Tag: cultura de proteção

Publicado em por Deixe um comentário

A RESPONSABILIDADE DE CONTROLADORES E OPERADORES NO TRATAMENTO DE DADOS

Desde que entrou em vigor, a Lei Geral de Proteção de Dados Pessoais (LGPD) passou a demandar um olhar mais atento das empresas em relação ao tratamento de informações de seus clientes, usuários e colaboradores. No entanto, um ponto ainda gera dúvidas ou é frequentemente negligenciado: a responsabilidade compartilhada entre os diversos agentes que participam do tratamento de dados, especialmente entre controladores e operadores.

A LGPD define o controlador como a pessoa natural ou jurídica que toma as decisões sobre o tratamento de dados pessoais. Já o operador é quem realiza o tratamento em nome do controlador, mediante suas instruções. Essa divisão, no entanto, não representa uma separação rígida de responsabilidades. Ao contrário, a legislação estabelece que ambos respondem pelos danos causados a terceiros quando não observam a legislação ou não garantem a segurança adequada das informações tratadas.

É nesse ponto que entra a corresponsabilidade. Quando uma empresa contrata um prestador de serviços que lida com dados pessoais em seu nome — como um sistema de gestão, uma consultoria de marketing ou um fornecedor de TI —, ela continua responsável por assegurar que esse parceiro cumpra a LGPD. A empresa deve adotar critérios técnicos e jurídicos na escolha de seus operadores e manter uma relação contratual clara, com cláusulas específicas sobre proteção de dados, obrigações de confidencialidade e medidas de segurança.

Por outro lado, os operadores também têm deveres próprios. Não basta alegar que estão apenas seguindo ordens do controlador. Eles devem adotar boas práticas, registrar suas atividades, manter canais de comunicação sobre incidentes e demonstrar que atuam com diligência. A falha de um operador, se relacionada ao tratamento de dados, pode recair diretamente sobre o controlador — e vice-versa.

A relação entre controladores e operadores deve ser construída com base na transparência, cooperação e responsabilidade mútua. Isso inclui auditorias, avaliações de impacto, treinamentos conjuntos e uma cultura organizacional que valorize a proteção de dados como parte integrante da atividade empresarial.

A LGPD não é um tema isolado de departamentos jurídicos ou de tecnologia. É um compromisso coletivo, que ultrapassa os limites formais da empresa e alcança toda a cadeia de parceiros. Tratar dados com respeito e responsabilidade não é apenas um dever legal, mas um sinal de maturidade nas relações comerciais e de cuidado com as pessoas cujas informações estão sob nossa guarda.

Se os dados são compartilhados, a responsabilidade também deve ser. Essa é uma premissa que precisa estar presente em cada contrato, em cada processo e, sobretudo, em cada decisão de negócios.

Publicado em por Deixe um comentário

VOCÊ CONHECE OS DADOS QUE SUA EMPRESA TRATA? TRATAMENTO DE DADOS SENSÍVEIS EXIGE ATENÇÃO E PODE GERAR PENALIDADES

A rotina de qualquer empresa envolve, de maneira direta ou indireta, o tratamento de dados pessoais. Informações como nome, telefone e endereço são frequentemente armazenadas em cadastros e sistemas internos. No entanto, há um conjunto específico de dados que exige atenção diferenciada: os chamados dados pessoais sensíveis.

A Lei Geral de Proteção de Dados (LGPD) define como sensíveis as informações relacionadas à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. São dados que, se mal utilizados ou expostos, podem causar discriminação ou prejuízos significativos ao titular.

A responsabilidade da empresa que coleta e trata esse tipo de dado é mais rigorosa. A legislação impõe não apenas a necessidade de consentimento específico e destacado para esse tratamento, como também exige medidas técnicas e organizacionais capazes de garantir a segurança dessas informações.

Não se trata de burocracia: é uma questão de respeito ao direito do outro, de ética e também de proteção jurídica. Empresas que negligenciam a coleta e o tratamento de dados sensíveis podem ser alvo de fiscalizações, responder a processos administrativos e judiciais e, mais do que isso, sofrer sanções que vão desde advertências até multas que podem alcançar até 2% do faturamento anual da empresa, limitadas a R$ 50 milhões por infração.

Um ponto importante, muitas vezes ignorado, é a ausência de clareza sobre quais dados estão sendo coletados e com que finalidade. O simples fato de a empresa não saber exatamente o que armazena já configura risco. Ter um mapeamento claro, com base legal definida, política de privacidade atualizada e contratos com fornecedores adequados à LGPD, é o mínimo esperado de qualquer organização que deseja agir com responsabilidade.

A proteção de dados não se resume a tecnologia. Envolve governança, processos bem definidos e cultura organizacional. O que está em jogo é a confiança dos seus clientes, parceiros e colaboradores – confiança essa que se constrói com transparência e respeito.

Publicado em por Deixe um comentário

TRÊS FALHAS COMUNS NA PROTEÇÃO DE DADOS QUE PODEM GERAR PARA MULTAS

A proteção de dados pessoais deixou de ser uma recomendação técnica para se tornar uma obrigação legal. Ainda assim, muitas empresas continuam negligenciando práticas básicas exigidas pela Lei Geral de Proteção de Dados (LGPD). O descuido, quase sempre motivado por uma falsa sensação de segurança ou por uma gestão despreparada, pode levar a sanções administrativas, processos judiciais e, principalmente, à perda da confiança dos clientes.

A seguir, destacamos três práticas frequentemente ignoradas pelas organizações — até que uma fiscalização ou incidente revele o erro.

1. Falta de registro das operações de tratamento de dados

Toda empresa que trata dados pessoais precisa manter um registro atualizado de suas atividades. Isso inclui saber quais dados são coletados, para qual finalidade, com quem são compartilhados e por quanto tempo são armazenados. Ainda que não seja exigido um software sofisticado, o mapeamento deve ser documentado e revisado periodicamente.

Um caso emblemático ocorreu em 2023, quando uma rede de clínicas odontológicas foi multada pela Autoridade Nacional de Proteção de Dados (ANPD) por não comprovar o mapeamento de dados de seus pacientes. A empresa alegou tratar apenas informações básicas, mas não conseguiu demonstrar controle sobre os dados armazenados, nem justificar o tempo de retenção.

2. Ausência de política clara de descarte de dados

Guardar dados “por precaução” é uma prática antiga e equivocada. A LGPD determina que os dados pessoais devem ser eliminados ao fim de seu tratamento, salvo obrigação legal ou regulatória que justifique sua conservação. Ainda assim, muitas empresas não possuem uma política clara de descarte ou anonimização.

Em 2022, uma loja virtual de médio porte foi notificada após uma violação de segurança expor dados de clientes inativos há mais de cinco anos. A investigação revelou que a empresa não realizava qualquer processo de descarte. O resultado foi um processo administrativo, retrabalho técnico e a perda de uma certificação ISO que a empresa havia conquistado meses antes.

3. Treinamento insuficiente (ou inexistente) dos colaboradores

Uma empresa pode investir em sistemas de segurança robustos, mas bastará um e-mail mal encaminhado ou um pendrive conectado indevidamente para comprometer todo o esforço. A falta de treinamento regular dos colaboradores é uma das principais falhas observadas pela ANPD.

Um banco de médio porte, em 2021, sofreu uma notificação após um funcionário compartilhar, por engano, uma planilha com dados bancários de clientes via e-mail externo. Embora o erro tenha sido humano, a ANPD entendeu que a instituição falhou ao não treinar sua equipe para lidar com dados pessoais de forma segura.

A proteção de dados exige responsabilidade contínua. Ignorar práticas básicas pode parecer inofensivo no dia a dia, mas se revela um erro dispendioso quando o problema já está instalado. Implementar boas práticas não é apenas uma medida de conformidade: é uma forma de demonstrar respeito pela privacidade e confiança do seu cliente. E isso, definitivamente, não se improvisa.