FAQ – Curso Introdução à LGPD

Participou do nosso curso de Introdução à LGPD, mandou dúvidas, mas ela não foi respondida ao vivo? Então confere nosso FAQ abaixo (clique na pergunta para visualizar as respostas).

Como vão conseguir provar que a informação vasou da minha empresa?

A empresa tem que ser proativa para saber se houve ou não o vazamento. Pois, caso haja um vazamento e ele seja descoberto primeiramente pelo titular do dado, haverá um grande dano à marca.

Como as empresas irão saber quem está ou não em conformidade com a LGPD, vai ter alguma certificação ou selo algo assim?

Não, não existe ainda nenhum selo. Mas o Compliance Manager entrega evidências que comprovam que a sua empresa está em compliance com os controles de segurança em proteção de dados.

O DPO precisa ser um advogado?

A lei não informa até o momento se o encarregado deve ser um advogado ou não. O que sabemos é que essa pessoa deve ser a interface entre a empresa e Agência Nacional de Proteção de Dados (ANPD), pois ele será o responsável por responder ao órgão quais medidas a empresa tomou para evitar determinada violação caso ela ocorra.

Como será nas questões de dados de pacientes?

Existe na lei um assunto específico para tutela da saúde, mas se a pergunta for se esses dados devem ser protegidos, a resposta é sim. Os hospitais devem entender dessa necessidade e mudar processos e procedimentos visando proteger os dados de seus pacientes.

Dentro das medidas técnicas básicas elencadas pela Lei está o registro de logs de tudo que acontece com os dados pessoais, até mesmo para comprovar a exclusão quando requerido pelo titular. Quais seriam os exemplos de softwares?

Se todos os arquivos processados pela empresa estiverem dentro do Sharepoint e nos aplicativos para suíte do Office 365, existe o Secure & Compliance que irá monitorar todo ciclo de vida dos arquivos.

O WSUS é o mais recomendado para gerenciamento de atualização?

Sim, mas há outras aplicações que precisam ser atualizadas que o WSUS não atende. Além do mais, se a empresa não tem políticas internas de padronização de ambiente fica supercomplicado, por isso prover Software como Serviço é uma grande opção para manter o ambiente sempre atualizado.

Eu gerencio um canal ético e recebo denúncias identificadas e anônimas na empresa. De acordo com a LGPD, quais cuidados devo tomar?

Sua empresa deve prover um ambiente seguro para evitar o acesso não autorizado dessas informações, pois havendo violação sua empresa poderá ser notificada e deverá informar quais as medidas técnicas adotadas para evitar esse tipo de incidente.

Como fica a responsabilização da empresa terceira e a minha caso dados de chamados sejam vazados? De quem é a responsabilidade? Da empresa terceira ou da contratante? Ou de ambas?

Ambas as empresas serão responsáveis. Mas não na mesma proporção.

Fico em dúvida se a criptografia atende a anonimização de dados porque os dados anonimizados não serão considerados dados pessoais, salvo quando o processo de anonimização ao qual foram submetidos for revertido. E com a criptografia você consegue reverter aí no caso ela atenderia a pseudonimização.

Sua ferramenta deve prover uma criptografia forte e com um gerenciamento das chaves. Como falamos, a lei não fala de ferramentas. Por isso, precisamos ter medidas técnicas para prover segurança de acessos não autorizados.

Como se dará essa parceria jurídica?

Para o compliance com a LGPD, a HSBS entra com know how em tecnologias e o conhecimento nas ferramentas Microsoft e um escritório de advocacia parceiro entrará com assessoria jurídica. Além disso, contaremos com uma empresa parceira para construção e otimização de processos.

A LGPD começará pelas empresas maiores?

Ela será aplicada para todas as empresas do Brasil que tenham dados pessoais, independentemente do porte.

E quanto aos órgãos públicos, quem deve ser o DPO? Não seria interessante um funcionário do órgão, por ter fé pública, estar familiarizado com os processos e uma responsabilidade “mais próxima” na entidade?

Órgãos públicos tem um capitulo diferenciado. Imagine um ministério da saúde sendo notificado e penalizado em 50 MILHÕES? esse dinheiro irá fazer falta em hospitais e postos de saúde, é uma questão superdelicada.

Qual o link do compliance do Azure?

Segue: https://aka.ms/AzureCompliance

Os profissionais liberais, professores, palestrantes, terapeutas etc…. como devem proceder quanto a LGPD?

Se existir uma atividade remunerada, o profissional precisa estar em compliance com a lei. Mas quando você faz, por exemplo, um trabalho para o seu vizinho sem cobrar, essa atividade não está passível de sansão. A lei também traz algumas exceções com o caso de empregados domésticos, entre outros.

Como é a aquisição? Posso utilizar esta ferramenta para prestar serviço para outras organizações? Como seria o licenciamento?

O Microsoft 365 é licenciado por uma assinatura por usuário e o contrato de uso é por organização.

Vocês recomendariam o SAM para as empresas para ajudar com a proteção contra as multas?

O SAM é recomendado para deixar o seu ambiente atualizado. Seu principal motivo é a empresa estar em compliance com a lei, com seu ambiente atualizado e vulnerabilidades reduzidas. O SAM entra em uma camada diferente da LGPD, onde a empresa estará legal.

Existe o Compliance Manager para o LGPD? Ou é apenas para o GDPR?

O Compliance Manager existe para leis vigentes e a LGPD ainda não está vigente, mas a ferramenta já trabalha com dados brasileiros, como RG e CPF. Se necessário, podemos agendar para conversar sobre isso. Caso haja interesse, gentileza enviar e-mail para marketing@hsbs.com.br.

É possível fazer o data mapping através do e-discovery?

O e-discovery é uma ferramenta que vem da suíte do Microsoft 365 que faz a descoberta de onde estão todos os arquivos no Office 365.

Qual o tipo de licença necessária para essa ferramenta de Compliance?

O Compliance Manager faz parte da suíte do Microsoft 365.

Em uma empresa de varejo, as informações de log com dados pessoais do cliente no PDV, a responsabilidade de proteger essas informações seria da empresa de software?

Se entendi, quem processa os dados é a empresa de varejo, a fábrica de software desenvolveu a aplicação, mas chegou para a empresa de varejo sem os dados. Nesse cenário, a empresa de varejo é o controlador dos dados e ela quem deve protege-los.

Em caso de prestação de serviços para empresas, como os direitos do titular são atendidos? Considerando uma situação em que o titular é o representante legal da empresa onde trabalha, ele pode solicitar seus dados pessoais, por exemplo, ao banco em que a empresa tem conta bancária?

A lei protege dados de pessoas físicas naturais, quando você fala de um prestador de serviço sendo ele pessoa jurídica ele não se enquadra na lei. Mas se você fala que sua empresa transfere dados pessoais para outra empresa, essa outra empresa será o seu operador, então em caso de vazamento dos dados tanto sua empresa quanto o seu operador terão que prestar esclarecimentos pelo ocorrido e os dois serão passiveis de sansão.

Gostaria de saber como fica a proteção de dados perante ao governo?

Todas as entidades terão de ter controle sobre os dados pessoais, incluindo as entidades públicas, mas a lei tem um tratamento diferenciado para esse tipo de instituição.

Qual o licenciamento necessário dentro do Office para obter essa ferramenta?

O Office365 faz parte de Microsoft365. Se você já tem o Office365, você pode migrar para o Microsoft365 Business ou Enterprise.

Como ficam as empresas que vendem mailing?

Vender mailing não é uma prática legal.

No caso de um parceiro que nos provê a locação de um firewall UTM, em caso de eventual vazamento (ou qualquer outra infração à LGPD) a responsabilidade será compartilhada? Seria possível prevermos em contrato, através de alguma cláusula, o compliance com a LGPD (no que tange ao serviço prestado pela contratada)?

É uma questão que tem que ser analisada mais a fundo, precisa saber se ele faz algum tipo de tratamento com os dados. Se ele só fez a locação e todo acesso e gerenciamento é feita pelo locatário, a empresa que locou não faz nenhum tratamento de dados. Reitero que é necessário analisar o caso.

O Compliance Manager consegue fazer proteção para pessoas em roaming?

O Compliance Manager irá ajudar na implantação dos controles processuais para atender a lei de proteção de dados, ele faz parte da Suíte do Microsoft 365. Na suíte há ferramentas que irão classificar os dados como pessoais e proteger esses dados onde quer que o funcionário esteja.

Um e-mail enviado ao destinatário errado é um vazamento?

Se esse e-mail conter dados pessoais, sim. Por isso as ferramentas de DLP são tão boas para ajudar as empresas nisso. Usando o Office 365 DLP, podemos criar uma política onde um e-mail contendo dados pessoais, vá para um endereço fora da organização, envie um alerta

Existe alguma exigência relacionada ao armazenamento de dado físico (impresso)?

Se o arquivo conter informações pessoais, ele deve ser protegido. É necessário haver uma cultura de segurança na organização com processos e procedimentos para toda empresa.

É possível contratar apenas a Microsoft para implementação dessas ferramentas, sem a assessoria jurídica?

Sim. No entanto, a Microsoft não fornecer serviços, apenas a ferramenta. Caso tenha interesse em evoluir com a conversa, gentileza entrar em contato pelo e-mail comercial@hsbs.com.br.

Existem em algumas empresas funcionários que levam os notebooks para casa, ou seja, acabam acessando a internet no Wi-Fi próprio. Existem riscos de comprometer a segurança dos dados?

Nesse caso, precisamos determinar ferramentas e procedimentos para prover segurança mesmo com o computador fora da nossa organização. Não podemos parar o negócio da empresa por causa da segurança, devemos prover segurança alinhada a estratégia de crescimento da empresa.

Como a ferramenta mapeia os dados sensíveis?

O eDiscovery é uma ferramenta que vem da suíte do Microsoft 365 que faz a descoberta de onde estão todos os arquivos no Office 365.

As empresas serão obrigadas a enviar informações periódicas aos órgãos controladores?

Como falamos, a empresa tem que ser proativa para saber se houve ou não o vazamento. Pois, caso haja um vazamento e seja descoberto primeiro pelo titular do dado, haverá um grande dano à marca. Após essa violação, como vimos, a empresa precisará apresentar as medidas técnicas tomadas para evitar o vazamento à Agência Nacional de Proteção de Dados. Nesse momento, a ANPD irá analisar e informar quais serão os próximos passos.

Essa lei se aplica à uma pequena empresa? exemplo: vazamento de dados dos seus colaboradores

Essa lei se aplica a todas as empresas que tenham tratamento de dados pessoais de brasileiros, independentemente do tamanho da empresa.

Aprenda mais:

Webinar: Tecnologias para ajudar no compliance com a LGPD
Diagnóstico do seu ambiente de TI, elaborado e gerenciado pela HSBS

Guias de boas práticas elaborado pelo Governo Federal
Ferramenta para relatório de impacto
Template de programa de segurança desenvolvido pela ANPPD

Quer saber mais? Cadastre-se para receber dicas e novidades sobre a LGPD.

Erro: Formulário de contato não encontrado.