Há várias possibilidades de configuraçãode projetos de adequação à LGPD. O que não muda é que, em cada um deles, algumas etapas e entregáveis básicos são obrigatoriamente comuns. Apresentamos abaixo um modelo de projeto de adequação à LGPD em cinco etapas, com aspectos gerais e estruturantes. Ele pode ser utilizado pelas cooperativas que ainda não se adequaram ou que estão em fase de execução das adequações necessárias.
As cooperativas poderão desenvolver seus projetos, dividindo as ações em 5 (cinco) fases, conforme demonstra a imagem abaixo:
O primeiro passo é montar um comitê de adequação à LGPD com profissionais especializados, tanto nos aspectos jurídicos, quanto nos de tecnologia e segurança da informação. É indispensável, ainda, que a cooperativa avalie se possui profissionais com a expertise necessária para condução do projeto de adequação ou se, eventualmente, precisará contratar consultoria especializada.
Para as cooperativas que optarem pela contratação de consultorias, durante a etapa de escolha, recomenda-se que optem por fornecedores que tratem o projeto de adequação à LGPD de modo integral, entregando soluções de tecnologia da informação (infraestrutura), segurança da informação (melhores práticas) e temas jurídicos. Também é recomendável que a contratação esteja baseada em entregáveis e não em avaliações ou planos de ação subjetivos.
Ao montar comitê, avalie a nomeação do encarregado pelo tratamento de dados pessoais, que será a pessoa responsável para atuar como canal de comunicação entre a cooperativa e as pessoas de quem os dados pessoais são utilizados e, ainda, com a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado também é o principal responsável pela manutenção do Programa de Conformidade em proteção de dados pessoais e, portanto, é interessante que seja nomeado e atribuído para tal função desde o início da adequação.
Após estruturar o comitê, planeje o projeto de acordo com a estrutura e as complexidades da cooperativa, estabelecendo as medidas prioritárias (como, por exemplo, a disponibilização de um canal para atendimento dos direitos alcançados pela LGPD) e o cronograma para realização de cada uma delas. Para conseguir cumprir o cronograma, é interessante realizar uma avaliação macro de aderência à Lei, para que possam saber o quão próximas ou distantes estão de um patamar aceitável de conformidade.
É recomendado, também, que realizem ações de conscientização e preparação para todos os colaboradores e áreas envolvidas nas medidas de adequação.
O que se espera da etapa da adequação?
Nomeação de comitê responsável pela LGPD na cooperativa;
Nomeação de encarregado pelo tratamento de dados pessoais;
Identificação da necessidade de contratar consultorias especializadas e, em caso positivo, contratação da consultoria;
Planejamento dos entregáveis do projeto de adequação alocados em cada uma das fases;
Realização de ações de conscientização sobre o tema com os colaboradores da cooperativa que participarão do projeto de adequação;
Identificação de leis ou regulamentos setoriais sobre o tema que se apliquem aos negócios realizados pela cooperativa (exemplo: resoluções da ANS sobre tópicos relacionados à segurança da informação ou compartilhamento de dados pessoais entre serviços de saúde, para cooperativas que operam na saúde suplementar ou, ainda, resoluções do BACEN sobre métodos seguros de armazenamento de dados em serviços de Cloud, para cooperativas de crédito).
O segundo passo do projeto é mapear detalhadamente todos os processos da cooperativa que envolvem o tratamento/utilização de dados pessoais.
O mapeamento dos processos deve indicar, no mínimo:
a) Em qual o processo os dados pessoais são utilizados; b) O fluxo do tratamento de dados pessoais no processo, abrangendo todo o ciclo de vida desses dados; c) Qual a finalidade de utilização dos dados pessoais no processo; d) Quais são os dados pessoais ou dados pessoais sensíveis utilizados; e) Qual a categoria de titulares de dados pessoais que têm os dados pessoais tratados no processo (colaboradores, candidatos a vagas, associados, prestadores de serviço pessoa física, representantes de cooperativas, visitantes, entre outros); f) Qual a fonte dos dados pessoais (ou seja, de onde foram coletados); g) Qual o volume aproximado de dados pessoais tratados ou de pessoas que têm seus dados pessoais tratados no processo; h) Se o processo ocorre em meio físico ou virtual, indicando, neste último caso, os sistemas utilizados; i) Se terceiros, na condição de operadores ou controladores conjuntos, participam do processo, com suas respectivas identificações; j) Quais os direitos elegíveis para os titulares de dados pessoais, especificamente no processo; k) O local de armazenamento dos dados pessoais; l) O período de retenção/armazenamento dos dados pessoais, se definido; m) A existência de eventual transferência internacional de dados pessoais; n) Os documentos relacionados ao processo, tais como declarações, contratos, termos, memorandos, acordo, atas, editais, dentre outros.
Além do mapeamento dos processos, é indispensável a realização de mapeamento dos sistemas e bancos de dados utilizados pela cooperativa, assim como dos controles de segurança da informação implementados no seu ambiente físico e digital.
Recomenda-se que o mapeamento dos controles de segurança da informação existentes e inexistentes seja realizado de acordo com as Normas ISO/IEC 27001 (Sistema de Gestão da Segurança da Informação) e ISO/IEC 27701 (Sistema de Gestão da Privacidade da Informação).
Esta etapa deve ser conduzida com excelência, sempre priorizando a qualidade em detrimento da velocidade. Lembre-se: o que não é mapeado, não será avaliado e, posteriormente, corrigido.
Caso os mapeamentos sejam realizados por consultoria especializada, as cooperativas devem validá-los antes de passar para a etapa seguinte.
O que se espera da etapa de mapeamento?
Que sejam conhecidos e mapeados todos os processos realizados pela cooperativa envolvendo dados de pessoas físicas, seus respectivos fluxos e documentos;
Que sejam conhecidos e mapeados os sistemas e bancos de dados utilizados pela cooperativa;
Que sejam conhecidos os controles de segurança da informação que a cooperativa não adota.
A terceira etapa do projeto de adequação consiste em avaliar todos os processos mapeados, identificando as necessidades de ajustes jurídicos, organizacionais e de segurança da informação. Ou seja, os processos precisam ser avaliados para identificação de gaps de natureza jurídica, organizacional ou de segurança da informação.
É neste momento que a cooperativa, com seus recursos próprios ou com ajuda de consultoria especializada, precisa “pegar uma lupa” e cuidadosamente identificar os riscos que estão presentes nas atividades que realiza para, posteriormente, tratá-los.
Os riscos podem ser jurídicos (como a ausência de justificativas legais para realização das atividades com dados pessoais ou a ausência da formalização de obrigações em contratos), organizacionais (falta de padronização de atividades relacionados com dados pessoais, dificultando a governança) e de segurança da informação (ausência de boas práticas de segurança nos processos, tais como controles de acesso, backups, segmentação de redes, registros de logs e muitas outras).
Nesta etapa de avaliação serão conhecidas todas as medidas necessárias para adequação da cooperativa, que vão embasar o plano de ação a ser executado na etapa seguinte.
O que se espera da etapa de avaliação?
que sejam avaliados todos os processos, identificando gaps jurídicos, organizacionais e de segurança da informação;
que sejam avaliadas as medidas estruturantes para o programa de proteção de dados pessoais e para o programa de segurança da informação;
que sejam avaliados os documentos relacionados aos processos;
A quarta etapa consiste na implementação das medidas necessárias para correção dos gaps identificados na fase anterior e, consequentemente, para o tratamento dos riscos. Devem ser implementadas tanto medidas estruturais (como a Política Interna de Privacidade e Proteção de Dados Pessoais, que cria um programa de conformidade estabelecendo diretrizes, papéis e responsabilidades), como medidas específicas para correção de gaps identificados nos processos (limitação de compartilhamento de dados pessoais com um fornecedor que participa de determinado processo ou formalização de um contrato, por exemplo).
São exemplos das medidas estruturantes que devem ser implementadas:
a) Política Interna de Privacidade e Proteção de Dados Pessoais;
b) Política externa de Privacidade e Proteção de Dados Pessoais e avisos de privacidade;
c) Norma de retenção e descarte de dados pessoais, estabelecendo tabela da temporalidade;
d) Procedimento para atendimento de direitos dos titulares;
e) Procedimento de gestão de terceiros;
f) Procedimento de elaboração de relatórios de impacto à proteção de dados pessoais;
g) Procedimento de elaboração de avaliações de legítimo interesse;
h) Registro das operações de tratamento de dados pessoais;
i) Política de Segurança da Informação e normas específicas para gestão e prevenção de incidentes, controle de acesso, backups, senhas, e-mails, rede, dentre outros;
j) implementação de rotinas de conscientização e treinamento sobre proteção de dados pessoais e segurança da informação, desde a integração de colaboradores até o momento em que são desligados;
k) avaliação da necessidade de contratação de seguro para riscos cibernéticos.
São exemplos de medidas corretivas para gaps de processos que devem ser implementadas:
a) limitação de compartilhamento de dados pessoais com fornecedores;
b) formalização de contratos com fornecedores e parceiros de negócio com quem são compartilhados dados pessoais, a fim de que tais fornecedores e parceiros de negócio se obriguem ao cumprimento da LGPD e a adoção de determinadas medidas;
c) definição da temporalidade de retenção dos dados pessoais em cada um dos processos e dos métodos de eliminação utilizados após atingidos os prazos;
d) formalização e registro dos consentimentos (livres, específicos e informados) para os processos cuja a base legal for o consentimento;
e) limitação da coleta de dados pessoais desnecessários para alcançar a finalidade/objetivo dos processos;
f) formalização de termos de adesão, com avisos de privacidade, para benefícios optativos alcançados para colaboradores e dependentes e, também, quando aplicável, para associados;
g) elaboração de relatórios de impacto á proteção de dados pessoais nos processos em que for identificada a necessidade;
h) elaboração de avaliações de legítimo interesse nos processos cuja a base legal for o legítimo interesse;
i) implementação de ajustes específicos em sistemas e sites;
j) descontinuação de processos sem base legal legítima;
k) regularização de transferências internacionais, se houver;
l) informações explícitas aos titulares sobre o tratamento de dados pessoais incorporadas aos processos – por meio de documentos, avisos de privacidade, informativos e outros;
m) realização de treinamentos e conscientizações sobre novas políticas, normas e procedimentos.
Vale lembrar que em projetos de adequação conduzidos com qualidade, são centenas as ações identificadas para correção de gaps de processos. Pense o seguinte: se na sua cooperativa forem realizados 100 processos de negócio com dados de pessoas físicas e 3 gaps forem identificados em cada um deles, em média, serão 300 ações corretivas para realizar.
Acima exemplificamos medidas estruturantes para os programas de conformidade, que criam diretrizes jurídicas, organizacionais e de segurança da informação e também medidas especificas para correção de gaps identificados em processos. No entanto, cada cooperativa tem suas peculiaridades diante do contexto dos negócios que desenvolve, da complexidade da sua estrutura operacional e de sistemas da informação, de eventuais regulamentações específicas que incidam sobre sua atividade, além de outras individualidades. Com isso, os projetos de adequação à LGPD devem ser realizados de forma customizada: soluções de gaveta não levam a um nível satisfatório de conformidade. Não deixe de ler nosso material sobre erros comuns no projeto de adequação, clicando aqui.
O que se espera da etapa de correção?
Implementação de ações corretivas para todos os gaps jurídicos, organizacionais e de segurança da informação identificados nos processos que se utilizam de dados pessoais e na estrutura que oferece suporte para tais processos;
Implementação de medidas estruturantes do programa de governança, tais como políticas, normas e procedimentos. Sugerimos que você leia nossos conteúdos sobre documentos que evidenciam a conformidade clicando aqui.
Sugerimos que você leia nosso conteúdos sobre documentos que evidenciam a conformidade, clicando aqui.
O quinto e último passo é a consolidação das correções realizadas, das políticas, normas e procedimentos estabelecidos. Nesta etapa, as cooperativas devem incorporar todas as diretrizes de políticas, normas e procedimentos nas novas atividades que passarem a realizar (considerando que, naquelas já mapeadas e corrigidas, tais diretrizes já estarão contempladas). Ainda, devem implementar procedimentos de auditoria contínua para os controles de governança estabelecidos para manutenção da conformidade (ex.: auditoria de terceiros, de cumprimento de prazos de retenção, de incorporação de cláusulas contratuais, de atualização dos documentos e etc.).
É recomendável que as reuniões do comitê de LGPD da cooperativa sejam realizadas com frequência, no mínimo, mensal. As políticas, normas e procedimentos talvez necessitem de atualização na medida em que os processos da cooperativa com dados pessoais sofram algum tipo de alteração ou na medida em que passem a ser realizados novos processos – o negócio, como você sabe, é dinâmico, novas atividades serão realizadas após a conclusão do mapeamento. É essencial, portanto, que as áreas e seus respectivos gestores informem ao encarregado pelo tratamento de dados pessoais sempre que as atividades já mapeadas sofrerem alteração de fluxo ou de outras características, assim como informem sobre novas atividades que passarem a ser realizadas.
Nesta fase, a cooperativa poderá realizar ações de educação, conscientização e comunicação, evidenciando as principais medidas implementadas e transformando o trabalho realizado em valor para o negócio.
O tema LGPD não se esgota, já que vários procedimentos precisam ser mantidos e atualizados para a cooperativa estar em conformidade. Com o passar do tempo, o programa de conformidade em proteção de dados pessoais irá ganhar corpo e maturidade. Até lá, não há outra alternativa: é preciso colocar as mãos na massa e envolver colaboradores, prestadores de serviço e parceiros de negócio nas medidas de adequação e manutenção da conformidade.
A LGPD estabelece que os dados pessoais e dados pessoais sensíveis só podem ser tratados se a atividade realizada estiver devidamente justificada com bases legais previstas em Lei. Entende-se as bases legais como justificativas para as atividades que utilizam os dados pessoais. Além disso, de acordo com a LGPD, obrigatoriamente, todas as atividades de tratamento de dados pessoais, acompanhadas das suas finalidades e bases legais, devem estar formalizadas noRegistro das Atividades de Tratamento de Dados Pessoais.
A LGPD conta com 10 bases legais regulamentadas para o tratamento de dados pessoais. São elas:
Consentimento;
Cumprimento de obrigação legal ou regulatória;
Pela administração pública, execução de políticas públicas;
Realização de estudos por órgão de pesquisa;
Execução de contratos ou diligência pré-contratual;
Exercício regular de direitos;
Proteção da vida;
Tutela da saúde;
Proteção do crédito; e
Legítimo interesse.
Atenção!
Para justificar atividades com dados pessoais sensíveis (confira a lista dos dados que são considerados sensíveis aqui), as bases legais são mais restritas. A possibilidade de justificar as atividades de tratamento com execução de contratos, legítimo interesse e proteção ao crédito, por exemplo, são excluídas. Por outro lado, é permitida a utilização da base legal de prevenção a fraudes.
Em regra, as cooperativas devem justificar as atividades que envolvem o tratamento de dados pessoais com a base legal legítima e vinculada à finalidade do tratamento dos dados pessoais . Nesse sentido, é importante lembrar que justificar irregularmente a atividade, ou seja, optar pela base legal irregular, por si só, caracteriza infração à LGPD.
Conheça as bases legais mais comuns para justificar as atividades realizadas com dados pessoais pelas cooperativas:
Consentimento do titular:
Quando o titular consente de forma livre, informada e inequívoca com determinado tratamento de dados pessoais, por meio de uma ação positiva (explícita) pela qual expressa sua concordância. Exemplo: quando a cooperativa realiza atividades de marketing ou trata dados pessoais de crianças e adolescentes pode utilizar esta base legal, desde que, antes da atividade, o consentimento seja coletado – nos casos de menores, dos pais ou responsáveis;
Cumprimento de obrigação legal ou regulatória:
A base legal pode ser utilizada quando os dados pessoais são coletados e tratados pelas cooperativas porque uma Lei ou Regulamento impõem que o tratamento ocorra. Exemplo: a coleta e compartilhamento de dados pessoais dos colaboradores com o e-social ou a realização de exames admissionais, demissionais ou periódicos.
Execução de contratos ou de procedimentos preliminares relacionados ao contrato:
Esta base legal deve ser utilizada quando há um contrato com o titular de dados pessoais que justifique a utilização dos dados pessoais ou, ainda, para ações que antecedem o contrato. Exemplo: quando os dados pessoais são utilizados para prestar serviços ou entregar produtos ao cliente ou ao associado.
Exercício regular de direitos:
Está é a justificativa legal quando os dados pessoais são tratados para buscar direitos que a cooperativa possui. Exemplo: defesas em processos judiciais trabalhistas movidos por ex-colaboradores ou para realizar cobranças judiciais de débitos relacionados a clientes pessoas físicas.
Proteção da vida ou da incolumidade física do titular ou de terceiros:
Quando os dados pessoais são utilizados pelas cooperativas com o propósito de proteger a vida ou integridade física das pessoas. Exemplo: quando dados pessoais de colaboradores são utilizados para atendimento médico após acidentes de trabalho ou quando colaboradores são submetidos a testagem para identificação de COVID-19.
Legítimo interesse:
Quando o tratamento de dados pessoais é realizado para obtenção de interesses da cooperativa e observa as legitimas expectativas dos titulares. Exemplo: quando são enviados e-mails de campanha de marketing aos clientes que já tiveram relacionamento com a cooperativa para possibilitar a oferta de novos produtos; e, ainda, monitoramento do ambiente físico por meio da gravação de imagem.
Proteção do crédito:
Quando o tratamento de dados pessoais é realizado para procedimentos relacionados à avaliação e proteção do crédito. Exemplo: quando a cooperativa utiliza dados pessoais para consultas aos bureaus de crédito (Serasa, SPC etc.) para verificação de eventuais restrições de crédito.
Para lembrar
A LGPD obriga que as bases legais sejam registradas em documento denominado de Registro das Operações de Tratamento de Dados Pessoais. A regra vale para todas as cooperativas independentemente do porte. Neste documento devem constar todas as atividades realizadas com dados pessoais, devidamente detalhadas e justificadas de acordo com as bases legais previstas em Lei.
Toda e qualquer informação, que possibilite a identificação de uma pessoa física, de forma direta ou indireta. A LGPD não traz uma lista de dados pessoais, limitando-se a indicar que são justamente todas as informações referentes a uma pessoa identificável ou identificada.
Podem ser considerados dados pessoais que identificam uma pessoa física de forma direta: nome, RG, CPF, CNH, CTPS, passaporte, título de eleitor, dados bancários, número de cartão de crédito/débito, e-mail, matrícula, registros profissionais, entre outros.
Além deles, são exemplos de dados pessoais que podem identificar uma pessoa física de forma indireta: endereço, telefone, gênero, nacionalidade, naturalidade, estado civil, profissão, peso, altura, entre outros.
O que são dados pessoais sensíveis?
Os dados pessoais sensíveis são expressamente definidos pela LGPD, ou seja, para esta categoria há uma lista. Há, ainda, uma série de regras específicas na LGPD que devem ser observadas quando dados pessoais sensíveis são utilizados pelas cooperativas.
São dados pessoais sensíveis:
a) Origem racial ou étnica (cor de pele, por exemplo);
b) Biométricos (reconhecimento facial e reconhecimento da digital, por exemplo);
c) Genéticos;
d) Dados relativos à saúde (atestados, CID, exames, prescrições médicas, laudos médicos, entre outros) ou vinculados à vida sexual;
e) Filiação à sindicato ou à organização de caráter religioso, filosófico ou político;
f) Opinião política;
g) Convicção religiosa.
IMPORTANTE: dados pessoais sensíveis devem ser utilizados nas atividades das cooperativas apenas quando extremamente necessários e com cuidado redobrado. A LGPD limita as possibilidades de justificativas para o tratamento de dados pessoais sensíveis, já que as bases legais para a regularização das atividades envolvendo esta categoria de dados pessoais são reduzidas.
O que significa tratamento de dados pessoais?
A LGPD estabelece que toda e qualquer atividade realizada com dados pessoais, tais como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, modificação, comunicação, transferência, difusão ou extração, são consideradas atividades de tratamento de dados pessoais.
Assim, qualquer ação realizada pelas cooperativas com dados de pessoas físicas é considerada “tratamento de dados pessoais”. Perceba, também, que inúmeras áreas das cooperativas realizam “tratamento de dados pessoais”, já que são inúmeras as ações realizadas com dados pessoais de associados, clientes, beneficiários, dirigentes, parceiros, visitantes e outros grupos de pessoas.
Mesmo nos casos em que, eventualmente, a cooperativa não colete e/ou armazene dados pessoais em seus ambientes físicos ou digitais, o simples fato de visualizar dados de pessoas físicas para uma finalidade determinada caracteriza uma atividade de tratamento de dados pessoais sujeita as regras da LGPD.
São exemplos de atividades realizadas pelas cooperativas que envolvem a utilização de dados pessoais e que, portanto, são consideradas “tratamento de dados pessoais”:
a) Comercialização de produtos e serviços;
b) Cadastro de associados, clientes ou beneficiários em sistemas;
c) Consulta de associados, clientes ou beneficiários cadastrados em sistemas;
d) Admissão de associados;
e) Realização de assembleias;
f) Emissão de orçamentos e pedidos;
g) Emissão de crachás, carteirinhas ou cartões;
h) Serviços de atendimento ao associado, cliente ou beneficiário;
i) Emissão de notas fiscais;
j) Formalização de contratos;
k) Envio de e-mails/sms para fins de marketing e publicidade;
l) Realização de eventos e treinamentos;
m) Seleção, admissão e demissão de colaboradores;
n) Controle de jornada de colaboradores;
o) Processamento de folha de pagamento de colaboradores;
p) Realização de exames obrigatórios de colaboradores.
Quem são os titulares de dados pessoais?
A LGPD denomina titulares de dados pessoais todas as pessoas físicas a quem os dados se referem – ou seja, cada um de nós é um titular de dados pessoais.
O termo titular é utilizado na legislação para enfatizar que os dados pessoais pertencem a pessoas físicas e não a cooperativas ou organizações que os utilizam.
As principais categorias de titulares de dados pessoais que têm seus dados pessoais tratados pelas cooperativas, são:
a) Associados;
b) Clientes e beneficiários;
c) Colaboradores e dependentes;
d) Dirigentes e conselheiros;
e) Prestadores de serviço pessoa física;
f) Terceirizados e temporários;
g) Visitantes.
São os dados pessoais destes grupos/categorias de pessoas que as cooperativas devem cuidar, garantindo que sejam utilizados de forma segura, justificada, informada/transparente e, na maioria das vezes, em regime de confidencialidade.
LGPD é a sigla da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18), em vigor desde setembro de 2020, e que estabelece regras para as atividades que envolvem o uso de dados pessoais (ou seja, informações de pessoas físicas).
Com a legislação específica sobre privacidade e proteção de dados pessoais, o Brasil tem mais facilidade no desenvolvimento de uma série de ações de comércio, cooperação e relacionamento com outros países.
A LGPD se aplica para cooperativas e outras organizações sem fins lucrativos, além de empresas, órgãos de representação, profissionais liberais e órgãos públicos que realizam coleta e tratamento de dados pessoais, ou seja, que desenvolvem atividades com dados pessoais, seja por meio digital (on-line, softwares, aplicativos, e-mails e outros) ou físico (documentos, termos e quaisquer outros registros em papel).
A Lei não se aplica, no entanto, para as atividades que envolvem dados pessoais com fins exclusivamente particulares e não econômicos (agenda particular de contatos ou o que as pessoas físicas fazem nas redes sociais para fins particulares, por exemplo), jornalísticos, artísticos, acadêmicos, de segurança pública, de defesa nacional, de segurança de Estado e de investigação ou repressão de infrações penais.
Importante: A LGPD também não se aplica para atividades realizadas com dados de pessoas jurídicas.
Quais os objetivos da LGPD?
- Proporcionar maior segurança jurídica e proteção às pessoas físicas que têm seus dados pessoais tratados/utilizados nas inúmeras relações que estabelecem na condição de associados, clientes, beneficiários, colaboradores, fornecedores, terceirizados, visitantes, entre outros;
- Assegurar aos indivíduos autonomia sobre seus dados pessoais e garantia dos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade;
- Trazer mais transparência para as relações que as pessoas mantêm com as cooperativas e outras organizações que utilizem seus dados pessoais para fins econômicos e, ainda, para prestação de serviços públicos;
- Alcançar uma série de direitos para as pessoas, dentre eles de prestação de contas, acesso, informações em geral, eliminação, revisão de decisões automatizadas, dentre outros.
A LGPD alcança estes objetivos a partir do estabelecimento de requisitos e condições que, obrigatoriamente, precisam ser respeitados quando dados de pessoas físicas são utilizados. São exemplos destes requisitos ou condições:
a) Informação explícita para as pessoas a respeito de quais atividades serão realizadas com seus dados pessoais;
b) Registro das bases legais válidas e regulares, relacionadas a cada uma das atividades, no registro de operações de tratamento de dados pessoais;
c) Implementação de medidas de segurança da informação;
d)Limitação do tratamento de dados pessoais ao mínimo necessário para que sejam alcançados os objetivos da atividade, dentre outros.
Importante destacar que a LGPD não proíbe que as cooperativas utilizem dados pessoais para o desenvolvimento regular dos seus negócios, mas obriga que tais atividades sejam realizadas seguindo uma série de procedimentos claros e objetivos, de forma justificada e em ambiente seguro.
Quem é a ANPD ?
A ANPD é o órgão da administração pública indireta (autarquia de regime especial), responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
Neste momento, a ANPD está editando e disponibilizando uma série de instruções e orientações para que as cooperativas e outras organizações se adequem à Lei. Além do papel orientativo, é de sua responsabilidade a aplicação de sanções, mediante apuração de episódios que possam caracterizar violação à LGPD.
A estrutura e informações sobre a Autoridade Nacional de Proteção de Dados podem ser obtidas no site institucional do órgão https://www.gov.br/anpd/pt-br.
O Conselho de Proteção de Dados do Cooperativismo (CPDC) realizou sua quarta reunião nesta terça-feira (12). O encontro contou com a participação de 30 membros do colegiados, entre titulares e suplentes, que abordaram temas relacionados à aplicação da Lei Geral de Proteção de Dados (LGPD) ao Sistema Cooperativista Nacional.
“Foi uma reunião muito produtiva e que evidenciou a importância que o tema da privacidade e proteção de dados tem para as entidades de representação nacional e estadual do cooperativismo. Conseguimos avançar nas nossas pautas de adequação e conformidade com a LGPD internas do Sistema OCB e pretendemos estabelecer uma rotina de constante avaliação dos nossos índices de maturidade em relação aos processos envolvidos com a lei”, explicou a presidente do Conselho, Ana Paula Andrade Ramos.
O colegiado debateu sobre a descontinuação da coleta de dados pessoais sensíveis no âmbito do sistema de Gestão de Desenvolvimento Humano (GDH), ferramenta utilizada pelo Sescoop, reforçou os conceitos de uma estrutura básica dos projetos de adequação à LGPD e principais entregáveis, além de definir temas para a elaboração de materiais informativos a serem disponibilizados na plataforma CapacitaCoop e outras ferramentas. Ao final, o grupo também revisitou o tema das avaliações de maturidade dos projetos de adequação à LGPD das unidades do Sistema OCB.
Segundo Ana Paula, é importante ressaltar que o trabalho do Conselho não se limita a zelar internamente pelos dados recebidos e tratados nas entidades do Sistema OCB. “Também temos como missão ser um órgão de conscientização e orientação para o cooperativismo sobre a LGPD e, por isso, estamos dedicados a mapear as necessidades e trabalhar na formulação de materiais de orientação e ações de capacitação que contribuam para a disseminação de conhecimento sobre o tema junto às nossas cooperativas”, afirma.
O conselho é composto por um representante de cada instituição que compõe o Sistema OCB (OCB, CNCoop e SESCOOP) e por um representante de cada Unidade Estadual, que podem também indicar suplentes.
Belo Horizonte (25/8/21) – A Lei Geral de Proteção de Dados (LGPD), nº 13.709, aprovada em 2018 e com vigência desde 2020, busca criar um ambiente de segurança jurídica, com a padronização de normas e práticas, a fim de promover a proteção, de forma igualitária, aos dados pessoais de todo cidadão que esteja no Brasil. E, a partir deste mês de agosto, a Autoridade Nacional de Proteção de Dados (ANPD) já pode aplicar sanções a empresas, cooperativas e organizações que não se adequarem ao que é proposto pela legislação.
Para explicar sobre o objetivo, a abrangência, os benefícios e as novidades que a lei traz para as cooperativas e para a sociedade, o Sistema Ocemg convidou o advogado, especialista em Direito da Proteção de Dados Pessoais, doutor e mestre em Direito pelas Universidade de Paris 2 Panthéon-Assas, Fernando Santiago. O profissional é sócio fundador do escritório Chenut Oliveira Santiago Advogados Associados e foi indicado pela Câmara dos Deputados para o Conselho Nacional de Proteção de Dados Pessoas (CNPD).
Qual é o objetivo e a abrangência da Lei Geral de Proteção de Dados (LGPD)?
O objetivo da Lei Geral de Proteção de Dados Pessoais é tornar o titular o verdadeiro mestre dos seus dados pessoais, invertendo a ordem na qual nos encontrávamos. Vale dizer que a LGPD não veio para impedir a atividade empresarial ou complicar a vida das empresas. Pelo contrário, uma pesquisa recente que fizemos pela Fundação Dom Cabral (FDC), da qual fui o coautor junto com o prof.
Dalton Sardenberg, revela que 60% das empresas afirmam que a LGPD traz valor para o negócio. Sobre a abrangência, trata-se de uma das raras leis brasileiras totalmente transversais, ou seja, ela atinge todo e qualquer ramo de atividade, seja ele empresarial, associativo ou cooperativo. A partir do momento em que alguém trata dados pessoais para fins não particulares ele está submetido à LGPD, independentemente da sua atividade e finalidade.
O que muda com a LGPD e quais são os benefícios para a sociedade?
A LGPD traz várias mudanças para as empresas, cooperativas e demais organizações que têm a obrigação de incorporar uma série de novas habilidades e rotinas que até então não lhes eram exigidas. As cooperativas devem, num primeiro momento, mapear todas as suas atividades que abordam dados pessoais e identificar as características desses tratamentos: que tipo de dados tratam, quais as categorias de titulares envolvidos, com quem são compartilhados, a que título esses dados são tratados (bases legais) etc.
Aquelas que já ultrapassaram essa fase devem trabalhar intensamente para implementar as mudanças eventualmente preconizadas e sobretudo evitar a obsolescência desse mapeamento, pois as coisas mudam muito rápido, por exemplo: basta a contratação de um novo software relacionado a uma atividade para que o registro de tratamento daquela atividade deva ser atualizado.
E os benefícios para a sociedade são imensos. Como a sociedade é formada por cidadãos, não seria um exagero dizer que ela está retomando o poder no que diz respeito à utilização dos seus dados pessoais. A gestão desses dados passa a ser mais transparente, dando oportunidade aos titulares de se oporem a determinadas práticas, no mínimo duvidosas.
Quais são os principais pontos de atenção para as cooperativas com relação à adequação à LGPD?
Muitas vezes o básico é o mais eficaz. O primeiro passo é realizar o mapeamento das atividades que tratam dados pessoais, criando uma “fotografia” da situação atual e identificando o que deve ser modificado para a adequação à lei. O segundo passo consiste em implementar o plano de ação traçado, o que, na grande maioria das vezes, é bem mais complexo do que parece, pois implica na mudança de processos e, sobretudo, na mudança de cultura muito grande.
Nessa parte do processo é muito importante trazer as competências para dentro da cooperativa – seja contratando internamente ou externalizando a sua execução por meio de uma consultoria, pois as dúvidas que surgirão nos próximos meses serão imensas. Não só pela novidade do tema, mas também porque as regras pertinentes estão em plena evolução, as resoluções normativas da Autoridade Nacional de Proteção de Dados (ANPD) ainda nem começaram a ser editadas. Os riscos de desvios de conduta por desconhecimento do tema são imensos e o sistema cooperativo não pode pecar por omissão.
Neste mês de agosto entram em vigor as sanções que serão aplicadas em caso da não conformidade com a Lei. Como irão funcionar a fiscalização e a aplicação dessas sanções?
A ANPD ainda não tem um quadro extenso de funcionários responsáveis pela aplicação das penalidades. Contudo, ela tem celebrado diversos acordos com outras entidades como Secretaria Nacional do Consumidor (Senacon), Conselho Administrativo de Defesa Econômica (Cade) e Programa Estadual de Proteção e Defesa do Consumidor (Procon), de forma a utilizar sua estrutura para alcançar os infratores onde eles estejam.
Teremos rapidamente uma melhor visibilidade da ação punitiva da ANPD, pois eles publicarão uma resolução normativa explicando os critérios que os guiarão no exercício dessa função. Uma coisa é clara: o sistema cooperativo brasileiro, que representa um segmento tão importante da economia, não pode esperar de braços cruzados. É preciso agir e rapidamente. (Fonte: Sistema Ocemg)
Brasília (14/4/21) – As cooperativas de crédito estão contribuindo com a construção do open banking aqui no Brasil. E, por isso, o Sistema OCB realizou nesta quarta-feira (14/4) o 2º Encontro Técnico sobre o assunto. O evento contou com a participação de representantes do Sistema Nacional do Cooperativismo de Crédito (SNCC) e, também, do Banco central. A primeira edição do evento ocorreu em janeiro.
O objetivo do evento foi apresentar o que tem sido feito em prol das cooperativas de crédito, no âmbito do Conselho Deliberativo do Open Banking. Vale dizer que se trata de um conjunto de regras e tecnologias que permitirá o compartilhamento de dados e serviços de clientes entre instituições financeiras, por meio da integração de seus respectivos sistemas.
Assim, a programação contou a apresentação do status geral da implementação do open banking no país, da evolução da infraestrutura e dos requisitos de segurança. Também debateu a experiência do usuário; o compartilhamento de dados e a comunicação com o mercado.
O presidente do Sistema OCB, Márcio Lopes de Freitas, reconheceu o empenho do Banco Central em criar um ambiente favorável ao debate das questões que envolvem esse novo jeito de consumir produtos e serviços financeiros.
Segundo ele, a participação das cooperativas está ajudando a construir um caminho seguro para que o open banking se torne realidade no país. “Esse processo – muito bem conduzido pelo Banco Central – é moderno, arrojado e conta com muita precaução. Aliás, essas são marcas da gestão do presidente Roberto Campos e sua equipe. Dessa forma, nós agradecemos por fazermos parte dessa construção”, comenta o presidente.
RELEVÂNCIA
O chefe do Departamento de Regulação do Sistema Financeiro, Denor João André Calvino Marques Pereira, enfatizou que o projeto do open banking é importantíssimo para o Banco Central, sobretudo devido à transformação digital dos últimos anos.
“O que vemos é algo que nunca aconteceu. É um volume grande de dados indo e vindo em alta velocidade. O acesso à informação está mais ágil e tudo isso muda a forma de relacionamento das pessoas e das empresas. E no Sistema Financeiro Nacional isso não é diferente. Por isso, com todo mundo se ajustado, é preciso ter um arcabouço de proteção dos dados dos clientes. E essa é a nossa função: organizar o ambiente para esse momento mais digital”, explicou.
COOPERADO
Atualmente, o SNCC é representado no Conselho Deliberativo do Open Banking pelos cooperativistas César Bochi e Márcio Alexandre. Para Bochi, um dos grades diferenciais das coops de crédito é sua capacidade incomparável de resiliência. “Tem muitas novidades vindo por aí. E quando a gente pensa que elas beneficiam o associado, as cooperativas se organizam, viabilizam formas de conseguir vencer os desafios e de estar à frente, competindo em tecnologias, já que o nosso atendimento atento ao associado é imbatível”, declarou.
OPEN BANKING
O princípio fundamental do open banking é o consentimento do usuário, ou seja, as empresas deverão, obrigatoriamente, compartilhar informações de um cliente (seja pessoa física ou jurídica), se ele solicitar e autorizar a transmissão dos dados para outra instituição.Não é um aplicativo que vai permitir o compartilhamento, nem um produto. Os clientes poderão pedir para suas instituições financeiras compartilharem seus dados, se assim desejarem, por meio dos aplicativos já existentes das respectivas instituições.
PAÍSES
Vale dizer que o open banking não é uma exclusividade do Brasil. O Reino Unido foi o pioneiro, ao implementar um sistema parecido em 2018, enquanto a Austrália implementou a primeira fase do seu programa em julho do ano passado, por exemplo. A Índia também já deu os primeiros passos para a criação do seu open banking.Além disso, países como Estados Unidos, Canadá e Rússia estão analisando maneiras de incorporá-lo aos seus sistemas financeiros.
BRASIL
No Brasil, de acordo com a Resolução Conjunta nº 1, do Banco Central, com data de 4 de maio de 2020, está previsto o compartilhamento de dados cadastrais, usados para abrir uma conta em banco, tais como: dados pessoais (nome, CPF/CNPJ, telefone, endereço, etc.); dados transacionais (informações sobre renda, faturamento no caso de empresas, perfil de consumo, capacidade de compra, conta corrente, entre outros); e dados sobre produtos e serviços que o cliente usa (informações sobre empréstimos pessoais, financiamentos, etc). Tudo sempre com o consentimento do usuário. O processo de liberação dos dados vai acontecer de forma gradual ao longo de 2021.
Porto Alegre (19/8/20) - O próximo webinar da edição 2020 do Seminário de Direito Cooperativo da Região Sul acontece no dia 20 de agosto, das 16h às 18h, totalmente online na Plataforma Teams. O evento é promovido pela Faculdade de Tecnologia do Cooperativismo (Escoop), em parceria com os Sistemas Ocergs, Ocepar e Ocesc, com o intuito de reunir os profissionais para tratar dos desafios do direito cooperativo na região Sul.
O primeiro evento tratou da Lei Geral de Proteção de Dados (LGPD) em Cooperativas, com o especialista em proteção de dados pessoais pelo EXIN e membro da Associação Internacional de Profissionais de Privacidade e Especialista em Contratos de Responsabilidade Civil, Cristhian Homero Groff.
O segundo trata sobre as principais mudanças conferidas aos contratos de trabalho por meio das Medidas Provisórias 927/932/936, no intuito de enfrentamento da pandemia Covid19, e como elas podem impactar positiva ou negativamente o cotidiano laboral das cooperativas. A palestrante será a doutora e mestra em Direito pela Pontifícia Universidade Católica do Paraná (PUCPR); especialista em Direito do Trabalho pela PUCPR, professora de Bases Legais do Cooperativismo do Programa da Pós-Graduação em Gestão de Cooperativas da PUCPR, Leila Andressa Disenha.
As inscrições podem ser realizadas AQUI e as vagas são limitadas. Após o preenchimento do formulário de inscrição, o participante receberá em seu e-mail um link de acesso ao evento na Plataforma Microsoft Teams.
Brasília, 25/6/2013 – Desde ontem (24/6), os usuários dos estados da Bahia, Rio Grande do Sul, Paraná, São Paulo, Pernambuco e Rio de Janeiro já podem fazer a solicitação do registro profissional via internet. A secretaria de Relações do Trabalho, do Ministério do Trabalho e Emprego, informa que o sistema Sirpweb, que permite fazer a solicitação do registro via web, on line, já estará disponível em todo país.
O sistema de gerenciamento e controle das informações dos registros dos profissionais das categorias regulamentadas por lei foi testado, de forma experimental, no Distrito Federal em 2012. A partir de 29 de abril deste ano o sistema foi disponibilizado, numa primeira etapa, para os estados do Acre, Alagoas, Amazonas, Amapá, Ceará, Espírito Santo, Goiás, Maranhão, Mato Grosso do Sul, Mato Grosso, Pará, Paraíba, Piauí, Rio Grande do Norte, Rondônia, Roraima, Santa Catarina, Sergipe e Tocantins. Nessa nova fase, com a ampliação para os outros estados, o sistema vai estár disponível em todo país.
Sirpweb - Por meio do Sirpweb, as solicitações de registro profissional podem ser feitas e acompanhadas on line, bastando o interessado informar seus dados e os relativos ao registro pretendido. O Sirpweb é um sistema de gerenciamento e controle das informações dos registros dos profissionais das categorias regulamentadas por lei. Essas categorias tem a obrigação de se cadastrarem no sistema para desempenhar suas atividades e o uso da ferramenta vai facilitar bastante quem utiliza esse serviço.
O MTE concede o registro profissional a 14 categorias: Agenciador de propaganda, artista, atuário, arquivista, guardador e lavador de veículos, jornalista, publicitário, radialista, secretário, sociólogo, técnico em espetáculos de diversões, técnico de segurança do Trabalho, técnico em arquivo e técnico em Secretariado.
Com a utilização do Sirpweb as, solicitações de registro profissional poderão ser feitas e acompanhadas on line. O interessado tem apenas que informar seus dados e os relativos ao registro pretendido. O sistema, que será disponibilizado nas páginas das Superintendências Regionais do Trabalho e Emprego, vai gerar um número de solicitação, discriminando a documentação que deverá ser protocolada na SRTE mais próxima do interessado. A partir de então todo processo poderá ser acompanhado pela internet.
Passo a passo 1. Preenchimento dos dados pessoais 2. Seleção da categoria profissional e dos documentos de capacitação; 3. Resumo para conferência dos dados informados; 4. Transmissão da solicitação; 5. Impressão da solicitação; e 6. Protocolo dos documentos na SRTE.
A campanha promocional “Escolha o seu prêmio com Purity” se encerra na próxima terça-feira (31/3). A iniciativa, desenvolvida pela Cocamar (PR), contemplará cinco participantes, com prêmios no valor de R$ 35 mil cada, num total de R$ 175 mil, sendo que o ganhador tem o direito de escolher de acordo com sua preferência: um automóvel, viagem à Europa, cozinha completa e sala de estar completa.
Para concorrer, o consumidor deve recortar seis códigos de barras das embalagens de néctar ou bebida à base de soja Purity de 1 litro, ou ainda 10 códigos de barras das embalagens de 200 ml de qualquer sabor. Elas devem ser enviadas, por meio de carta, juntamente com os dados pessoais, para a caixa postal nº. 1110, CEP: 87065-590 – Maringá/PR, respondendo a duas perguntas: 1ª) Qual a marca que dá prêmios para você escolher? (Purity). 2ª) E qual a sua escolha? (carro, viagem à Europa, cozinha completa ou sala de estar completa). As cartas deverão ser escritas à mão pelo participante e enviadas pelo correio, postagem simples, até 31 de março. Mais informações: www.escolhapurity.com.br. (Fonte: Cocamar)
"A mesa diretora da AGE foi composta pelo presidente da Ocesp, Edivaldo Del Grande, pelo vice-presidente Maurício Miarelli e pelo conselheiro fiscal João Bosco Ribeiro. Explanando sobre os motivos que levaram a diretoria a buscar novo imóvel, Del Grande salientou que a sede atual, na rua Correia Dias, Paraíso, adquirida na década de 80, cumpriu seu papel por um bom tempo. "Nos últimos anos, com o crescimento do número de cooperativas, principalmente no meio urbano, e com a intensificação dos programas do Sescoop, que atua conjuntamente com a Ocesp, e o conseqüente aumento do quadro funcional, o imóvel ficou aquém do necessário; precisamos de espaço mais amplo para abrigar uma estrutura adequada e necessária às demandas das cooperativas", disse o presidente. Del Grande salientou que há mais de um ano a diretoria da Ocesp estuda formas de ampliar o espaço físico. Ele apresentou à plenária uma oportunidade de negócio, envolvendo um prédio na rua 13 de maio, região central de São Paulo, com 10 andares e 6.718 metros quadrados de área construída. A compra da nova sede seria efetuada parte pela Ocesp e parte pelo Sescoop/SP. Pela plenária, houve várias manifestações de apoio à compra de um novo imóvel, prospectando sempre melhorar a estrutura para aprimorar a prestação de serviços às cooperativas. Eleito pelos participantes para conduzir a votação, Marcelo Cypriano, presidente da Cootraesp, acompanhado de Joaquim da Cruz Balthazar, presidente da Banescasa, e de Cristina Pompermayer, presidente da Coopermãe, decretou a aprovação para a compra da nova sede da Ocesp após o consentimento com aplausos da plenária.(Fonte:Ocesp) "
A falta de informação é o principal problema que impede as pessoas de doarem órgãos e tecidos. No Dia Nacional de Doação de Órgãos (27/9) profissionais do Complexo Unimed Chapecó, de Santa Catarina, e do Hospital Regional do Oeste (HRO) promoveram ações de conscientização com intuito de aumentar o número de doadores e sensibilizar a população sobre o que é ser doador de órgão, como proceder e a importância da doação para pessoas doentes.
Em Santa Catarina, 1521 pacientes estão à espera de doação de órgãos e tecidos sendo para córnea (1063 pessoas), rim (336), fígado (58), osso (31), medula óssea (22) e coração (11). Somente neste ano de 2006, 16 pessoas receberam transplante de rim. Na região do Oeste catarinense, por exemplo, foram realizados 62 transplantes de rim desde outubro de 2000 (quando foi implantado o serviço) e outras 36 pessoas estão à espera de doação de rim. Em Chapecó, o Hospital da Unimed e o Hospital Regional contam, cada um, com um centro de captação de órgãos. Os transplantes, apenas de rim, são realizados no HRO, que atende toda a região Oeste catarinense. Em 2005, realizou 11 transplantes e, em 2006, 19 transplantes.
Membro da Comissão Intra-hospitalar de Doação de Órgãos e Tecidos para Transplante do Hospital Unimed Chapecó e coordenador da atividade, o médico João Baroncello reforça que, para ser doador não é necessário deixar nada por escrito, mas é fundamental comunicar a família o desejo da doação. “Um dos grandes problemas é a indecisão e, em muitos casos, deixa-se de salvar vidas por falta do consentimento familiar”, acrescenta. O médico lembra ainda que a doação de órgãos ou tecidos pode ser feita em vida não comprometendo o funcionamento do organismo do doador.
A Associação Brasileira de Transplante de Órgãos (ABTO) avalia que o Brasil é o segundo país no mundo em transplantes realizados por ano, sendo mais de 90% pelo sistema público. Para uma instituição de saúde realizar um transplante é necessário credenciamento de equipe multidisciplinar no Ministério da Saúde. Para a notificação e informações sobre transplante em Santa Catarina, o estado conta com a central estadual em Florianópolis pelo telefone 08006437474 ou (48) 251 7299. (Fonte: Unimed Chapecó)