23 jul
2019

08 etapas para tornar sua análise compatível com a LGPD

Category:Blog, InfográficosTag: :

O Brasil é outro país com fortes regulamentações de privacidade de dados — especificamente, a Lei Geral de Privacidade de Dados do Brasil, também conhecida como LGPD. A partir de agosto de 2020, dará a mais de 210 milhões de pessoas novos direitos para acessar e controlar seus próprios dados e impactar o modo como as empresas gerenciam sua privacidade.

Você pode estar se perguntando como isso afetará seus negócios e as ferramentas que você está usando. Bem, se você resolveu as coisas com base no GDPR europeu, boas notícias: as leis são bem parecidas e você já fez muito do trabalho de base. Mas as duas legislações não são idênticas, por isso precisa verificar se marcou todas as caixas de conformidade.

E se por qualquer motivo você perdeu o frenesi pré-GDPR, confira abaixo 9 passos para preparar sua pilha de análises para LGPD.

1) Descubra se a lei se aplica a você

A LGPD se aplica a qualquer pessoa física ou jurídica, pública ou privada, que processa dados pessoais:

  • no Brasil;
  • com a finalidade de oferecer ou fornecer bens ou serviços no Brasil;
  • coletado no Brasil.

Assim como o GDPR, o LGPD tem escopo extraterritorial e será aplicado a qualquer negócio que atenda a esses critérios, independentemente de onde esteja sediado.

No entanto, a LGPD não afeta o processamento de dados realizado:

  • para fins estritamente pessoais;
  • exclusivamente para fins jornalísticos, artísticos, literários ou acadêmicos;
  • exclusivamente para segurança nacional, defesa nacional, segurança pública, investigação criminal ou punição.

Considerando que o Brasil é o quinto país mais populoso do mundo, é seguro assumir que quase todos os negócios com presença global terão que aderir à lei.

2) Verifique se você está coletando dados pessoais

A LGPD descreve dados pessoais como qualquer informação relacionada à uma pessoa natural identificada ou identificável. Da mesma forma que o GDPR, a lista inclui cookies (afinal, eles servem para identificar usuários). É por isso que é altamente provável que os dados coletados por meio de análises atendam à definição de dados pessoais. Voltaremos a este assunto mais tarde.

3) Indique um DPO

Na versão atual do LGPD, todo controlador de dados é obrigado a nomear o diretor de proteção de dados. O que é particularmente importante é que um DPO não precise ser uma pessoa natural. Isso significa que empresas, comitês e grupos de trabalho podem desempenhar o papel. Além disso, a posição do DPO pode até ser manipulada por terceiros.

É provável que regulamentações complementares esclareçam essa regra e estabeleçam exceções, mas por enquanto é assim que os requisitos se parecem.

4) Estabelecer uma base legal para coletar os dados

Se você sabe que está coletando dados pessoais e tem um DPO no lugar, é hora de encontrar um fundamento legal que lhe permita continuar a processar dados pessoais. A LGPD fornece 10 bases jurídicas diferentes para isso. Do ponto de vista comercial, dois deles merecem atenção especial: interesse e consentimento legítimos.

Interesse legítimo só pode ser uma base para o processamento de dados pessoais nos seguintes cenários:

  • apoiar e promover as atividades do controlador;
  • para proteção dos titulares de dados ou prestação de serviços que os beneficiam.

Para as empresas que não querem, não podem ou não têm medo de confiar no interesse legítimo ao coletar dados, o consentimento parece ser a solução correta a adotar.

5) Obter um mecanismo para coletar consentimentos

Vamos supor que você ficará com o consentimento como base para coletar dados pessoais. Assim como com o GDPR, o consentimento é entendido como um “pronunciamento livre, informado e inequívoco por meio do qual os titulares de dados concordam com o processamento de seus dados pessoais para um propósito específico”.

No contexto da análise, isso significa que, como proprietário de um site, você não pode simplesmente assumir que um usuário optou por aceitar os cookies usados ​​em seu site. É o que chamamos de consentimento implícito.

O usuário deve executar uma “ação afirmativa” positiva e explícita para sinalizar seu consentimento para o uso de cookies. Além do mais, eles podem concordar com apenas alguns cookies e rejeitar o resto.

O regulamento sozinho não especifica como coletar consentimentos. No entanto, existem várias soluções que funcionaram bem no âmbito do GDPR, incluindo os gerentes de consentimento. Há sistemas que fornecem um Gerenciador de Consentimento GDPR bastante útil, que também pode funcionar como um gerenciador de consentimento da LGPD.

6) Decida como você lidará com solicitações de dados sujeitos a novos direitos

Consentimentos são uma coisa. Os direitos dos titulares de dados são outra. O LGPD introduz nove novos direitos no sistema brasileiro de proteção de dados — mais do que no GDPR. A lista inclui:

  • confirmação da existência de processamento;
  • acesso aos dados;
  • correção de dados incompletos, imprecisos ou desatualizados;
  • anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos ou de dados tratados em desacordo com as disposições desta Lei;
  • portabilidade dos dados para outros prestadores de serviços ou fornecedores de produtos, a pedido expresso, e observando os segredos comerciais e industriais, de acordo com a regulamentação do órgão de controle;
  • a eliminação dos dados pessoais tratados com o consentimento dos titulares dos dados, exceto nos casos previstos no artigo 16 desta Lei;
  • informações das entidades públicas e privadas com as quais o controlador realizou o uso compartilhado de dados;
  • informação sobre a possibilidade de não dar consentimento e sobre as consequências da revogação da negação do consentimento;

O importante é que a lei lhe dá apenas 15 dias para processar solicitações de usuários (em comparação com 30 dias em GDPR).

No caso de empresas que operam em uma escala maior, você deve considerar a automação desse processo usando ferramentas dedicadas para lidar com solicitações de assunto de dados.

Parte das obrigações decorrentes das solicitações de usuários de dados também ficará com seus parceiros de negócios, incluindo os fornecedores de análise da web. Sua infraestrutura deve garantir que os dados possam ser livremente removidos, alterados, transferidos e, no caso da LGPD, também anonimizados. Continuaremos discutindo esse tópico na próxima etapa.

7) Avalie a conformidade do seu fornecedor de análise da web

Uma regra prática muito boa é nunca assumir que um parceiro de negócios opera em conformidade com qualquer lei de privacidade de dados. Mesmo que eles sempre tenham sido confiáveis ​​antes. Prova disso é a GDPR. Já faz um ano desde a sua promulgação e muitas empresas ainda não adotaram seus processos para os requisitos da lei. A lista inclui o Google. A empresa de propriedade do alfabeto foi processada várias vezes por vigilantes da União Europeia por violar os requisitos do GDPR.

E a LGPD também está entrando em vigor em pouco mais de um ano. Por isso, embora seja difícil esperar que seus parceiros de negócios tenham todos os seus patos seguidos, eles devem ter pelo menos algum roteiro de prontidão para LGPD em vigor.

Abaixo está uma lista de sinais que indicam que seu fornecedor leva os assuntos de privacidade a sério:

Eles nomearam um DPO

A versão final da lei ainda não está pronta. No entanto, o processamento de dados em uma escala tão grande — como com ferramentas de análise — provavelmente exigirá a nomeação de um DPO.

Eles estão dispostos a compartilhar responsabilidades com você

Seu DPO ou membros de uma equipe designada da LGPD devem falar com o DPO do seu parceiro e ter uma ideia clara de quais medidas foram tomadas em relação à conformidade com a nova lei. Sua atitude deve indicar que eles estão dispostos a compartilhar o fardo com você e facilitar suas tarefas relacionadas à lei.

Infelizmente, parece que a estratégia adotada por alguns fornecedores de análise da web (incluindo o Google Analytics) é livrar-se de todas as informações que podem ser classificadas como dados pessoais e obrigar você a anonimizar todas as informações coletadas usando sua ferramenta. Esteja avisado: isto não resolverá o problema!

Embora todos os seus dados sejam anonimizados, você não pode escapar do fato de que a ferramenta armazena um identificador online de visitante em um cookie. Esses tipos de identificadores são considerados dados pessoais em GDPR e você deve ter permissão dos usuários para processá-los.

Em outras palavras, você acaba com dados anônimos e ainda assim você tem que coletar consentimentos de usuários e processar solicitações de assunto de dados. Não é um grande negócio, é? Nessa situação, você pode considerar outra plataforma cuja infraestrutura facilitará o armazenamento de dados pessoais, o processamento de solicitações de assuntos de dados e o respeito aos direitos dos usuários.

Eles fornecem armazenamento de dados seguro

O artigo 33 da LGPD declara que a transferência internacional de dados pessoais é permitida somente nos seguintes casos:

  • para países ou organizações internacionais que fornecem o nível apropriado de proteção de dados pessoais previstos por esta Lei;
  • onde o controlador fornece e demonstra garantias de conformidade com os princípios, os direitos do titular dos dados e o regime de proteção de dados estabelecidos nesta Lei, na forma de:

– seções contratuais específicas para uma determinada transferência;
– seções contratuais padrão;
– regras corporativas globais;
– selos, certificados e códigos de conduta regularmente emitidos;

Isso significa que, se você ou seu parceiro estiverem localizados no exterior, eles deverão provar que podem fornecer um nível semelhante de segurança de dados ao exigido pelas empresas sediadas no Brasil (mais sobre isso no Artigo 46).

É um bom sinal quando eles estão em conformidade com os padrões internacionais de segurança, como o ISO 27001, ou foram auditados com êxito para segurança de dados por auditores externos. Se eles estiverem, você sabe que no mínimo têm uma estrutura básica de segurança de dados em vigor.

Uma solução igualmente boa será se o fornecedor lhe permitir manter os dados em seus próprios servidores ou em uma nuvem privada. Graças a isso, você poderá aplicar seus próprios padrões de segurança aos dados de análise.

Além disso, considere evitar scripts de terceiros em seu website. Nos últimos meses, eles foram um fator em várias violações de dados, portanto considere removê-los do ecossistema. Converse com seu fornecedor para descobrir se a ferramenta permite evitar esses tipos de scripts.

8) Assine um DPA

Se o seu parceiro de negócios apresentou alguma prova razoável de que fornecerá um nível de privacidade apropriado para os dados de seus usuários, agora é hora de assinar um contrato de processamento de dados com eles.

Esse contrato deve especificar os dados aos quais eles têm acesso, o escopo de uso desses dados e qualquer plano de conformidade existente que possa estar em vigor. Além disso, deve especificar as medidas técnicas e organizacionais que o seu fornecedor de análise da Web usa para proteger os dados pessoais de seus clientes.

Moda – Mídia social – Post
1
Olá
Podemos te ajudar?
Powered by
%d blogueiros gostam disto: