Se a sua empresa trata dados conforme a Lei Geral de Proteção de Dados – ou LGPD -, você já deve ter ouvido os seguintes termos: política de privacidade, política de segurança e termo de confidencialidade, certo? Apesar de todos eles se referirem ao tratamento correto das informações, eles não são a mesma coisa.

Na verdade, cada um deles fala sobre um campo determinado dentro da LGPD e, além disso, eles são colocados em prática de maneiras um pouco diferentes. E é sobre isso que vamos falar hoje!

Políticas de privacidade: o que são e como colocar em prática? 

A Política de Privacidade é o documento que contém as práticas e medidas de Privacidade e Segurança adotadas por determinada organização. Seu objetivo é fornecer informações sobre como a empresa obtém, utiliza, armazena e protege os dados pessoais que coleta, a fim de levar transparência aos donos dos dados pessoais que possui.

Em linhas gerais, o objetivo da Política é fornecer informações sobre como a empresa obtém, utiliza, armazena e protege os dados pessoais que coleta, a fim de levar transparência aos donos dos dados pessoais que possui.

Quando você for montar o seu documento, alguns tópicos são essenciais segundo a LGPD e não podem ficar de fora. Para ajudar você, nós elencamos todos eles aqui. 

• Clareza e transparência: quantas Políticas de Privacidade você já leu na sua vida? A menos que você seja do mundo jurídico, a resposta deve girar em torno de zero. Muito disso vem da antiga concepção de que textos legislativos são chatos e difíceis de entender. 

No entanto, para resolver isso, a LGPD exige que nos termos da Política de Privacidade as informações apareçam da forma mais transparente possível, sem rodeios e de maneira acessível. 

• O que precisa aparecer no conteúdo: bem, não existe um padrão específico ou obrigatório para que empresas construam as suas Políticas de Privacidade. Contudo, alguns itens recomendáveis para a construção de uma boa Política de Privacidade são:

• Informações gerais sobre a empresa/organização;
• Informações sobre o tratamento de dados:
• Quais dados pessoais são coletados  (inclusive os dados não informados pelo usuário, como IP, localização, etc);
• Onde os dados são coletados (fonte);
• Para quais finalidades os dados são utilizados;
• Onde os dados ficam armazenados;
• Qual o período de armazenamento dos dados (retenção);
• Uso de cookies e/ou tecnologias semelhantes;
• Com quem esses dados são compartilhados (parceiros, fornecedores, subcontratados);
• Informações sobre medidas de segurança adotadas pela empresa;
• Informações sobre exercícios de direitos:
• Orientações sobre como a empresa/organização atende aos direitos dos usuários;
• Informações sobre como o titular de dados pode solicitar e exercer os seus direitos;
• Informações de contato do Data Protection Officer (DPO) ou encarregado de proteção de dados da organização.

Políticas de segurança: o que são e como aplicar na prática segundo a LGPD? 

Para você entender melhor o que são as Políticas de Segurança, que tal retrocedermos um pouquinho e darmos uma olhada nos conceitos de segurança da informação?

De acordo com a definição da norma ISO 27001, que estabelece as diretrizes gerais para a gestão da informação de uma empresa, segurança da informação nada mais é que o ato de proteger os dados da empresa contra diversos tipos de ameaças e riscos, como espionagens, sabotagens, incidentes com vírus ou códigos maliciosos e até acidentes, como incêndio e inundação.

A segurança da informação é, então, obtida pela implantação de uma gama de controles que incluem procedimentos de rotina (como as verificações de antivírus), infraestrutura de hardware e software (como a gestão de soluções para assinatura eletrônica de documentos), além da criação de uma política devidamente documentada.

Na hora de colocar em prática as suas Políticas de Segurança, fique atento aos seguintes princípios básicos, como:

a) Integridade: garantir a integridade significa adotar todas as precauções necessárias para que a informação não seja modificada ou eliminada sem autorização. Em outras palavras, que mantenha a sua legitimidade e consistência, condizente com a realidade.

Qualquer falha nesse quesito, seja por uma alteração, falsificação ou acesso irregular, gera a quebra da integridade. E a ruptura na integridade das informações também pode implicar impactos negativos de grande monta em uma empresa, sobretudo de grande porte, em que os dados e informações têm um valor ainda maior.

b) Disponibilidade: a relação da segurança da informação com a disponibilidade é basicamente a garantia de acesso aos dados sempre que necessário. Ou seja, é a possibilidade de os colaboradores e membros da organização acessarem os dados de maneira fluida, segura e eficiente.

No contexto corporativo, a disponibilidade das informações é matéria de extrema importância, visto que o negócio pode depender da disponibilidade dos seus dados e sistemas para fechar contratos, vendas e atender os clientes.

c) Confidencialidade: a confidencialidade, no contexto da segurança da informação, nada mais é do que a garantia de que determinada informação, fonte ou sistema é acessível apenas às pessoas previamente autorizadas a terem acesso.

Dessa forma, sempre que uma informação confidencial é acessada por um indivíduo não autorizado, intencionalmente ou não, ocorre o que se chama de quebra da confidencialidade. A ruptura desse sigilo, a depender do teor das informações, pode ocasionar danos inestimáveis para a empresa, seus clientes e até mesmo para todo o mercado.

Termos de Confidencialidade: o que são e como colocá-los em prática? 

Um acordo de confidencialidade, também conhecido como NDA (Non Disclosure Agreement), garante que as partes envolvidas mantenham sigilo sobre informações de qualquer tipo trocadas entre elas. O documento possui valor jurídico, portanto, sua quebra pode envolver processos legais. Existem dois tipos de documentos de confidencialidade:

Acordo unilateral

Neste tipo de acordo, apenas uma das partes fornecerá informações que não devem ser divulgadas pela parte receptora. Isso pode ocorrer, por exemplo, quando uma empresa apresenta um produto que será lançado para um possível cliente. O cliente deve assinar esse acordo para que as informações da reunião não sejam divulgadas.

Acordo bilateral

Já no acordo bilateral de confidencialidade, as duas partes devem manter sigilo sobre as informações trocadas. Um exemplo disso é quando duas empresas que pretendem realizar um projeto em parceria se reúnem para discutir o assunto. Sendo assim, nenhuma das partes poderá divulgar essas informações.

Em um acordo NDA padrão, as seguintes informações devem aparecer:

1 – Partes envolvidas no contrato: é preciso deixar claro quais as partes envolvidas. Além disso, é necessário descrever as pessoas ou empresas, bem como seus responsáveis, incluindo documentos e outras informações pessoais que identifiquem corretamente as partes.

2 – O que o contrato protegerá: também é preciso esclarecer qual o objeto será resguardado pelo termo de confidencialidade.

3 – Prazo ou tempo que o sigilo deve durar: no caso do tratamento de dados pessoas e sensíveis, aqui deve ser informado quando o tratamento terminará.

4 – Formas de descumprimento: esclarecer quais critérios são considerados descumprimenro do contrato, de acordo com a Lei Geral de Proteção de Dados.

5 – Penalidades em caso de descumprimento: como o documento tem valor jurídico, a quebra de contrato pode levar à justiça.

6 – Jurisdição: o contrato, ao final, deve mencionar em qual comarca que aquele acordo está firmado. Assim, estabelece-se um tribunal, em uma cidade, para julgamento da ação, caso isso se faça necessário.

No entanto, apesar de todas essas informações, nós aconselhamos você a contar com a ajuda de um advogado especialista para que tudo proceda corretamente, segundo a LGPD.

Coloque a LGPD em prática agora com o DataMappingLGPD

Se quiser saber mais sobre os nossos serviços, fique atento aos conteúdos do nosso blog. Agora, se você deseja assinar a nossa plataforma ou experimentar grátis por 30 dias, não perca tempo e entre em contato.  

---

O DataMappingLGPD ajuda as empresas a adotarem a legislação baseada na Lei Geral de Proteção de Dados, tendo como diferencial a especialização em tecnologia, gestão de banco de dados e gestão de riscos. Descubra tudo sobre segurança em gestão no site. Visite também as nossas redes sociais: LinkedIn e Instagram.