DPO na Prática

Um espaço colaborativo para encarregados de proteção de dados

 Conteúdo de um programa de privacidade - DPO na Prática (dponapratica.com.br)




Conteúdo de um programa de
privacidade
23 de janeiro de 2023 Por Matheus Passos
O conteúdo de um programa de privacidade é um dos tópicos mais importantes para qualquer
organização, e é também uma das perguntas mais frequentes que recebo. Este texto fornecerá uma
visão geral dos componentes-chave de um programa de privacidade, incluindo os requisitos legais e
as melhores práticas que as organizações precisam considerar ao desenvolver e implementar seu
programa de privacidade. Quer você seja uma pequena empresa que está apenas começando ou uma
grande corporação que procura melhorar seu programa existente, o texto fornecerá valiosos insights
e orientação sobre os elementos essenciais de um programa de privacidade que são necessários para
proteger dados pessoais e cumprir com a legislação relevante.

O que é um programa de privacidade? De maneira bastante resumida, um programa de privacidade é

um conjunto de políticas, procedimentos e controles que uma organização coloca em prática para
gerenciar e proteger dados pessoais. O conteúdo de um programa de privacidade variará
dependendo do tamanho e complexidade da organização, mas ele deve geralmente incluir os
seguintes elementos:

 Política de Privacidade: uma política de privacidade clara, abrangente e atualizada que

delineia o compromisso da organização em proteger dados pessoais, descreve os tipos de
dados pessoais que a organização coleta, e como eles são coletados, usados e compartilhados.
Não se esqueça de que um documento abrangente que estabelece a abordagem geral da
organização para a proteção de dados, estando disponível internamente em uma organização.
Por outro lado, um aviso de privacidade é um documento que fornece informações
específicas sobre como os dados pessoais são coletados, usados e compartilhados em relação
a um serviço ou atividade específica. Geralmente este aviso é fornecido no ponto de coleta de
dados e é mais específico e detalhado do que uma política de privacidade.
 Avaliação de impacto à proteção de dados e plano de gestão de risco: uma avaliação de
impacto à proteção de dados (o RIPD no Brasil) é um processo para identificar e avaliar os
riscos associados às atividades de proteção de dados da organização. O principal objetivo de
um RPID é assegurar que quaisquer atividades de tratamento de dados novas ou existentes
não criem um nível de risco inaceitável para os direitos e liberdades dos titulares dos dados.
É importante que as organizações desenvolvam sua própria metodologia de avaliação de
risco com base em padrões internacionalmente reconhecidos, tais como ISO ou NIST. Isto
assegurará que a metodologia seja adaptada às necessidades específicas da organização e que
se alinhe com as obrigações de proteção de dados da organização. O RIPD deve ser seguida
por um plano de gerenciamento de risco que delineia os controles que serão implementados
 para mitigar os riscos identificados. Além disso, as organizações devem conduzir
regularmente o RIPD para assegurar que seu programa de privacidade esteja atualizado e
alinhado com as melhores práticas e regulamentos mais recentes.
 Procedimentos e controles: os procedimentos e controles referem-se às medidas técnicas e
organizacionais que as empresas estabelecem para garantir que cumprem com as
regulamentações e melhores práticas de proteção de dados. Estas medidas são concebidas
para proteger os dados pessoais contra acesso, uso, divulgação, alteração e destruição não
autorizados. Exemplos de tais procedimentos e controles incluem controles de acesso,
criptografia, planos de resposta a incidentes, monitoramento e relatórios regulares, políticas
de retenção de dados, privacy by design e by default, e gestão de risco de fornecedores.
 Resposta ao exercício de direitos: um dos componentes-chave de um programa de
privacidade é a capacidade de responder a pedidos dos titulares dos dados. As organizações
devem ter processos e procedimentos internos para lidar com os pedidos dos titulares em
relação aos seus dados pessoais. Isto inclui pedidos de acesso, retificação e apagamento de
dados pessoais, assim como objeções ao tratamento de dados. As organizações devem ser
capazes de receber, avaliar, responder e documentar estes pedidos de forma rápida e precisa.
Além disso, as organizações devem ter um processo em vigor para verificar a identidade do
requerente, e para fornecer uma resposta clara e concisa à solicitação, garantindo ao mesmo
tempo a confidencialidade e segurança dos dados pessoais durante todo o processo. Ao ter
um processo robusto para tratar as solicitações dos titulares dos dados, as organizações
podem demonstrar a conformidade com os regulamentos de proteção de dados e manter a
confiança de seus clientes e partes interessadas.
 Treinamento e conscientização: treinamento e conscientização é outro elemento central do
conteúdo de um programa de privacidade e refere-se às atividades que as organizações
empreendem para assegurar que os funcionários e outros interessados compreendam as
obrigações de proteção de dados da organização e como cumpri-las. Isto inclui educar os
funcionários sobre as exigências legais e as melhores práticas relacionadas à proteção de
dados, bem como fornecer-lhes as ferramentas e recursos necessários para desempenhar suas
funções em conformidade com os regulamentos de proteção de dados. Exemplos de
atividades de treinamento e conscientização incluem treinamento de proteção de dados,
campanhas de conscientização de privacidade, lembretes e atualizações regulares, simulação
de phishing e engenharia social, e treinamento de resposta a incidentes.
 Monitoramento e relatórios regulares: o monitoramento e a auditoria de conformidade são
componentes críticos de um programa de privacidade. Eles envolvem atividades contínuas
para assegurar que as políticas e procedimentos de proteção de dados da organização estejam
sendo seguidos e que a organização esteja cumprindo suas obrigações de proteção de dados.
Exemplos de monitoramento de conformidade e atividades de auditoria incluem auto-
avaliações e auditorias regulares, relatórios de conformidade, resposta e relatórios de
incidentes, auditorias de terceiros e melhoria contínua.
 Nomeação de um Encarregado de Proteção de Dados (Data Protection Officer – DPO):
um encarregado da proteção de dados (DPO) é uma pessoa que é responsável por assegurar
que uma organização esteja cumprindo as normas e melhores práticas de proteção de dados.
De modo geral, o papel do DPO inclui: aconselhar a organização sobre suas obrigações de
proteção de dados e melhores práticas; monitorar o cumprimento dos regulamentos e
melhores práticas de proteção de dados; oferecer treinamento e atividades de conscientização
para funcionários e outros interessados; comunicar-se com as autoridades reguladoras e
outros interessados; atuar como ponto de contato para clientes e outros interessados em
relação à proteção de dados; e avaliar e gerenciar os riscos de proteção de dados para os
titulares dos dados.
 Resposta a incidentes e gerenciamento de crises: resposta a incidentes e gerenciamento de
crises são componentes essenciais de um programa de privacidade. Eles envolvem os
 procedimentos e processos que uma organização possui para responder a possíveis violações
de dados ou outros incidentes que possam comprometer os dados pessoais. Exemplos de
atividades de resposta a incidentes e gerenciamento de crises incluem: plano de resposta a
incidentes; notificação e relatórios; perícia e investigações; contenção e recuperação;
comunicação e gerenciamento de crises; e testes e simulação regulares.
 Manutenção de registros: a manutenção de registros é um componente essencial do
conteúdo de um programa de privacidade. Ele envolve a manutenção de registros precisos e
atualizados das atividades de proteção de dados da organização, incluindo os tipos de dados
pessoais que são coletados, como são coletados, usados e compartilhados, e as medidas que
estão em vigor para proteger os dados pessoais. Exemplos de atividades de manutenção de
registros incluem: registros de atividades de tratamento de dados pessoais; registros de
medidas de proteção de dados; registros de treinamento e conscientização sobre proteção de
dados; registros de violações de dados; e registros de pedidos de titulares de dados.
 Cumprimento de outras legislações: A conformidade com outras legislações é um aspecto
importante de um programa de privacidade. Devido às transferências internacionais de dados,
as organizações podem estar sujeitas a uma variedade de legislações que afetam a proteção
de dados, tais como o RGPD e HIPAA, além do LGPD. As organizações devem garantir que
estejam em conformidade com todas as normas relevantes a fim de proteger os dados
pessoais e evitar penalidades. Exemplos de atividades de conformidade incluem: revisão e
compreensão da legislação relevante aplicável; identificação de requisitos regulamentares;
alinhamento de políticas e procedimentos; monitoramento e relatórios; e manutenção
constante de registros.
 Comunicação com as partes interessadas: as organizações devem manter as partes
interessadas informadas sobre suas atividades de proteção de dados, incluindo quaisquer
violações de dados ou outros incidentes, por meio de avisos de privacidade claros e concisos
ou por meio de atualizações regulares. As organizações também devem ter um processo em
vigor para comunicar violações de dados às autoridades reguladoras e pessoas afetadas, bem
como para se comunicar com clientes e outros interessados em caso de violação de dados ou
qualquer outro incidente que possa comprometer dados pessoais. Além disso, as
organizações devem ter um plano de comunicação em vigor para gerenciar os riscos de
reputação e legais associados a uma violação de dados, e fornecer treinamento regular e
atividades de conscientização para funcionários e outras partes interessadas.
 Melhoria contínua: um programa de privacidade não é uma iniciativa única, mas sim um
processo contínuo de revisão, avaliação e melhoria, que talvez seja a síntese do conteúdo de
um programa de privacidade. As organizações devem rever e avaliar regularmente seu
programa de privacidade para identificar áreas para melhoria, e implementar ações corretivas
para resolver quaisquer lacunas ou fragilidades. Isto inclui monitorar a eficácia do programa,
rever e atualizar políticas e procedimentos, e avaliar o cumprimento da legislação relevante
por parte da organização. Além disso, as organizações devem conduzir testes e simulações
regulares para assegurar que o plano de resposta a incidentes seja eficaz, e que os
funcionários estejam familiarizados com os procedimentos a serem seguidos no caso de uma
violação de dados. Ao melhorar continuamente seu programa de privacidade, as organizações
podem minimizar o risco de violação de dados e assegurar que estão cumprindo suas
obrigações de proteção de dados.
De maneira sintética, este é o conteúdo de um programa de privacidade. É importante observar que
um programa de privacidade deve ser adaptado às necessidades específicas da organização e deve
ser revisto e atualizado regularmente para assegurar que ele permaneça eficaz e continue alinhado
com as obrigações de proteção de dados e melhores práticas da organização. Além disso, ele deve
ser parte integrante da estrutura de governança geral da organização e não ser visto como uma
entidade autônoma. Ter um programa de privacidade bem estruturado pode ajudar as organizações a
cumprir as exigências legais, melhorar sua reputação, gerenciar efetivamente os riscos de
privacidade e garantir que os dados pessoais sejam usados de forma ética e responsável.

Leia o próximo texto da nossa série preparatória para a Maratona de Proteção de Dados – Ed.
Janeiro 2023: Como criar um programa de privacidade eficaz?

Vamos que vamos e #colanopapai!

CategoriasGovernançaTagsconscientização, direitos do titular, DPO, melhoria contínua, Programa
de Governança em Privacidade, relatório de impacto, RIPD, treinamento, violação de dados
Benefícios e desafios de um programa de privacidade
Como criar um programa de privacidade eficaz

Como criar um programa de privacidade

eficaz
24 de janeiro de 2023 Por Matheus Passos
Criar um programa de privacidade eficaz é essencial para qualquer organização que coleta, utiliza
ou trata dados pessoais. Um programa de privacidade abrangente ajuda as organizações a cumprir as
exigências legais, gerenciar os riscos à privacidade e manter a confiança dos clientes e partes
interessadas.

A preparação e uma abordagem estratégica organizada são sempre elementos-chave para navegar
com sucesso em um cenário em mudança como o atual. As necessidades de privacidade de cada
organização serão impactadas por uma variedade de fatores, incluindo tipo de negócio, presença
global, outros regimes e exigências regulatórias aplicáveis e abordagem geral de conformidade e
risco. No entanto, as etapas descritas abaixo ajudarão as empresas a se organizarem e terem uma
estratégia significativa para 2023 em termos de privacidade.

Faça um balanço do seu programa atual

Cada organização deve avaliar seu programa de privacidade pelo menos uma vez por ano. A melhor
maneira de conduzir esta avaliação variará, mas uma maneira útil de proceder é desenvolver um
questionário ou lista de verificação para ajudar a identificar onde as atualizações do programa de
privacidade podem ser necessárias. Independentemente da abordagem, a revisão precisa abordar
mudanças significativas nos fluxos de dados (por exemplo, a adição por uma empresa tradicional de
uma linha de negócios ou entidade voltada para o consumidor), presença geográfica, transformações
tecnológicas, tamanho – seja do ponto de vista do número de funcionários ou da receita – e outras
questões que impactam significativamente o perfil de privacidade da organização. As empresas
também precisam entender seu papel com relação aos dados pessoais (por exemplo, operador ou
controlador) para atender adequadamente às obrigações da legislação aplicável.

Estas informações são fundamentais para identificar atualizações ou mudanças necessárias para o
programa de privacidade e documentação subjacente. Tais atualizações frequentemente terão
impacto nos registros de tratamento/mapas de dados, políticas ou avisos online ou internos de
privacidade, termos de privacidade com prestadores de serviços ou parceiros comerciais, bem como
atualizações técnicas para facilitar os direitos novos ou atualizados do titular dos dados.
Dependendo das jurisdições envolvidas, mudanças mais significativas também podem exigir a
conclusão de avaliações de interesse legítimo, avaliações de impacto de proteção de dados, a
nomeação ou aprovação de um encarregado de proteção de dados e a emenda ou implementação de
acordos de transferência de dados intra-empresa.

Confirme quais leis se aplicam à sua organização

Além de entender o estado atual do programa de privacidade de sua organização, é importante
entender o que e como as leis de privacidade novas ou atualizadas podem se aplicar. Lembre-se de
que sua empresa pode estar sujeita a várias legislações de proteção de dados mesmo que atue apenas
no Brasil: esta será a situação caso, por alguma razão qualquer, a empresa realize transferências
internacionais de dados pessoais. Dependendo da situação a empresa estará submetida ao
Regulamento Geral sobre a Proteção de Dados da Europa ou a outras legislações de outros países,
como a California Consumer Privacy Act nos Estados Unidos. Tenha também atenção ao escopo
das legislações, ou seja, a que elas efetivamente se aplicam.

Seja flexível e antecipe novas mudanças

Com a escalada de mudanças nas leis de privacidade, as empresas devem se concentrar na
construção de um programa de privacidade que permita a inclusão de novas exigências de
privacidade como parte de um programa consolidado, em vez de uma abordagem que se limita a
atender a exigências específicas do país ou do estado. Ter seções separadas no seu aviso de
privacidade para a LGPD ou o RGPD, por exemplo, pode fazer sentido para muitas organizações
como abordagem inicial, mas quase certamente será mais viável para as empresas considerar a
transição para um programa mais neutro em termos geográficos (ou pelo menos de país ou região)
que atenda às exigências das novas leis estaduais e não necessariamente faça distinção entre
residentes de diferentes estados ou países. Com exceções onde for necessário, isto pode significar
fornecer informações sobre privacidade que atendam aos altos requisitos da legislação mais exigente
(ou seja, fornecer mais informações do que as exigidas em certos estados ou jurisdições) ou oferecer
um conjunto consolidado de direitos do indivíduo/consumidor mesmo que alguns ou todos esses
direitos não sejam exigidos por lei em um determinado lugar. Este não é um empreendimento fácil,
no entanto, e as empresas que se encaminham para esta abordagem consolidada precisarão ter
certeza de que podem e cumprirão qualquer promessa de privacidade que fizerem aos indivíduos,
mesmo que tais promessas não sejam obrigatórias por lei.

Conecte-se antecipadamente e com frequência com as principais

partes interessadas
As equipes de privacidade não podem abordar novas leis de privacidade no vácuo sem a assistência
crucial de muitas outras partes interessadas em toda a organização (TI, RH, jurídico, marketing,
etc.). Como muitas das próprias equipes de privacidade, essas diferentes equipes comerciais são
frequentemente sobrecarregadas – tanto do ponto de vista de recursos como do orçamento – e
podem ficar frustradas com os contínuos pedidos de assistência após os pesados esforços exigidos
pela LGPD. Portanto, as equipes de privacidade devem realmente planejar com antecedência para
identificar as principais partes interessadas para as próximas atualizações e se engajar com elas com
antecedência para compreender quais podem ser as prioridades concorrentes no horizonte e se
existem prazos-chave que devem ser considerados (por exemplo, um prazo para fazer mudanças
técnicas no sistema próximo ao final do ano ou uma transição para um novo provedor de website
que irá prever mudanças no website durante um determinado período). Lembre-se de que criar um
programa de privacidade eficaz envolve todas as áreas da empresa atuando em conjunto.

Preste especial atenção aos cookies e à estratégia adtech

Poucas questões estão criando mais incerteza no momento do que aquelas relacionadas ao uso de
cookies e tecnologias similares, particularmente para publicidade comportamental online ou tipos
similares de rastreamento e perfilagem de consumidores. As empresas têm lutado para implementar
soluções técnicas significativas (por exemplo, um gestor de cookies) para atender aos requisitos de
opt-in da LGPD. As organizações são obrigadas a cumprir com as exigências legais, mas os
reguladores ainda não forneceram orientações significativas sobre como isto pode ser realmente
realizado. Esperamos que os regulamentos pendentes forneçam orientações específicas e acionáveis
nos próximos meses. No entanto, enquanto isso, as empresas devem começar a entender o que
realmente implantaram em seus websites e aplicativos móveis e dar início ao processo de determinar
como fornecerão aos consumidores o controle necessário sobre tais tecnologias (por exemplo, um
opt-out universal através de um botão Do-Not-Share, um opt-in para certos ou todos os cookies não
essenciais ou uma limitação potencial do uso de cookies para ajudar a diminuir as obrigações de
conformidade). Iniciar o processo agora aliviará significativamente o fardo dos próximos passos,
uma vez que o caminho real para a conformidade esteja mais claro.

Desenvolver uma abordagem para atualizações contratuais

Muitas organizações se engajaram em atualizações de tempo e mão-de-obra intensiva de seus
acordos a fim de cumprir as obrigações da LGPD. Embora os termos abrangentes de privacidade e
segurança devam geralmente tratar das exigências das leis de privacidade pendentes, será
importante revisitar os modelos para fazer os ajustes adicionais necessários para que sejam
suficientemente amplos para cobrir novos estados ou países. As equipes de privacidade devem
trabalhar com suas equipes de compras e outras equipes para garantir que quaisquer modelos
atualizados sejam incluídos no processo de contratação e que eles estejam se conectando com os
principais provedores de serviços com antecedência para entender como e quando eles estarão
adaptando seus próprios termos (já que muitos provedores maiores exigem que os clientes usem
seus termos de privacidade com alterações limitadas ou sem alterações). As organizações que atuam
como prestadores de serviços devem, da mesma forma, identificar quaisquer atualizações adicionais
e se comunicar antecipadamente com os clientes para suavizar quaisquer atualizações e evitar um
dilúvio de demandas de última hora.

Não existe uma maneira “certa” de criar um programa de privacidade eficaz para se preparar para
novas leis de privacidade. No entanto, os passos acima descritos se destinam a ajudar as empresas a
moldar a abordagem que é certa para elas. A longo prazo, se organizar e realmente trabalhar para
construir um programa de privacidade que antecipe as mudanças abrirá o caminho para um esforço
mais maduro e eficaz em geral.

Criar um programa de privacidade eficaz é um processo contínuo que requer o compromisso de

todas as partes interessadas. Seguindo estas etapas-chave, as organizações podem desenvolver e
implementar um programa de privacidade adaptado às suas necessidades específicas e que seja
eficaz na proteção de dados pessoais e no cumprimento das exigências legais.

E sua empresa, já sabe como criar um programa de privacidade eficaz?

Leia o próximo texto da nossa série preparatória para a Maratona de Proteção de Dados – Ed.
Janeiro 2023: Como monitorar e gerir um programa de privacidade?

Vamos que vamos e #colanopapai!

Para saber mais:

 Steps for building a privacy program, plus checklist

 5 Key Steps to Developing Your Global Data Privacy Program
Adaptado de 2023 here we come: How to prepare your privacy program. Acesso em 24-Jan-2023.

CategoriasGovernançaTagsanálise de risco, confiança, conscientização, cookies, gap
analysis, legislação, Programa de Governança em Privacidade
Conteúdo de um programa de privacidade
Monitorar e gerir um programa de privacidade