva (explícita) pela qual expressa sua concordância. Exemplo: quando a cooperativa realiza atividades de marketing ou trata dados pessoais de crianças e adolescentes pode utilizar esta base legal, desde que, antes da atividade, o consentimento seja coletado – nos casos de menores, dos pais ou responsáveis;
Cumprimento de obrigação legal ou regulatória:
A base legal pode ser utilizada quando os dados pessoais são coletados e tratados pelas cooperativas porque uma Lei ou Regulamento impõem que o tratamento ocorra. Exemplo: a coleta e compartilhamento de dados pessoais dos colaboradores com o e-social ou a realização de exames admissionais, demissionais ou periódicos.
Execução de contratos ou de procedimentos preliminares relacionados ao contrato:
Esta base legal deve ser utilizada quando há um contrato com o titular de dados pessoais que justifique a utilização dos dados pessoais ou, ainda, para ações que antecedem o contrato. Exemplo: quando os dados pessoais são utilizados para prestar serviços ou entregar produtos ao cliente ou ao associado.
Exercício regular de direitos:
Está é a justificativa legal quando os dados pessoais são tratados para buscar direitos que a cooperativa possui. Exemplo: defesas em processos judiciais trabalhistas movidos por ex-colaboradores ou para realizar cobranças judiciais de débitos relacionados a clientes pessoas físicas.
Proteção da vida ou da incolumidade física do titular ou de terceiros:
Quando os dados pessoais são utilizados pelas cooperativas com o propósito de proteger a vida ou integridade física das pessoas. Exemplo: quando dados pessoais de colaboradores são utilizados para atendimento médico após acidentes de trabalho ou quando colaboradores são submetidos a testagem para identificação de COVID-19.
Legítimo interesse:
Quando o tratamento de dados pessoais é realizado para obtenção de interesses da cooperativa e observa as legitimas expectativas dos titulares. Exemplo: quando são enviados e-mails de campanha de marketing aos clientes que já tiveram relacionamento com a cooperativa para possibilitar a oferta de novos produtos; e, ainda, monitoramento do ambiente físico por meio da gravação de imagem.
Proteção do crédito:
Quando o tratamento de dados pessoais é realizado para procedimentos relacionados à avaliação e proteção do crédito. Exemplo: quando a cooperativa utiliza dados pessoais para consultas aos bureaus de crédito (Serasa, SPC etc.) para verificação de eventuais restrições de crédito.
Para lembrar
A LGPD obriga que as bases legais sejam registradas em documento denominado de Registro das Operações de Tratamento de Dados Pessoais. A regra vale para todas as cooperativas independentemente do porte. Neste documento devem constar todas as atividades realizadas com dados pessoais, devidamente detalhadas e justificadas de acordo com as bases legais previstas em Lei.
Notícias LGPD
Toda e qualquer informação, que possibilite a identificação de uma pessoa física, de forma direta ou indireta. A LGPD não traz uma lista de dados pessoais, limitando-se a indicar que são justamente todas as informações referentes a uma pessoa identificável ou identificada.
Podem ser considerados dados pessoais que identificam uma pessoa física de forma direta: nome, RG, CPF, CNH, CTPS, passaporte, título de eleitor, dados bancários, número de cartão de crédito/débito, e-mail, matrícula, registros profissionais, entre outros.
Além deles, são exemplos de dados pessoais que podem identificar uma pessoa física de forma indireta: endereço, telefone, gênero, nacionalidade, naturalidade, estado civil, profissão, peso, altura, entre outros.
O que são dados pessoais sensíveis?
Os dados pessoais sensíveis são expressamente definidos pela LGPD, ou seja, para esta categoria há uma lista. Há, ainda, uma série de regras específicas na LGPD que devem ser observadas quando dados pessoais sensíveis são utilizados pelas cooperativas.
São dados pessoais sensíveis:
a) Origem racial ou étnica (cor de pele, por exemplo);
b) Biométricos (reconhecimento facial e reconhecimento da digital, por exemplo);
c) Genéticos;
d) Dados relativos à saúde (atestados, CID, exames, prescrições médicas, laudos médicos, entre outros) ou vinculados à vida sexual;
e) Filiação à sindicato ou à organização de caráter religioso, filosófico ou político;
f) Opinião política;
g) Convicção religiosa.
IMPORTANTE: dados pessoais sensíveis devem ser utilizados nas atividades das cooperativas apenas quando extremamente necessários e com cuidado redobrado. A LGPD limita as possibilidades de justificativas para o tratamento de dados pessoais sensíveis, já que as bases legais para a regularização das atividades envolvendo esta categoria de dados pessoais são reduzidas.
O que significa tratamento de dados pessoais?
A LGPD estabelece que toda e qualquer atividade realizada com dados pessoais, tais como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, modificação, comunicação, transferência, difusão ou extração, são consideradas atividades de tratamento de dados pessoais.
Assim, qualquer ação realizada pelas cooperativas com dados de pessoas físicas é considerada “tratamento de dados pessoais”. Perceba, também, que inúmeras áreas das cooperativas realizam “tratamento de dados pessoais”, já que são inúmeras as ações realizadas com dados pessoais de associados, clientes, beneficiários, dirigentes, parceiros, visitantes e outros grupos de pessoas.
Mesmo nos casos em que, eventualmente, a cooperativa não colete e/ou armazene dados pessoais em seus ambientes físicos ou digitais, o simples fato de visualizar dados de pessoas físicas para uma finalidade determinada caracteriza uma atividade de tratamento de dados pessoais sujeita as regras da LGPD.
São exemplos de atividades realizadas pelas cooperativas que envolvem a utilização de dados pessoais e que, portanto, são consideradas “tratamento de dados pessoais”:
a) Comercialização de produtos e serviços;
b) Cadastro de associados, clientes ou beneficiários em sistemas;
c) Consulta de associados, clientes ou beneficiários cadastrados em sistemas;
d) Admissão de associados;
e) Realização de assembleias;
f) Emissão de orçamentos e pedidos;
g) Emissão de crachás, carteirinhas ou cartões;
h) Serviços de atendimento ao associado, cliente ou beneficiário;
i) Emissão de notas fiscais;
j) Formalização de contratos;
k) Envio de e-mails/sms para fins de marketing e publicidade;
l) Realização de eventos e treinamentos;
m) Seleção, admissão e demissão de colaboradores;
n) Controle de jornada de colaboradores;
o) Processamento de folha de pagamento de colaboradores;
p) Realização de exames obrigatórios de colaboradores.
Quem são os titulares de dados pessoais?
A LGPD denomina titulares de dados pessoais todas as pessoas físicas a quem os dados se referem – ou seja, cada um de nós é um titular de dados pessoais.
O termo titular é utilizado na legislação para enfatizar que os dados pessoais pertencem a pessoas físicas e não a cooperativas ou organizações que os utilizam.
As principais categorias de titulares de dados pessoais que têm seus dados pessoais tratados pelas cooperativas, são:
a) Associados;
b) Clientes e beneficiários;
c) Colaboradores e dependentes;
d) Dirigentes e conselheiros;
e) Prestadores de serviço pessoa física;
f) Terceirizados e temporários;
g) Visitantes.
São os dados pessoais destes grupos/categorias de pessoas que as cooperativas devem cuidar, garantindo que sejam utilizados de forma segura, justificada, informada/transparente e, na maioria das vezes, em regime de confidencialidade.
