LGPD - Governança: segurança e política empresarial

Da segurança e do sigilo de dados:

  • Selecionados os agentes de tratamento, estes devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (a autoridade nacional tende a criar regulamentações complementares e é necessário que o responsável pela equipe esteja sempre atento);
  • O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, em prazo a ser definido pela autoridade, que deverá conter: a descrição da natureza dos dados pessoais afetados; as informações sobre os titulares envolvidos; a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; os riscos relacionados ao incidente; os motivos da demora, no caso de a comunicação não ter sido imediata; e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo;
  • A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências;
  • Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais da LGPD (ou seja tudo tem que ser claro e detalhado e constar no termo de consentimento quais os dados estão sendo obtidos e para que);


Da política interna e das boas práticas de governança:

Somado à adaptação e cautelas que a empresa terá que adotar, deverá adaptar contratos e demais documentos, bem como é recomendável criar uma política de proteção de dados e implementar um programa de governança em privacidade que:

  • Demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
  • Seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
  • Seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
  • Estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
  • Tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
  • Esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
  • Conte com planos de resposta a incidentes e remediação;
  • e Seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;