cooperativas constroem um mundo melhor • cooperativas constroem um mundo melhor • cooperativas constroem um mundo melhor • cooperativas constroem um mundo melhor • cooperativas constroem um mundo melhor • cooperativas constroem um mundo melhor • cooperativas constroem um mundo melhor • cooperativas constroem um mundo melhor

Notícias LGPD

 

O que são incidentes de segurança e como evitá-los

O que são incidentes de segurança e como evitá-los

A segurança da informação baseia-se em três pilares conhecidos como “CID”: Confidencialidade, Integridade e Disponibilidade.

Não é possível falar sobre incidentes de segurança da informação ou sobre como as cooperativas podem evitá-los, sem compreender o que cada um destes pilares representa. Então:

  • Confidencialidade: é a propriedade da informação de ser divulgada apenas para pessoas autorizadas; 
  • Integridade: é a propriedade da informação de ser completa e exata;
  • Disponibilidade: é a propriedade da informação de ser acessível e utilizável por quem precise dela e tenha autorização para acessá-la.

Assim, o incidente de segurança fica caracterizado quando o evento resultar na perda de pelo menos uma destas três propriedades. Vamos ver alguns exemplos?

a) Perda da Confidencialidade

A quebra da confidencialidade ocorre quando informações da cooperativa forem acessadas por indivíduos não autorizados, independentemente do motivo (acesso acidental ou ilícito). Também são considerados incidentes envolvendo a confidencialidade da informação:

  • Ex-colaborador da cooperativa permanece com acesso aos arquivos após o seu desligamento;
  • Vazamento de dados pessoais de clientes, associados e/ou colaboradores, após um ataque cibernético por ransomware;
  • Concorrente obtém acesso ao planejamento estratégico da cooperativa;
  • Ocorre o furto ou a perda de um dispositivo móvel (notebook, pendrive etc.) que contêm informações de associados da cooperativa;
  • E-mail contendo informações e dados pessoais é remetido para e-mail que não o do verdadeiro destinatário, por equívoco.  

b) Perda da Integridade

A perda da integridade da informação é caracterizada quando há alteração ou exclusão indevida. São situações que caracterizam incidentes relacionados com a integridade da informação:

  • Exclusão de arquivos por engano;
  • Alteração de cadastro de associado de forma equivocada;
  • Infecção por vírus que altera ou corrompe um arquivo de forma que impossibilite a restauração da informação. 

c) Perda da Disponibilidade

A perda da disponibilidade acontece quando as informações não estiverem mais disponíveis para utilização da cooperativa. São exemplos de incidentes envolvendo a disponibilidade da informação:

  • Servidor de ERP indisponível após uma falha na fonte de alimentação, quando a fonte redundante não funcionou;
  • Site da cooperativa indisponível após um ataque de negação de serviços (DoS);
  • Sistema de atendimento aos associados indisponível, impedindo a realização dos atendimentos;
  • Bases de dados indisponíveis em razão de um ataque por ransomware, afetando diversas atividades.

 

Importante!

Qualquer evento que caracterize o descumprimento de políticas ou normas de segurança da informação também deverá ser considerado um incidente de segurança. Deste modo, caso um colaborador compartilhe suas credenciais de acesso com terceiros, violando os termos das normas internas da cooperativa, estará caracterizado um incidente de segurança. 

 

foto criado por DCStudio - br.freepik.com

Como prevenir a ocorrência de incidentes de segurança?

Primeiro, é importante ressaltar que não é possível estabelecer uma única medida para proteger as informações das cooperativas. Sempre será necessária a adoção de um conjunto de controles para permitir que o ambiente fique mais seguro, tanto em relação a incidentes que tenham como origem aspectos internos (ações de colaboradores/associados) quanto externos (ações de terceiros).

Assim, as medidas de segurança (controles) que devem ser adotadas pelas cooperativas para diminuir os riscos de ocorrência de incidentes, podem ser divididas em três categorias:

  • Medidas físicas: têm como objetivo prevenir o acesso físico não autorizado, danos e interferências em instalações e informações da cooperativa (Ex.: a) Controle por de biometria para acesso ao ambiente do servidor; b) Controle de visitantes mediante registro de identificação, data e hora da entrada e saída);
  • Medidas técnicas: tem como objetivo tratar riscos a confidencialidade, integridade ou disponibilidade de informações em formato eletrônico (Ex.: a) Uso de firewalls para bloquear acessos externos não autorizados; b) Utilização de soluções de antivírus nos equipamentos; c) Uso de soluções para prevenir o vazamento de informações, como DLP - Data Loss Prevention);
  • Medidas organizacionais: tem como objetivo criar controles administrativos que complementam e suportam os controles técnicos (Ex.: a) Implementar Política de Segurança da Informação; b) Implementar Programas de Treinamentos e Campanhas de Conscientização).

Com a vigência da LGPD, a segurança da informação e o gerenciamento de incidentes ganharam maior relevância, tendo em vista as consequências jurídicas decorrentes da legislação. Atualmente, incidentes de segurança que envolvam dados pessoais podem ser objeto de multas administrativas, aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD).

Além disso, a LGPD estabelece que as cooperativas devem, em prazo razoável, comunicar à ANPD e os titulares de dados pessoais sobre a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante para as pessoas. Destaca-se que o “prazo razoável” referido na LGPD ainda está pendente de regulamentação. No entanto, a ANPD recomenda que os comunicados sejam realizados em até 2 (dois) dias úteis, após a cooperativa identificar o incidente.

Vale lembrar que, além da fiscalização e aplicação de multas, o titular de dados pessoais prejudicado pelo incidente de segurança também poderá ingressar com ação judicial para buscar reparação dos dados sofridos e/ou denunciar a cooperativa junto à ANPD. 

Desde modo, a gestão de incidentes e o fortalecimento da segurança da informação passam a ocupar lugar de destaque nas cooperativas, uma vez que a proteção de dados pessoais está diretamente ligada com a estruturação integrada de um Programa de Proteção de Dados Pessoais e de Segurança da Informação (Confira o material Documentos essenciais para conformidade com a LGPD).

Por isso, as cooperativas devem realizar avaliações para medir a sua maturidade sob aspectos de Segurança da Informação e, consequentemente, identificar as práticas já implementadas e estabelecer um plano de ação em relação àquelas ainda pendentes para tornar o ambiente mais seguro.

Nenhuma cooperativa espera enfrentar um incidente de segurança que resulte na exposição de informações estratégicas para o negócio ou dados pessoais de seus colaboradores, clientes ou associados, não é mesmo?!

Assim, é imprescindível dar a atenção devida ao tema a fim de evitar incidentes. 

Lembre-se: um incidente traz impactos e consequências de reputação, financeiras e operacionais.

Direitos dos titulares e como atendê-los

Direitos dos titulares e como atendê-los

Com a LGPD, uma série de novos direitos foram garantidos aos titulares de dados pessoais. Como você já sabe, estes titulares são todas as pessoas físicas que interagem com a cooperativa e têm seus dados pessoais tratados de alguma forma, ou seja, colaboradores, associados, visitantes de sites etc.

foto criado por pressfoto - br.freepik.com

 

A LGPD prevê um total de 11 direitos que devem ser ostensivamente informados e garantidos aos titulares de dados pessoais. Vamos conhecer cada um deles?

I – Confirmação da existência de tratamento: este direito, que é derivado diretamente do princípio da transparência, determina que qualquer titular de dados pessoais pode solicitar a confirmação da existência de tratamento dos seus dados. Isso quer dizer que o titular deve permanecer sempre no controle dos seus dados pessoais.

Exemplo: alguma pessoa que participou de uma ação social da cooperativa pode solicitar a confirmação da existência de tratamento dos seus dados pessoais e os detalhes sobre a utilização.

II – Acesso aos dados: garante que o titular, mediante conhecimento anterior ou após ter solicitado a confirmação da existência de tratamento dos seus dados pessoais, possa ter acesso a quais dados seus estão sendo tratados. Exemplo: O titular de dados pessoais, após ter recebido a informação de que seus dados pessoais são tratados pela cooperativa, pode requerer acesso a estes dados (em formato físico e digital) e, ainda, a origem destes dados, os critérios utilizados, a finalidade do tratamento etc.

Atenção! A LGPD prevê que a confirmação da existência ou acesso aos dados pessoais devem ser informados imediatamente de forma simplificada ou por meio de declaração completa no prazo de 15 dias.

III – Correção de dados: garante que o titular pode solicitar a correção dos seus dados pessoais que estejam incompletos, inexatos ou desatualizados. Exemplo: mudança de endereço, estado civil, escolaridade e etc.

IV – Anonimização, bloqueio ou eliminação: este direito, que se subdivide em três, garante, primeiro, que o titular possa requerer a anonimização dos seus dados pessoais, ou seja, que seja retirado o caráter “pessoal” dos dados tratados. Permite também requerer o bloqueio, que se trata da suspensão temporária de qualquer operação de tratamento de seus dados pessoais; e, por fim, a eliminação dos dados que entenda desnecessários, excessivos ou cujo tratamento esteja em desconformidade com a lei. 

É importante destacar que, nestes três casos, a requisição do titular deve ser cuidadosamente analisada para que, caso não seja possível atender seu pedido, seja justificada a impossibilidade. 

V – Portabilidade: garante que o titular possa obter os seus dados pessoais de forma fácil e estruturada para assim transmitir a outro controlador. Exemplo: o associado, que é titular de dados pessoais, pode requerer a portabilidade de seus dados pessoais para outra cooperativa. 

VI – Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD: como você já sabe, o consentimento é uma das bases legais que autoriza o tratamento de dados pessoais. Ocorre que, havendo o consentimento, também há o dever de garantia de revogação deste consentimento e, após isso, o titular tem o direito de requerer também que os seus dados pessoais sejam eliminados. 

O direito de eliminação pode não ser atendido nos casos em que os dados pessoais precisam ser mantidos para cumprimento de obrigação legal ou regulatória ou, ainda, quando a cooperativa definir por torná-los anônimos

VII – Informação sobre compartilhamento dos dados: A LGPD não veda o compartilhamento de dados pessoais, porém é necessário obedecer a uma série de requisitos jurídicos, organizacionais e de segurança da informação para isso. Como o objetivo da Lei é sempre possibilitar que o titular esteja no controle dos seus dados pessoais, ele pode requerer informações sobre com quais organizações, sejam elas públicas ou privadas, a cooperativa compartilhou ou compartilha os dados pessoais.  

VIII – Informação sobre a possibilidade de não fornecer o consentimento e as suas consequências: O consentimento é uma das bases legais autorizadoras para o tratamento de dados pessoais. Por isso, precisa ser obtido de forma específica, expressa e inequívoca. Por outro lado, o titular também tem o direito de saber as consequências de não consentir com a utilização dos seus dados pessoais. 

Exemplo: após a realização de um evento, a cooperativa precisa coletar o consentimento dos seus associados para que, posteriormente, possa enviar comunicados sobre eventos futuros. Caso o titular de dados pessoais se negue a fornecer o consentimento ele deve ser informado previamente ou mediante consulta quais as consequências desta negativa – como a impossibilidade, na situação exemplificada, de ser comunicado sobre eventos futuros. 

IX – Revogação do consentimento: O titular tem o direito de, a qualquer tempo, revogar o consentimento concedido para o tratamento de seus dados pessoais. Aliás, deve ser informado ao titular, desde a coleta do consentimento, qual o procedimento para revogação. Cabe destacar que esta revogação não afeta as atividades de tratamento anteriores. 

Exemplo: para realização de envio de newsletter do seu site uma cooperativa deve coletar o consentimento do titular. Ocorre que, assim que o titular fizer a opção de revogar o seu consentimento, muitas vezes por meio de um mecanismo chamado opt-out, o tratamento de dados pessoais envolvidos nesta atividade deve ser cessado. 

X – Oposição ao tratamento: A LGPD prevê 10 bases legais que autorizam o tratamento de dados pessoais – confira o conteúdo sobre as bases legais aqui. Para uma delas, ou seja, o consentimento, o titular pode utilizar-se da revogação para cessar o tratamento de seus dados pessoais. Para as outras bases legais, a lei prevê a possibilidade do titular se opor ao tratamento caso entenda haver descumprimento legal. Quando algum titular se opor, uma resposta fundamentada deve ser remetida, justificando a regularidade (se for o caso) da atividade.

XI – Revisão de decisões tomadas com base em tratamento automatizado: atualmente são tomadas várias decisões automatizadas envolvendo dados pessoais, a exemplo da definição de perfil de consumo, liberação de crédito, entre outras. Assim, a LGPD possibilita que o titular busque informações dos critérios utilizados nestas decisões, bem como que sejam objeto de revisão. Exemplo: um associado de uma cooperativa de crédito pode solicitar informações sobre os critérios utilizados nas definições automatizadas para liberação de créditos ou pré-aprovação de limites. 

É importante destacar que as solicitações dos titulares de dados pessoais devem ser respondidas de forma gratuita, obedecendo aos prazos legais, e de forma eletrônica ou impressa, a critério do titular.

Para lembrar: É imprescindível que as cooperativas possuam um programa de governança que permita conservar, gerenciar e localizar os dados pessoais sob sua tutela e um canal de atendimento aos direitos que permita o direcionamento das requisições e facilite todo o processo de avaliação e resposta. 

LGPD: Saiba quais são as áreas mais impactadas na cooperativa

LGPD: Saiba quais são as áreas mais impactadas na cooperativa

O êxito do Programa de Proteção de Dados Pessoais nas cooperativas está diretamente ligado ao nível de envolvimento da alta gestão e das suas áreas de negócio.

Considerar o elemento “humano” é imprescindível para a sua implementação. Por isso, somente com o engajamento de todos ele se manterá e será realmente efetivo.

Lembre-se: a conformidade com a LGPD não é um tema para apenas uma ou outra área, mas de todas. E são todas mesmo!

Ainda assim, algumas áreas merecem maior atenção e demandam um profundo envolvimento na adequação à Lei e na manutenção do Programa de Proteção de Dados Pessoais, seja pelo volume e características dos dados pessoais [P1] que manuseiam ou pela relevância das atividades desenvolvidas e resultados obtidos.

As áreas que mais se destacam e devem obrigatoriamente se envolver quando o tema é Proteção de Dados Pessoais nas cooperativas, são:

Gestão de pessoas  Área de Recursos Humanos ou Gestão de Pessoas

O RH geralmente é responsável por concentrar volume expressivo de dados pessoais e por realizar diversas atividades de tratamento de dados pessoais e dados pessoais sensíveis. Afinal, a área responde pelas atividades relacionadas à seleção e recrutamento, admissão, gestão de benefícios e convênios, condução de treinamentos, processamento de folha de pagamento, controles de jornada, suporte ao desenvolvimento profissional dos colaboradores, entre outras.

As rotinas de recursos humanos são extremante vivas e se moldam às necessidades impostas pela maioria das vezes por legislações e regulamentações. Por isso, a cooperativa deve estar atenta na forma como os dados pessoais são manipulados pela área e, principalmente, em como eles são acessados (quem os acessa), armazenados e descartados, quando necessário.

Desta forma, em geral, compete à área de recursos humanos:

  • A implementação de treinamentos e campanhas de conscientização, desde a integração dos colaboradores e durante todo o período que permanecem vinculados à cooperativa;
  • O auxílio e monitoramento da formalização de aditivos ao contrato de trabalho, com objetivo de informar os colaboradores sobre as atividades que são realizadas com seus dados pessoais e as características de tais atividades, bem como de compromissá-los ao cumprimento das regras estabelecidas em políticas, normas e procedimentos;
  • A proposição de elaboração e revisão de documentos informativos e avisos de privacidade voltados para colaboradores, detalhando as atividades realizadas com seus dados pessoais;
  • A formalização de termos de adesão para benefícios optativos alcançados para os colaboradores, informando sobre eventual compartilhamento realizado com prestadores de serviços ou parceiros a partir da adesão do colaborador;
  • Informar a área de tecnologia da informação sobre a demissão de colaboradores, quando possível antes de ocorrer, para que credenciais de acesso a sistemas, e-mails e outros ambientes possam ser revogadas;
  • Certificar-se de que dados pessoais de colaboradores não são compartilhados para finalidades estranhas ao vínculo de emprego, aos benefícios obrigatórios ou aos benefícios que o colaborador optou por receber, bem como aos casos em que o compartilhamento seja impositivo por conta de lei ou regulamento.  

Marketing ou Comunicação Marketing ou Comunicação

Ações publicitárias e a divulgação das atividades desenvolvidas pelas cooperativas são importantes mecanismos de interação com a sociedade. A utilização dos canais oficiais de comunicação também se caracteriza como elemento essencial para a expansão dos negócios.

Por isso, há um tratamento expressivo de dados pessoais como “nome”, “e-mail”, “telefone”, utilizados para manutenção de mailings, remessa de e-mail marketing ou disparo de mensagens promocionais por meio de SMS e/ou WhatsApp. Além disso, dados pessoais, como “imagem” e “voz”, são utilizados com frequência na produção de materiais institucionais, publicitários ou para o registro de eventos.

Essas ações, comuns para boa parte das cooperativas, são apenas alguns exemplos. As áreas de marketing ou comunicação podem realizar outras várias atividades, como a definição de perfis do público que pretende atingir com determinadas ações, a realização de promoções e eventos, interações em redes sociais, dentre outras. 

Assim, independentemente das atividades realizadas, a área precisa revisitar a grande maioria dos seus processos para adequá-los à LGPD . Entre eles, é possível destacar: 

  • Avisos de privacidade com informações detalhadas sobre a utilização dos dados pessoais em landingpages (páginas de conteúdo promocional na Internet) e limitação da coleta de dados pessoais (exemplo: se antes era coletados “nome”, “cpf”, “telefone”, “endereço”, “profissão”, “cargo” e “e-mail”, agora a coleta se limita a “nome”, “telefone”, “cargo” e  “e-mail”);
  • Avisos de privacidade para eventos e atividades promocionais, informando aos participantes sobre a coleta de dados pessoais, de que maneira são ou serão utilizados, com quem serão compartilhados e por quanto tempo serão mantidos, além de outras informações;
  • Consentimento ou termo de cessão de direitos relacionados à imagem para utilização em conteúdo de comunicação publicados em sites, redes sociais, revistas e outros;
  • Opção facilitada para que as pessoas se oponham ao recebimento de e-mail marketing e mensagens de comunicação remetidas por Whatsapp ou SMS;
  • Exclusão ou bloqueio, nas bases de dados, dos “e-mails” e “telefones” das pessoas que informam não possuírem mais interesse no recebimento de e-mails ou mensagens por Whatsapp ou SMS;
  • Protocolos específicos para telemarketing, estabelecendo limites da frequência de abordagem e indicando no início dos contatos que as pessoas poderão informar se desejam ou não a continuidade da ligação ou de novos contatos;
  • Quando responsáveis pela gestão de redes sociais, garantir que documentos em que estejam registrados dados pessoais não sejam solicitados por meio de mensagens ou outras interações nas redes sociais.

Jurídico Área jurídica 

É responsabilidade da área jurídica assegurar que as relações estabelecidas com colaboradores, clientes, associados/cooperados, fornecedores e parceiros estejam pautadas nos fundamentos previstos na LGPD e que assegurem os interesses da cooperativa quando se trata da proteção de dados pessoais. 

Em regra, cabe ao Jurídico a importante função de estabelecer as justificativas legais para a realização das atividades envolvendo dados pessoais e adequar os contratos e outros documentos celebrados pela cooperativa, a fim de que prevejam requisitos relacionados à conformidade em proteção de dados pessoais, tais como:

  • Responsabilidades das partes envolvidas nos tratamentos de dados pessoais;
  • Limites para os tratamentos dos dados pessoais;
  • Medidas de conformidade que precisarão ser mantidas pela parte com quem a contratação está sendo realizada;
  • Monitoramento do Terceiro, com previsão de auditoria;
  • Auxílio para o atendimento dos direitos solicitados pelas pessoas;
  • Dever de comunicação de eventual incidente envolvendo dados pessoais tratados a partir do contrato ou da relação mantida;
  • Responsabilização da parte com quem o contrato está sendo mantido diante de descumprimentos contratuais ou descumprimento da LGPD na execução do objeto contratado.

O apoio técnico da área garante que as ações da cooperativa estejam em conformidade com as legislações aplicáveis. Além disso, o Jurídico (interno ou consultoria externa especializada) auxilia diretamente na análise de eventuais regulamentações emitidas pela Autoridade Nacional de Proteção de Dados (ANPD) e sua posterior implementação nos processos da cooperativa. 

Tecnologia da Informação Tecnologia da Informação – TI 

Um erro muito comum nas cooperativas dos mais variados portes é acreditar que a LGPD é apenas “coisa de TI”. A área de TI, sem dúvidas, é extremamente importante para o Programa de Proteção de Dados Pessoais, mas não é a única responsável pela sua existência e manutenção, como já destacamos.

A equipe de TI é responsável direta pelas operações tecnológicas da cooperativa, ou seja, pelas atividades que envolvem seus equipamentos, sistemas, redes, conexões à internet e operacionalização das atividades do dia a dia de várias outras áreas. Assim, ela atua como uma espécie de coração, responsável por garantir os meios necessários para que as demais áreas possam executar plenamente suas atividades.

O envolvimento da TI na adequação à LGPD e na manutenção do Programa de Conformidade em Proteção de Dados Pessoais está diretamente vinculado às ações de segurança da informação que envolvem a política de segurança da informação, e as normas e procedimentos para níveis de permissão e controle de acesso, desenvolvimento, senhas, backups, gestão de ativos, monitoramento de redes, garantia de disponibilidade de serviço, gestão de incidentes cibernéticos (em conjunto com outras áreas) e outras. 

Por isso, é fundamental que, em conjunto com as demais áreas e com patrocínio da alta gestão, a TI adote os controles previstos na ISO 27701 (que institui o Programa de Privacidade da Informação). O procedimento é primordial para atender as boas práticas de segurança determinadas como obrigatórias na LGPD. 

A participação da TI também é essencial para adequação de sites e sistemas aos controles estabelecidos quando da adequação à LGPD. Por exemplo: quando for definida a supressão de determinados campos de coleta de dados pessoais em sistemas ou sites, a área terá que realizar ou solicitar para prestadores de serviço a realização da adequação desses ambientes. 

Assim, em resumo, a área de TI é responsável por inúmeras atividades envolvendo boas práticas de segurança (inclusive de gestão de riscos para novas atividades) e procedimentos adequados para o manuseio de equipamentos, sistemas e e-mails. 

Comercial Comercial

A LGPD não tem como objetivo dificultar ou inviabilizar as operações de qualquer cooperativa. Pelo contrário, o texto da Lei indica que a proteção de dados pessoais tem como fundamento o desenvolvimento econômico e tecnológico, a inovação, a livre iniciativa e a livre concorrência. 

Ou seja, atividades de prospecção comercial e manutenção de relacionamento com clientes estão resguardadas pela legislação, mas precisam atender determinadas condições para que sejam consideradas regulares. 

A área Comercial é responsável por boa parte do relacionamento com os clientes e, em muitas vezes, pelo faturamento da cooperativa. Assim como as demais áreas, também realiza atividades que envolvem a utilização de dados pessoais, tais como venda de produtos e/ou serviços, contratação de fornecedores, emissão de notas fiscais, cadastramento de fornecedores pessoas físicas em sistemas internos, remessa de produtos aos clientes, registros contábeis obrigatórios, dentre outras.

Justamente em razão deste volume de atividades, precisa estar atenta as políticas, normas e procedimentos implementados pela cooperativa para cumprir a LGPD, garantindo que o relacionamento conduzido junto aos clientes/consumidores esteja pautado na transparência e no uso consciente e adequado dos dados pessoais.

Social Social

O associado/cooperado é a razão de existir da cooperativa. É a partir da participação dele que as cooperativas desenvolvem suas atividades e concretizam seus negócios. 

Os associados são os maiores interessados na adequação das atividades da cooperativa aos termos da LGPD, uma vez que são os “donos” do negócio. A conformidade da cooperativa é a garantia de que seus próprios dados pessoais serão utilizados de forma adequada e mantidos em segurança.

Por isso, é primordial que a área responsável pelo relacionamento com os associados esteja diretamente envolvida na adequação à LGPD e no Programa de Proteção de Dados Pessoais, uma vez que atua como interlocutora com este público – pessoas físicas de quem, como já dito, a cooperativa também trata dados pessoais.

Também vale destacar que, em regra, a área Social é responsável pelo gerenciamento dos benefícios ofertados aos associados e seus dependentes, realizando naturalmente diversas rotinas que envolvem a utilização de dados pessoais e até mesmo de dados pessoais sensíveis.

A área tem ainda a importante tarefa de internalizar as ações desenvolvidas pelo Sistema OCB relacionadas ao apoio e promoção ao cooperativismo, além de servir de canal de integração dos associados aos programas de formação profissional e promoção social, executados em conjunto com as unidades estaduais.

 

Para lembrar

O amplo envolvimento de colaboradores, associados/cooperados e da alta gestão das cooperativas é medida indispensável para o sucesso da adequação à LGPD e para a eficiência e manutenção do Programa de Proteção de Dados Pessoais.

Sistema OCB promove seminário sobre a LGPD

Com a intensificação do uso da internet, a proteção dos dados dos clientes passou a ocupar lugar de destaque na lista de preocupações da sociedade moderna. E para garantir a segurança das informações de todos que navegam pela internet, pessoal ou profissionalmente, foi promulgada, em 2018, a Lei Geral de Proteção de Dados (LGPD, como é mais conhecida a Lei nº 13.709/2018), e que passou a valer no dia 22 de setembro. Em função disso, o Sistema OCB realizou nesta quarta-feira, um webinário dividido em duas partes para debater os aspectos práticos e teóricos da LGPD.

 

Saiba mais em: https://www.somoscooperativismo.coop.br/

Encontro Coop debate implementação da LGPD

Como implementar a Lei Geral de Proteção de Dados (LGPD, como é mais conhecida a Lei nº 13.709/2018) na sua cooperativa? Essa pergunta norteou o último Encontro Coop deste ano. O evento, realizado pelo Sistema OCB, tem por objetivo promover um debate sobre os principais assuntos que impactam a rotina das coops brasileiras. E, nesta quinta-feira, o tema foi por onde começar a implementar essa lei, que, aliás, já está valendo desde o dia 22 de setembro.

 

Saiba mais em: https://www.somoscooperativismo.coop.br/

LGPD é tema de webinário para cooperativas

A Lei Geral de Proteção de Dados entrou em vigor no dia 22 de setembro com o objetivo de proteger o consumidor do mau uso que as empresas fazem de seus dados. Por isso, o Sistema OCB promove nesta quarta-feira (7/10), um webinário sobre o tema, com o objetivo de tirar as dúvidas das cooperativas.

 

Saiba mais em: https://www.somoscooperativismo.coop.br/

Conselho de Proteção de Dados debate sobre projetos de adequação à LGPD

O Conselho de Proteção de Dados do Cooperativismo (CPDC) realizou sua quarta reunião nesta terça-feira (12). O encontro contou com a participação de 30 membros do colegiados, entre titulares e suplentes, que abordaram temas relacionados à aplicação da Lei Geral de Proteção de Dados (LGPD) ao Sistema Cooperativista Nacional.

“Foi uma reunião muito produtiva e que evidenciou a importância que o tema da privacidade e proteção de dados tem para as entidades de representação nacional e estadual do cooperativismo. Conseguimos avançar nas nossas pautas de adequação e conformidade com a LGPD internas do Sistema OCB e pretendemos estabelecer uma rotina de constante avaliação dos nossos índices de maturidade em relação aos processos envolvidos com a lei”, explicou a presidente do Conselho, Ana Paula Andrade Ramos.

 

Saiba mais em: https://www.somoscooperativismo.coop.br/

Saiba quais são os documentos essenciais para estar em conformidade com a LGPD
Fotos de banco de imagens por Vecteezy
Featured

Saiba quais são os documentos essenciais para estar em conformidade com a LGPD

A adequação das cooperativas à Lei Geral de Proteção de Dados Pessoais (LGPD) passa pela revisão de processos e procedimentos, e também, pela elaboração e formalização de diversos documentos que podem ser voltados tanto para o público interno, quanto externo.

Os documentos contribuem diretamente para que as cooperativas atendam aos princípios da responsabilização e da prestação de contas estabelecidos na LGPD (Confira o material Descomplicando os princípios da LGPD).

Por isso, é imprescindível que as coops compreendam os documentos essenciais para o cumprimento da legislação e os respectivos objetivos de cada um deles na estruturação e manutenção de Programas de Privacidade e Proteção de Dados Pessoais.

Vamos a eles?

1. Registro das Operações de Tratamento de Dados Pessoais

O documento é obrigatório e explicitamente indicado na LGPD, que pode ser definido como a compilação estruturada das operações de tratamento de dados pessoais realizadas dentro da estrutura organizacional das cooperativas.

O registro também é responsável por viabilizar a proteção de dados pessoais nas cooperativas, uma vez que, para poder atender plenamente às disposições da LGPD, é necessário que as coops tenham conhecimento das atividades que realizam envolvendo dados pessoais.

Assim, mais do que simplesmente cumprir uma obrigação legal, o registro contribui com a implementação dos controles necessários para atender aos princípios e demais obrigações previstas na legislação.

Além disso, a confecção e constante atualização do registro de operações de tratamento de dados pessoais permite identificações, como, por exemplo:

 

2. Política Interna de Privacidade e Proteção de Dados Pessoais

É o documento que institui o Programa de Privacidade e Proteção de Dados Pessoais nas cooperativas para garantir o cumprimento das disposições da LGPD e, consequentemente, níveis adequados de privacidade e proteção para os dados pessoais utilizados no desenvolvimento das suas atividades institucionais.

Na política interna de privacidade e proteção de dados pessoais são estabelecidas uma série de diretrizes que devem ser cumpridas em todos os níveis das cooperativas. Essas diretrizes estão vinculadas à transparência, informação, manutenção de registros, formalização de documentos, segurança (confidencialidade, integridade e disponibilidade), atendimento de direitos, prazos de retenção, relações com terceiros e outros pontos.

São exemplos de diretrizes:

  • Dever de informação aos titulares de dados pessoais sobre as atividades que serão realizadas com seus dados pessoais, antes do momento em que os dados pessoais sejam coletados ou utilizados pela primeira vez;
  • Dever dos colaboradores de comunicar o Encarregado pelo tratamento de dados pessoais a respeito de todas as novas atividades de utilização de dados pessoais que passarem a ser realizadas nas cooperativas, bem como sobre eventuais atualizações daquelas já mapeadas anteriormente.
  • Compromisso da cooperativa de que os dados pessoais apenas serão utilizados se a finalidade da utilização estiver devidamente registrada e justificada de acordo uma base legal permitida e adequada à categoria dos dados pessoais tratados e à finalidade do tratamento.

Dá para notar a partir dos exemplos acima a importância do envolvimento das principais áreas das cooperativas no Programa de Conformidade (Confira o material LGPD: Quais áreas da cooperativa são mais impactadas pelas medidas de adequação?), pois elas contribuem diretamente na estruturação da política e integram o Comitê responsável pelo gerenciamento do Programa.

É importante destacar que esse documento é construído a partir das peculiaridades de cada cooperativa e deve ser avaliado e formalmente aprovado pela alta gestão para que suas diretrizes passem a ser exigidas dos colaboradores, prestadores de serviço e de outras partes envolvidas nas atividades realizadas.

Além das diretrizes gerais que estarão nesta política, recomenda-se que as cooperativas especifiquem outras diretrizes em normas e procedimentos, que poderão regrar determinadas áreas e/ou aspectos da proteção de dados pessoais na estrutura das cooperativas.

Dentre as normas e procedimentos complementares, destacam-se:

  • Norma de Retenção e Descarte de Dados Pessoais: Neste documento, dentre outras disposições, deve ser indicada a necessidade de elaboração e atualização de tabelas de temporalidade que servirão de referência quanto aos prazos de manutenção dos dados pessoais e as formas de descarte que serão adotadas;
  • Norma de Gestão de Terceiros: define o processo que as cooperativas adotarão para que a LGPD também seja cumprida por prestadores de serviços e parceiros com os quais compartilham dados pessoais. Deve prever, dentre outras medidas, a forma como o Due Diligence (Diligência prévia de avaliação da conformidade de terceiros) será realizado e a periodicidade da sua realização.
  • Procedimento para atendimento dos direitos dos titulares: Deve estabelecer os mecanismos que deverão ser observados pelo Encarregado pelo tratamento de dados pessoais no processo de validação da identidade dos titulares e o fluxo de trabalho de processamento das solicitações, desde o recebimento até a finalização do atendimento.

 

3.  Política Externa de Privacidade ou Aviso de Privacidade

É muito comum observarmos na maioria dos sites a expressão “Política de Privacidade”, não é mesmo? No entanto, a nomenclatura adequada para este documento é Aviso de Privacidade, pois ele tem como objetivo dar transparência aos titulares acerca das atividades de tratamento de dados pessoais realizadas pelas cooperativas.

O aviso de privacidade é um dos principais instrumentos utilizados para atender ao princípio da transparência e evitar o efeito “surpresa” na utilização dos dados pessoais. Ou seja, é neste documento que as cooperativas devem informar detalhadamente as atividades que realizam com dados pessoais.

Devem ser indicados, no mínimo:

  • Finalidade: detalhar as finalidades específicas que as cooperativas pretendem alcançar com o tratamento dos dados pessoais (Ex.: Enviar e-mail marketing semanalmente);
  • Forma e duração do tratamento: os titulares serão informados sobre como e por quanto tempo os dados pessoais serão utilizados (Ex.: Os dados serão coletados por meio de um formulário de newsletter existente no site, inseridos em uma ferramenta de disparo de e-mail marketing que realizará envios semanais, pelo prazo de 1 ano);
  • Qualificação do controlador: os titulares devem ser informados claramente sobre a identificação e o contato das cooperativas envolvidas no tratamento dos dados pessoais (Ex.: A Cooperativa XPTO é a responsável pela realização do tratamento dos dados pessoais para fins de e-mail marketing, a qual pode ser contatada por meio do e-mail Este endereço para e-mail está protegido contra spambots. Você precisa habilitar o JavaScript para visualizá-lo.);
  • Terceiros envolvidos: as cooperativas devem informar quais terceiros participam das atividades realizadas com dados pessoais (Ex.: seus dados pessoais serão compartilhados com a Plataforma XPTO para possibilitar a realização do disparo do e-mail marketing);
  • Identificação do Encarregado (DPO): deve ser informado quem é o Encarregado pelo tratamento de dados pessoais da cooperativa e a forma de contatá-lo. (Ex.: O nosso Encarregado pelo tratamento de dados pessoais é Fulano e pode ser contatado a partir do nosso Portal de Privacidade (Acesse aqui) ou pelo e-mail Este endereço para e-mail está protegido contra spambots. Você precisa habilitar o JavaScript para visualizá-lo.);
  • Medidas de segurança adotadas: é importante que as cooperativas indiquem as medidas de segurança que adotam para proteger os dados pessoais contra acessos não autorizados, alterações, divulgações ou destruições. São exemplos de medidas de segurança:
    • Pontos de coleta de dados pessoais protegidos com certificados SSL/TLS;
    • Acesso aos dados limitado a pessoas autorizadas;
    • Acesso controlado aos sistemas mediante uso de credenciais individuais;
    • Controles lógicos nos dispositivos utilizados;
    • Armazenamento de documentos de acordo com as melhores práticas de segurança da informação.
  • Direitos dos titulares: deve ser informado expressamente a relação de direitos assegurados pela LGPD aos titulares e as formas como eles podem ser prontamente exercidos.

 

Para lembrar:

Os avisos de privacidade podem ser disponibilizados em sites, formulários digitais ou até mesmo em fichas físicas. Em regra, eles devem ser utilizados em todo e qualquer ponto de coleta de dados pessoais para que o titular de dados pessoais saiba previamente “para que”, “por quem”, “porque” e “por quanto tempo” os seus dados pessoais serão utilizados pelas cooperativas.

 

4. Política de Segurança da Informação (PSI)

É o documento que institui o Sistema de Gestão da Segurança da Informação (SGSI) nas cooperativas. Seu objetivo é garantir níveis adequados de proteção às informações da organização ou que estejam sob sua responsabilidade.

A PSI (como também é chamada), dentre outros, tem como propósito:

  • Orientar quanto à adoção de controles e processos para atendimento dos requisitos de Segurança da Informação estabelecidos nas melhores práticas, a exemplo da ISO/IEC 27001;
  • Indicar quais diretrizes e orientadores estratégicos são aplicados ao ambiente físico e digital para resguardar as informações das cooperativas, garantindo requisitos básicos de confidencialidade, integridade e disponibilidade;
  • Prevenir possíveis causas de incidentes e responsabilização das cooperativas e seus colaboradores, associados, clientes e parceiros;
  • Minimizar os riscos de perdas financeiras, de participação no mercado, da confiança de clientes, associados ou de qualquer outro impacto negativo nos negócios das cooperativas como resultado de falhas de segurança.

Lembre-se:

Não existe proteção de dados pessoais sem segurança da informação!

A política deve indicar uma série de diretrizes relacionadas à classificação, formas de tratamento das informações e controles que devem ser observados em todos os níveis das cooperativas. Assim como ocorre com a Política de Proteção de Dados Pessoais, a Política de Segurança da Informação também estabelece parâmetros gerais que devem ser detalhados em normas e procedimentos.

São exemplos de normas:

  • Norma de backup: define as diretrizes para a realização de cópias de segurança para prevenir a perda das informações, softwares e sistemas das cooperativas;
  • Norma de controle de acesso: define as diretrizes para gestão de identidade e para garantir o acesso seguro, de acordo com níveis de privilégio, aos ativos ou sistemas de informação das cooperativas;
  • Norma de gestão de ativos da informação: define diretrizes sobre a identificação adequada dos ativos de informação das cooperativas para que os controles de proteção recomendados para estes ativos sejam implementados com êxito;
  • Norma de gestão de incidentes e violação de dados pessoais: define as diretrizes e responsabilidades para garantir resposta e tratamento adequados aos incidentes que possam impactar ativos, informações, dados pessoais ou recursos computacionais das cooperativas.

Importante destacar que as normas complementares e as regras estabelecidas em cada uma das normas descritas aqui podem e devem variar de acordo com as peculiaridades de cada cooperativa, bem como diante das particularidades e complexidade dos negócios que realizam e de eventuais leis ou regulamentos específicos que incidam sobre tais negócios (Ex.: Resoluções que abordem temas de segurança da informação, emitidas pelo Bacen, com aplicabilidade para cooperativas de crédito).

 

5. Cláusulas Contratuais de Proteção de Dados Pessoais

Os contratos e outros documentos celebrados pelas cooperativas merecem atenção especial quando o assunto é proteção de dados pessoais. A definição de cláusulas contratuais robustas é imprescindível para a eficiência da gestão de terceiros e para delimitação de responsabilidades.

Assim, alguns aspectos devem estar obrigatoriamente contemplados nas cláusulas contratuais das cooperativas e formalizadas em contratos com prestadores de serviços ou parceiros que atuam como operadores ou controladores conjuntos:

  • Responsabilidades das partes envolvidas nos tratamentos de dados pessoais;
  • Limites para os tratamentos dos dados pessoais;
  • Medidas de conformidade que precisarão ser mantidas pela parte com quem a contratação está sendo realizada;
  • Monitoramento do terceiro, com previsão de auditoria;
  • Obrigação de auxílio no atendimento dos direitos solicitados pelas pessoas;
  • Dever de comunicação de eventual incidente envolvendo dados pessoais tratados a partir do contrato ou da relação mantida;
  • Responsabilização da parte com quem o contrato está sendo mantido diante de descumprimentos contratuais ou descumprimento da LGPD na execução do objeto contratado.

Embora a definição dos papéis dos agentes de tratamento de dados pessoais (Controlador ou Operador) não decorra diretamente das definições acordadas nas cláusulas contratuais, elas são importantes instrumentos para assegurar que os interesses das cooperativas sejam respeitados pelos terceiros. Ainda assim, a preocupação com cláusulas contratuais não pode se limitar aos terceiros, já que as cooperativas devem estar atentas também ao relacionamento mantido com seus colaboradores e associados.

Por isso, é necessária a formalização de ajustes nos modelos de contratos de trabalho utilizados e formalização de aditivos contratuais em relação aos contratos vigentes para inclusão de disposições relacionadas à proteção de dados pessoais, além de estabelecer o compromisso do colaborador em contribuir ativamente com a manutenção e amadurecimento do Programa de conformidade.

Também é primordial que as cooperativas estabeleçam termos de adesão para benefícios optativos alcançados para os colaboradores e/ou associados, informando sobre eventual compartilhamento realizado com prestadores de serviços ou parceiros a partir da adesão do beneficiário.

 

6.  Avaliações de Legítimo Interesse

É o documento elaborado para as atividades de tratamento de dados pessoais desenvolvidas pelas cooperativas com fundamento na base legal do “Legítimo Interesse”.

Essa avaliação é um instrumento difundido no modelo europeu de proteção de dados pessoais e incorporado pelas boas práticas no modelo brasileiro. Seu objetivo é formalizar a realização de um teste para comprovar que, efetivamente, há interesse legítimo e que este interesse não confronta com direitos das pessoas. O teste é composto por diversas perguntas que devem ser respondidas pelas cooperativas, divididas em três etapas:

  • Adequação: nesta etapa, o objetivo é verificar se os dados pessoais tratados guardam relação com a finalidade almejada pelas cooperativas com a atividade de tratamento;
  • Necessidade: busca avaliar se o tratamento dos dados pessoais é necessário, isto é, se não é possível alcançar a mesma finalidade de forma menos onerosa ou mediante meios alternativos e menos invasivos ao titular;
  • Balanceamento: avalia se o tratamento de dados pessoais afeta os direitos e liberdades fundamentais do titular e contraria as suas legítimas expectativas.

 

 

Importante ressaltar que a confecção deste documento evidencia que as cooperativas cumprem com o princípio da responsabilização e da prestação de contas, demonstrando o compromisso e a preocupação das cooperativas em relação à matéria.

 

7. Relatório de Impacto à Proteção de Dados Pessoais (RIPD)

O relatório de impacto à proteção de dados pessoais (também chamado de RIPD) é uma importante ferramenta que possibilita a análise, identificação e correção dos riscos relacionados à privacidade e proteção de dados pessoais.

O RIPD tem como objetivos:

  • Dar transparência para as operações de tratamento de dados pessoais realizadas;
  • Garantir o correto e adequado atendimento dos direitos dos titulares de dados pessoais,
  • Adotar as melhores práticas de segurança da informação e proteção de dados pessoais; e
  • Implementar uma atuação preventiva para correção de eventuais riscos que possam causar violação de dados pessoais ou a atuação em desconformidade com a LGPD e outros regulamentos sobre o tema.

Em regra, para que os objetivos indicados acima sejam alcançados satisfatoriamente, preferencialmente, o RIPD deve ser elaborado pelas cooperativas antes do início da operação de tratamento de dados pessoais.

Em relação a obrigatoriedade ou não de sua elaboração, a definição compete à Autoridade Nacional de Proteção de Dados (ANPD), que definirá os critérios por meio de regulamento próprio (ainda não disponibilizado).

Todavia, com base nas disposições indicadas na própria LGPD, tem-se que a elaboração do relatório é recomendada em atividades que resultam em alto risco aos titulares de dados pessoais, tais como:

  • Tratamentos em larga escala de categorias especiais de dados pessoais, como dados pessoais sensíveis ou dados pessoais de crianças e adolescentes;
  • Tratamentos de dados pessoais que envolvam o controle sistemático de ambientes acessíveis a muitas pessoas ou ao público em geral, tais como monitoramento de ambientes físicos e/ou digitais;
  • Tratamentos de dados pessoais realizados a partir de decisões automatizadas, incluídas as decisões destinadas a definição de perfil pessoal, profissional, de consumo e/ou de crédito, inclusive aspectos de personalidade;
  • Tratamentos de dados pessoais que visem o rastreamento da localização de pessoas ou a formação de perfil comportamental;
  • Tratamentos de dados pessoais que se utilizem de inovações tecnológicas.

Além disso, por se tratar de uma ferramenta de identificação e mitigação de riscos, em qualquer caso a confecção pode ser recomendada pelo Encarregado pelo tratamento de dados pessoais ou pelo comitê responsável pelo Programa de conformidade nas cooperativas.

 

Dados pessoais de crianças e adolescentes: que cuidados sua coop deve ter?

Dados pessoais de crianças e adolescentes: que cuidados sua coop deve ter?

O tratamento de dados pessoais de crianças e adolescentes exige atenção redobrada, uma vez que são consideradas pessoas em condição de desenvolvimento e possuem proteção integral, especial e prioritária de acordo com a legislação brasileira.

A Lei Geral de Proteção de Dados Pessoais (LGPD) traz um capítulo específico sobre esse assunto, para garantir o respeite os direitos das crianças e dos adolescentes pelas organizações.

As cooperativas realizam o tratamento de dados pessoais deste público, por exemplo, na admissão de estagiários e jovens aprendizes ou no desenvolvimento de ações, treinamentos e programas de Formação Profissional e Promoção Social.

Mas quais são os requisitos para que o tratamento de dados pessoais de crianças e de adolescentes seja legítimo?

Para realizar o tratamento de dados pessoais de crianças e adolescentes de forma regular, a cooperativa deve apresentar uma justificativa adequada, que no cenário da LGPD ganha o nome de base legal (confira o material sobre bases legais aqui). Esta base legal, pode ser o consentimento, ou seja, quando for realizado tratamento de dados pessoais de crianças ou adolescentes, a justificativa – base legal - a ser utilizada poderá ser o consentimento, que obrigatoriamente deverá ser específico, em destaque e fornecido por pelo menos um dos pais ou responsável legal.

Importante ressaltar que o consentimento não é a única base legal que pode ser utilizada para o tratamento de dados pessoais de crianças e adolescentes. Há também a possibilidade de utilização de outros instrumentos. Recentemente foi publicado o enunciado nº 4796 da Jornada de Direito Civil, afirmando que “o art. 14 da Lei LGPD não exclui a aplicação das demais bases legais, se cabíveis, observado o melhor interesse da criança”.

Existem, ainda, duas exceções em que as cooperativas podem realizar o tratamento de dados pessoais de crianças e adolescentes sem consentimento ou outra base legal válida: 1) quando o tratamento for necessário para comunicação com seus familiares, pais ou responsáveis; e 2) para proteção da vida, em atendimentos emergenciais ou questões de saúde, por exemplo.

 

 

Atenção!

É fundamental que, caso opte pelo consentimento, a cooperativa se certifique de que este foi efetivamente formalizado por um dos pais ou responsáveis legais.

 

<a href='https://br.freepik.com/fotos-vetores-gratis/celular-horizontal'>Celular horizontal foto criado por freepik - br.freepik.com</a>

As cooperativas devem informar de forma clara e facilitadas: quais os tipos de dados pessoais coletados, qual a finalidade do tratamento, quais as medidas de segurança utilizadas, com quem os dados pessoais serão compartilhados, os procedimentos para o exercício dos direitos estabelecidos na LGPD e por meio de qual canal podem ser solicitados e, ainda, a identificação e contato do encarregado pelo tratamento de dados pessoais.

É importante destacar que as cooperativas devem fornecer informações simples, claras e acessíveis, considerando as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais dos titulares deste público, com a utilização de recursos audiovisuais, quando for considerado adequado.

Ou seja, evite a utilização de linguagem complexa ou termos técnicos, bem como disponibilize as informações em ambiente com acesso facilitado. Para isso, é recomendável que as cooperativas utilizem recursos diversos como: desenhos, fluxogramas, esquemas, vídeos, entre outros. O objetivo é tornar o conteúdo mais acessível para este público e para os seus responsáveis, levando em conta aspectos como idade, localidade e até mesmo possibilidade de acesso à informação.

Então, em resumo, quais são as reflexões que a cooperativa deve considerar no tratamento de dados pessoais de crianças e adolescentes?

  1. O tratamento dos dados pessoais da criança ou do adolescente é essencial e estritamente necessário para conseguir desenvolver a atividade?
  2. Existe outro meio para desenvolver a atividade sem que haja o tratamento de dados pessoais de crianças e adolescentes?
  3. A finalidade do tratamento foi informada de forma clara e explícita ao titular e aos seus responsáveis legais?
  4. O tratamento é realizado com a aplicação da base legal adequada?
  5. No caso de consentimento, foi fornecido por um dos pais ou responsáveis legais?
  6. O tratamento de dados pessoais é realizado com base no melhor interesse da criança e do adolescente?

Para lembrar!

Recomenda-se atenção especial e redobrada por parte das cooperativas em relação ao tratamento de dados pessoais de crianças e adolescentes (que, como já dito, podem ser menores aprendizes, estagiários, dependentes de colaboradores ou associados). Para isso, deve-se buscar sempre os melhores meios para fornecer as informações necessárias, com a elaboração de informativos, avisos, cartilhas, vídeos e, ainda, garantindo que a atividade seja realizada de acordo com uma base legal adequada. 

Descomplicando os princípios da LGPD
Featured

Descomplicando os princípios da LGPD

Certamente você já ouviu falar que a LGPD é repleta de princípios e que, na grande maioria das suas disposições, não indica de forma específica quais controles ou medidas as organizações precisam adotar para estarem adequadas à Lei, limitando-se a indicar que boas práticas organizacionais, de segurança da informação e de gestão de dados pessoais devem ser implementadas. Justamente por conta disso, é essencial que você entenda os princípios estabelecidos. Vamos juntos?

É preciso destacar que os princípios devem ser observados por coops durante o desenvolvimento de toda e qualquer atividade de tratamento/utilização de dados pessoais. Para exemplificar, explicamos abaixo os princípios que as cooperativas devem observar sempre que utilizarem dados pessoais:

1. Princípio da Finalidade: segundo a LGPD, a utilização dos dados pessoais deve estar vinculada à propósitos legítimos, específicos e explicitamente informados, para as pessoas a quem os dados pessoais se referem, sem possibilidade de utilização posterior de forma incompatível com a finalidade previamente formalizada e informada. 

Em outras palavras, as cooperativas precisam formalizar os objetivos para os quais tratam dados pessoais nos seus processos (as finalidades devem estar indicadas no Registro das Operações de Tratamento de Dados Pessoais – incluir link para o conteúdo de documentos obrigatórios) e informar explicitamente para as pessoas a quem os dados se referem sobre as atividades que serão realizadas. 

! Dica:

A informação explícita poderá estar em políticas externas de privacidade, sites, contratos e outros documentos, murais, ações de comunicação diversas e em outros canais. 

2. Princípio da Adequação: deve haver compatibilidade entre a utilização dos dados pessoais e as finalidades explicitamente informadas ao titular, e também, de acordo com o contexto do tratamento. Explicando melhor: as cooperativas precisam garantir que os dados pessoais tratados são adequados e compatíveis com a atividade que está sendo realizada. 

Exemplo: caso dados pessoais estejam sendo utilizados para avaliar um candidato para determinada vaga de trabalho, devem ser tratados apenas os dados compatíveis com a identificação do perfil profissional e acadêmico pretendido. Não seria adequado, portanto, a cooperativa tratar dados pessoais como título de eleitor ou dados pessoais sensíveis, como opinião/filiação política nesse tipo de atividade.

3. Princípio da Necessidade: a coleta e utilização dos dados pessoais deve ser limitada ao mínimo necessário para a realização dos objetivos e dos processos das cooperativas. Isto é, além de tratar os dados pessoais compatíveis com a finalidade formalizada e informada ao titular, as cooperativas devem tratar a menor quantidade de dados pessoais possível para alcançar o propósito da atividade.

Aproveitando o exemplo acima, além de não utilizar dados pessoais incompatíveis com o objetivo de avaliar perfil profissional e acadêmico em processo seletivo, a cooperativa está obrigada a identificar se, dentre aqueles dados pessoais que são compatíveis, todos são necessários ou se, eventualmente, dados pessoais dispensáveis estão sendo utilizados – e, neste caso, deixar de utilizá-los. Esta reflexão e avaliação deve ser realizada em todos os processos que envolvem dados pessoais.

4. Princípio do Livre Acesso: deve ser garantida para as pessoas a quem os dados pessoais se referem a possibilidade de consulta facilitada e gratuita sobre a forma e a duração da utilização, bem como sobre a integralidade de seus dados pessoais. Ou seja, sempre que as pessoas solicitarem, as cooperativas precisarão dar acesso a informações sobre o tratamento, assim como aos próprios dados pessoais que dizem respeito ao solicitante.

5. Princípio da Qualidade: a cooperativa deve garantir exatidão, clareza, relevância e atualização dos dados pessoais. Isto é, durante todo o período em que as cooperativas mantiverem os dados pessoais das pessoas com quem se relacionam nos seus ambientes físicos ou digitais (sistemas, e-mails e outros), são obrigadas a garantir que estejam exatos (sem alterações indevidas) e devidamente atualizados. 

6. Princípio da Transparência: é a obrigação de direcionar para as pessoas com quem a cooperativa se relaciona informações claras, precisas e facilmente acessíveis sobre a utilização dos dados pessoais. 

Em outras palavras, as cooperativas possuem o dever de informar detalhadamente as pessoas sobre as atividades que realizam com dados pessoais, destacando os objetivos da utilização, os tipos de dados pessoais ou dados pessoais sensíveis utilizados, a justificativa legal para a utilização, os prazos de retenção e a existência de eventuais compartilhamentos com terceiros (prestadores de serviços ou órgãos públicos, por exemplo). 

Atenção: As informações devem estar em ambientes de fácil acesso, como sites, aplicativos e pontos físicos de atendimento de clientes e associados.

7. Princípio da Segurança: obriga a adoção de medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. 

É dever das cooperativas a adoção de medidas capazes de manter a disponibilidade, integridade e confidencialidade dos dados pessoais enquanto estão sob sua responsabilidade. Não por acaso, para estar em conformidade com a LGPD é indispensável a implementação de uma série de controles organizacionais e tecnológicos, a depender da complexidade do ambiente da cooperativa, para melhoria do Sistema de Gestão de Segurança da Informação

8. Princípio da Prevenção: as cooperativas devem adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Ou seja, é necessário realizar ações preventivas constantemente, como oferecer treinamentos e conscientização sobre boas práticas para os colaboradores e terceiros que manipulam dados pessoais; adotar políticas de gestão de riscos de privacidade e proteção de dados pessoais; e desenvolver ações de controle que previnam ataques cibernéticos e que mitiguem vulnerabilidades de sistemas. Tudo para evitar que danos possam ser causados para as pessoas!

9. Não Discriminação: indica que é vedada a utilização de dados pessoais para fins discriminatórios, ilícitos ou abusivos. Em nenhuma hipótese, as cooperativas podem tratar dados pessoais com tais objetivos. 

10. Responsabilização e Prestação de Contas: as cooperativas precisam demonstrar que adotam medidas eficazes e capazes de comprovar a observância e o cumprimento da LGPD e de outras normas de proteção de dados pessoais. Para isso, devem demonstrar a efetividade de seus programas de proteção de dados pessoais, reiteradamente, seja quando solicitado pelas pessoas, pela ANPD, ou ainda em processos judiciais e auditorias promovidas por parceiros.

Confira alguns exemplos de medidas de conformidade: 

  • - Políticas, normas e procedimentos relacionados ao programa de proteção de dados pessoais e segurança da informação; 
  • - Treinamentos e campanhas de conscientização para colaboradores; 
  • - Nomeação de Encarregado pelo tratamento de dados pessoais (Saiba mais);
  • - Constituição formal de comitê para tratar sobre o tema e atas das reuniões realizadas, registro das Operações de Tratamento de Dados Pessoais, relatórios de impacto à proteção de dados pessoais e a disponibilização de canais de atendimento de direitos. 

Saiba mais sobre os documentos essenciais para a conformidade com a LGPD aqui.

Para lembrar: Os princípios são fundamentos da Lei, representam sua essência e devem ser integralmente observados durante todas as atividades de tratamento de dados pessoais realizadas pelas cooperativas. Caso os processos de negócio que envolvem a utilização de dados pessoais não estejam adequados aos valores gerais da LGPD, fica caracterizada infração severa à Lei. 

Os princípios não são mera formalidade ou excessiva conceituação técnica, mas regras básicas que devem ser observadas diariamente e, inclusive, efetivadas em políticas, normas e procedimentos de privacidade e proteção de dados.

Erros comuns nos projetos de adequação e como evitá-los

Erros comuns nos projetos de adequação e como evitá-los

Os projetos de adequação ganham cada vez mais prioridade na pauta das cooperativas e a razão para isso é simples: elas estão sujeitas à LGPD e a outras regras e resoluções que também abordam aspectos relacionados à privacidade e proteção de dados pessoais.

Para que esses projetos alcancem os resultados esperados, é importante que a condução do processo considere a cooperativa como um todo, bem como as suas especificidades e as melhores práticas de mercado.

 

Saiba quais são os erros comuns nos projetos de adequação e como podem ser evitados para garantir a conformidade da cooperativa à LGPD.

1. Considerar apenas algumas áreas

Quando se fala em adequar uma cooperativa à LGPD, é preciso ter em mente que todas as suas áreas devem ser envolvidas. E são todas mesmo! É um equívoco pensar que a LGPD é responsabilidade apenas do Jurídico ou da Tecnologia da Informação (TI). Cuidado: Projetos de adequação que consideram apenas parte das áreas dão uma falsa sensação de conformidade e colocam a cooperativa em alto risco.

Por isso, a primeira coisa a fazer é pensar o todo. Isso porque as atividades da cooperativa são executadas por pessoas e todas elas, no exercício de suas funções, em qualquer área, em alguma medida, precisam aderir à cultura da privacidade e proteção de dados pessoais, incorporando no seu dia a dia práticas referentes ao tema.

A participação das áreas também é imprescindível no mapeamento das atividades de tratamento de dados pessoais (ou seja, no mapeamento dos processos de negócio da cooperativa que envolvem a utilização dessas informações) e, posteriormente, na implementação das ações corretivas (para correção de falhas ou pontos em aberto, tanto jurídicos quanto organizacionais e de segurança da informação).

2. Não mapear processos ou mapeá-los de forma inconsistente

O mapeamento adequado dos processos da cooperativa que utilizam dados de pessoas físicas é um passo fundamental do projeto de adequação. Muitas ações posteriores serão executadas com base nesse mapeamento. Além disso, ele é ferramenta básica para atender aos direitos dos titulares e também para possibilitar a elaboração do Registro das Operações de Tratamento de Dados Pessoais.

Por isso, atenção: Mapeamentos incompletos não fornecem os subsídios necessários para o desenvolvimento do projeto e comprometem o programa de conformidade da cooperativa!

Anote alguns dos pontos que obrigatoriamente devem ser levantados no mapeamento:

  1. Dados pessoais ou dados pessoais sensíveis utilizados em cada um dos processos, categoria das pessoas que têm seus dados pessoais tratados (isto é, identificação se são colaboradores, associados, prestadores de serviço, visitantes e etc.);
  2. Sistemas relacionados a cada um dos processos, prazos de retenção, compartilhamento de dados pessoais com terceiros (outras cooperativas, empresas e órgãos públicos);
  3. Existência de transferências internacionais, medidas de segurança aplicadas no processo, objetivos e finalidade da utilização dos dados pessoais (também de forma individualizada por processo), entre outros.

Outra dica é que é necessário ter experiência em mapeamento de processos para participar desta atividade. O mapeamento pode ser realizado por meio de entrevistas ou de respostas a questionários com perguntas previamente definidas para identificação dos pontos necessários à avaliação de conformidade.

Lembre-se: O que não for mapeado dificilmente será corrigido. 

3. Falta de engajamento da alta gestão

O posicionamento da alta gestão determina como a visão da cooperativa e a sua cultura incorporam o tema da privacidade e proteção de dados pessoais. Quanto mais engajada ela estiver, melhor e mais efetiva serão as respostas dos demais envolvidos no processo. Isso porque as medidas de adequação costumam impactar hábitos, exigindo motivação, empenho e dedicação de toda a equipe. Por isso, é preciso transmitir uma mensagem clara de que o tema LGPD deve ser enfrentado com qualidade e, na maioria das vezes, com prioridade.

Sem esse engajamento e suporte da alta gestão, a cooperativa terá dificuldades para atingir os objetivos definidos, causando, inclusive, prejuízos em relação aos investimentos eventualmente realizados.

Lembre-se: A adequação à LGPD só será efetiva se a alta gestão definir a privacidade e proteção de dados pessoais como valores da cooperativa. 

4. Não definir um comitê e não nomear encarregado pelo tratamento de dados pessoais

O Comitê de Privacidade e Proteção de Dados Pessoais é o responsável por implantar e manter o programa de conformidade na cooperativa. Ele deve ser composto por representantes de áreas-chave, garantindo que a equipe seja multidisciplinar e possa compartilhar as suas atribuições.

Se ocorrer demora na nomeação do Comitê, o cronograma do projeto ficará comprometido. Se o Comitê não é nomeado ou não assume de fato as suas responsabilidades, a implantação do programa de privacidade e proteção de dados, por consequência, se torna inviável.

Por isso, mesmo que esteja bem assessorada por prestadores de serviço especializados nos temas jurídicos, organizacionais e de segurança da informação necessários para conformidade com a LGPD, a cooperativa precisa de pessoas (recursos internos) capazes de conduzir uma série de ações fundamentais para o sucesso do programa.

O Encarregado pelo tratamento de dados pessoais, por sua vez, é o responsável pela comunicação com os titulares dos dados pessoais e com a Autoridade Nacional de Proteção de Dados (ANPD) e tem inúmeras responsabilidades referentes à manutenção da conformidade na cooperativa.

Assim, é recomendável que o Encarregado seja nomeado o quanto antes para acompanhar o projeto de adequação desde o início. Além disso, é importante que ele não acumule esta função com outras em que possa ocorrer conflito de interesses.

5. Implantação parcial de políticas e normas

Políticas e normas são documentos importantíssimos que declaram a visão da cooperativa sobre privacidade, proteção de dados pessoais e segurança da informação. Elas determinam as diretrizes que a cooperativa deve seguir com relação a esses temas.

Dessa forma, todas as áreas (no que compete a cada uma) devem realizar suas atividades em conformidade com as políticas e normas. Fornecedores também precisam estar cientes das principais diretrizes do programa de conformidade e devem se adequar para realizar a prestação de serviços nos limites informados.

Políticas e normas parcialmente implementadas geram evidências de não-conformidade.  E isso é justamente o contrário do que se deseja, além de poder gerar outros impactos negativos como questionamentos sobre as diretrizes definidas, o que colocaria em dúvida a própria solidez do programa de conformidade.

Lembre-se:  As diretrizes que estão registradas em políticas e normas devem refletir aquilo que acontece, de fato, no dia a dia da cooperativa. 

6. Implementar soluções padronizadas

Embora existam pontos em comum entre as cooperativas, cada uma tem as suas particularidades. Processos podem ser muito parecidos, mas geralmente são executados de maneiras diferentes e, por isso, exigem soluções específicas.

As necessidades, prioridades e riscos também são específicos em cada cooperativa, especialmente quando se considera a grande multiplicidade e distinção entre os ambientes físicos e digitais nos quais as atividades são realizadas Não há como utilizar soluções de gaveta para contextos diferentes sem comprometer a conformidade ou o negócio. 

Lembre-se: Soluções mágicas não existem! É preciso avaliar o contexto de cada cooperativa e buscar as melhores práticas, estrategicamente alinhadas com os objetivos de negócio. O apoio de consultoria especializada, experiente e capacitada pode ser fundamental para alcançar os resultados almejados.  

7. Não focar em treinamento e conscientização

Como é de conhecimento de todos, as cooperativas são constituídas de pessoas. São pessoas que trabalham, produzem e legitimam todas as suas ações. É fundamental, portanto, que essas pessoas compreendam a importância do seu papel para o desenvolvimento do projeto de adequação e para posterior manutenção de um Programa de Conformidade.

É preciso ter em mente que trabalhar tendo a privacidade e proteção de dados pessoais como princípio norteador representa uma mudança de cultura significativa. Leva tempo e demanda a execução contínua de ações de engajamento com todos os envolvidos. 

Assim, não é suficiente, por exemplo, apresentar uma palestra ou enviar uma apresentação para um colaborador novo e considerar que ele está ciente do que representa a privacidade e proteção de dados pessoais para a cooperativa. Um cooperado também precisa entender o que significa para ele a implantação de práticas que garantem a proteção de seus dados pessoais e porque são implementadas.

Cada colaborador tem um papel-chave no que se refere à garantia de segurança da informação. Por isso, não adianta realizar altos investimentos em equipamentos e ferramentas de segurança da informação, se as pessoas não conseguem identificar riscos básicos ou não fizerem as comunicações necessárias quando desconfiarem de algo fora do esperado.

Lembre-se: É fundamental a implantação de um plano de treinamentos continuados que relembre e reforce conceitos, práticas e a responsabilidade de cada um para a segurança da informação e proteção de dados pessoais. A falta da implantação de ações de conscientização e treinamento contínuos compromete a conformidade.

8. Ausência de documentação das ações de correção e prevenção que são realizadas para cumprir a LGPD

Tão importante quanto estar em conformidade é evidenciar a conformidade. Por isso, é necessário comprovar a conformidade em diversas situações, como por exemplo, quando parceiros realizarem auditorias, por exigência da ANPD em processos de fiscalização ou, ainda, em processos judiciais – quando a LGPD for fundamento para o ajuizamento da ação. 

Para que a cooperativa esteja pronta para tais situações, não perca credibilidade, nem sofra sanções e multas que podem inviabilizar o negócio, é preciso que as práticas de privacidade, proteção de dados pessoais e segurança da informação sejam formalizadas. 

A documentação (políticas, normas, procedimentos, formalização da nomeação de comitês, atas de reunião, registros de presença e comprovação da realização de treinamentos, relatórios de testes de intrusão, ações de prevenção a incidentes, avaliação de riscos, dentre outras) que sustenta e comprova a existência e eficácia do programa de conformidade deve estar sempre atualizada e disponível. 

Busca

Busca

Resultado da Busca

Webinar LGPD - Questões teóricas da LGPD

Webinar LGPD - Questões teóricas da LGPD

Conheça a LGPD em detalhes: confira a explicação de termos como proteção de direitos, circulação de dados, transparência e segurança, e tire suas principais dúvidas.

Aspectos práticos da LGPD

Aspectos práticos da LGPD

A proteção de dados pessoais na prática: saiba como aplicar as mudanças que a lei pede em sua cooperativa.

Aplicação da LGPD para cooperativas de pequeno porte

Aplicação da LGPD para cooperativas de pequeno porte

Entenda quais medidas a ANPD adotou para simplificar o cumprimento da LGPD por cooperativas de pequeno porte.

Entendendo a Lei Geral de Proteção de Dados Pessoais

Entendendo a Lei Geral de Proteção de Dados Pessoais

Compreenda alguns conceitos e regras da LGPD a serem observadas nas atividades que envolvem a utilização de dados pessoais.

Manual Prático de segurança na internet

Manual Prático de segurança na internet

Previna sua cooperativa de fraudes, ameaças, ataques e golpes virtuais com as dicas e orientações que preparamos para você!

LGPD no cooperativismo: como se adaptar

LGPD no cooperativismo: como se adaptar

Preparamos um e-book sobre como sua cooperativa pode adaptar processos, conhecer boas práticas e ficar por dentro de oportunidades que surgiram com a chegada da LGPD. Baixe agora!

Quem são os agentes de tratamento?

Quem são os agentes de tratamento?

Os agentes de tratamento são justamente os responsáveis pela realização do tratamento de dados pessoais – ou seja, pelas atividades que envolvem a utilização de dados pessoais. Os agentes de tratamento podem ser divididos em duas categorias principais: controlador e operador.

Controlador

O controlador é o responsável pela tomada de decisões relacionadas ao tratamento de dados pessoais. Podemos concluir que é a cooperativa que define o que será ou não realizado com um dado pessoal (exemplo: se o dado pessoal será inserido ou não em sistemas, se será utilizado ou não para fins de marketing e publicidade, por quanto tempo será retido, com quem será compartilhado, dentre outros).

Nas rotinas diárias de tratamento de dados pessoais, as cooperativas podem exercer este papel nas atividades originadas do relacionamento com seus respectivos associados e colaboradores, por exemplo. As cooperativas também podem manter iniciativas em comum com outras organizações, oportunidade em que estará caracterizada a controladoria conjunta – isto é, mais de uma organização tomando decisões sobre as ações que serão realizadas com os dados pessoais.

Operador

Os operadores são cooperativas que não decidem o que será realizado com os dados pessoais, mas realizam atividades com dados pessoais em nome e sob determinação dos controladores. Vale destacar que os prestadores de serviço se enquadram neste papel.

Quando a cooperativa contrata um prestador de serviços - e, para que os serviços sejam prestados, permite que sejam acessados dados pessoais de associados ou colaboradores, ou compartilha tais dados pessoais -, este prestador de serviços é um operador. Um exemplo são contadores, escritórios de advocacia, empresas que fazem gestão de benefícios de colaboradores ou associados, consultorias, sistemas/softwares, transportadores, dentre outros, contratados pela coop e que figuram como operadores, de acordo com a LGPD.

Os operadores devem utilizar os dados pessoais apenas para as atividades para as quais foram contratados e seguindo as instruções expressas dos controladores. Eles não podem, por exemplo, utilizar os dados pessoais para objetivos desvinculados da prestação dos serviços ou em proveito próprio.

EXEMPLO

Quando a cooperativa contrata um escritório de contabilidade e, consequentemente, compartilha uma série de dados pessoais de colaboradores, terceiros ou mesmo clientes, o escritório de contabilidade não pode utilizar tais dados pessoais para abordar essas pessoas a fim de lhes oferecer serviços. Também não pode compartilhar tais dados pessoais com outras pessoas jurídicas desvinculadas do contrato que a cooperativa mantém com ele.

É importante destacar, no entanto, que as cooperativas podem ser classificadas como operadores em atividades realizadas sob determinação de outras organizações e em relação as quais não possuem autonomia de definição. Os colaboradores da cooperativa jamais serão considerados operadores, apenas organizações externas que podem estar nesta condição.

Em todas as atividades de tratamento de dados pessoais realizadas pelas cooperativas, há a necessidade de clareza sobre o papel que ocupam – de controlador ou operador. Tal definição é indispensável para identificação das medidas necessárias à conformidade. Exemplo: se a cooperativa for controladora, é ela quem deve definir qual a base legal utilizada para que a atividade seja justificada.

O que é o Encarregado pelo tratamento de dados pessoais ou DPO?

O Encarregado pelo Tratamento de Dados Pessoais, também conhecido como DPO (Data Protection Officer), é o responsável por avaliar as solicitações das pessoas físicas que tenham relação com seus dados pessoais, bem como o responsável por comunicar-se com a Autoridade Nacional de Proteção de Dados (ANPD). É, ainda, o responsável pela manutenção de um programa de conformidade em proteção de dados pessoais – ou seja, quem deve coordenar uma série de ações para estimular que os dados pessoais sejam utilizados de acordo com a Lei no ambiente da cooperativa e junto dos prestadores de serviço e parceiros.

O Encarregado pode ser um colaborador da cooperativa, formalmente nomeado para tal função, ou um prestador de serviços, contratado especificamente para tal função.

O Encarregado deve contar com o apoio da alta gestão e ser envolvido em todas as decisões relacionadas às atividades de tratamento de dados pessoais.

O que é o Conselho?

O que é o Conselho?

O Conselho de Proteção de Dados no Cooperativismo (CPDC) foi criado pela Política Geral de Privacidade e Proteção de Dados Pessoais da OCB, instituída pela Resolução OCB n. 065/2021, sendo definido como órgão de apoio da alta gestão da Organização das Cooperativas Brasileiras, desempenhando papel de orientação e conscientização relacionada à Proteção de Dados Pessoais nas atividades cooperativistas no Brasil.

Responsabilidades

São atribuições do conselho:

  1. Analisar e recomendar a uniformização de entendimentos relacionados à Proteção de Dados Pessoais no âmbito do cooperativismo brasileiro;
  2. Estabelecer padrões de condutas e boas práticas voltadas à Privacidade e Proteção de Dados Pessoais;
  3. Desenvolver e/ou contribuir com o desenvolvimento de código de boas práticas em Privacidade e Proteção de Dados Pessoais para o Cooperativismo;
  4. Disseminar as boas práticas voltadas à Privacidade e Proteção de Dados Pessoais nas Unidades Estaduais do Sistema OCB;
  5. Expedir recomendações de Proteção de Dados Pessoais para orientar a execução das atividades institucionais nas Unidades Estaduais do Sistema OCB;
  6. Recomendar a atualização de entendimentos consolidados, recomendações e documentos expedidos.

Composição

O Conselho é composto:

  • 1 representante da OCB Nacional, que será o presidente do conselho
  • 1 representante da CNCoop
  • 1 representante do SESCOOP Nacional
  • 27 representantes dos Estados, sendo uma indicação por Unidade Estadual do Sistema OCB.

Periodicidade das reuniões

As reuniões ordinárias do conselho ocorrem bimestralmente e as reuniões extraordinárias mediante convocação do seu presidente.

Reuniões realizadas