#technology – Moraes & Gonçalves

Desafios do DPO

Mega Advogado — Thu, 29 Feb 2024 12:47:56 +0000

O European Data Protection Board publicou sobre a “designação e posição do DPO”, excelente benchmark para organizações do #Brasil e também sobre o papel da Autoridade Nacional de Proteção de Dados.

Chama atenção o fato de 34% dos DPOs estão alocados na área jurídica/compliance, enquanto 8,4% estão na TI/SI. Além disso, nas habilidades desejadas, logicamente está a capacidade de cumprir a legislação de proteção de dados, mas também o conhecimento da legislação específica do setor de atuação da organização.

Outro ponto interessante é que, apesar do #WP29 já ter dito que o DPO é “pedra angular da conformidade”, ainda existe “uma falta de entendimento abrangente sobre a função do DPO como consultor independente”.

documento traz como pontos de atenção:
– Falta de designação de um DPO, mesmo quando obrigatório
– Insuficiência de alocação de recursos
– Falta de conhecimento e treinamento
– DPOs não estão encarregados das suas tarefas
– Falta de envolvimento sistemático do DPO nas organizações
– Conflito de interesses
– Falta de independência
– Falta de comunicação com o nível gerencial mais alto da organização

A partir desses itens, destaca-se:
a) O DPO precisa dos recursos para cumprir suas obrigações;
b) DPOs que representam muitos clientes e sua capacidade de desempenhar adequadamente suas funções;
c) Provimento de treinamentos e capacitações que permitam ao DPO estar atualizado com suas responsabilidades e funções;
d) Baixa porcentagem de respostas afirma “monitorar o desempenho das avaliações de impacto sobre a proteção de dados”, muito embora o DPO deva ter independência suficiente para avaliar a DPIA e seus resultados;
e) 8% afirmam que as recomendações do DPO nunca são seguidas;
f) 17% especificaram que o DPO participa do processo de tomada de decisão para o processamento de dados pessoais;
g) É dever do agente de tratamento garantir que o DPO atue sem conflitos de interesses;
h) A falta de controle do orçamento pelo DPO impacta a capacidade de priorização de tarefas;
i) Alguns DPOs não possuem acesso direto ao nível gerencial mais alto;
j) O DPO deve ter uma oportunidade explicitamente garantida e irrestrita de se reportar à alta gerência quando necessário.

Todos esses pontos são críticos e demonstram que o entendimento sobre o real papel do #DPO, mesmo na Europa, ainda carece de conscientização e efetiva atuação prática.

Analisando o que a #ANPD já publicou, como o Guia de Agentes de Tratamento e a Consulta Pública sobre o DPO, nota-se que as preocupações aqui são bastante semelhantes e a ANPD deve trilhar o mesmo caminho na correção dos trabalhos do Encarregado de Proteção de Dados.

Você empreendedor deve indicar um Encarregado em sua organização e precisa estar atento aos pontos de vulnerabilidade acima, pois podem ser tidos falhas no cumprimento da #LGPD e, consequentemente, acarretarem penalidades futuras.

Texto escrito por Guilherme Gonçalves Pereira, originalmente publicado no LinkedIn.

Estabilidade provisória – hipóteses e prazos

Mega Advogado — Wed, 31 Jan 2024 19:30:41 +0000

O tema da #estabilidade provisória de #colaboradores é recorrente nos âmbitos empresariais.

A legislação trabalhista prevê a estabilidade provisória como uma garantia ao trabalhador e tem como objetivo impedir que o empregado seja demitido de forma arbitrária em algumas situações específicas.

Abaixo listamos as hipóteses que geram estabilidade:

Acidente de Trabalho: o Acidente de trabalho se configura pela ocorrência de lesões ou perda da capacidade corporal, durante o desempenho do trabalho. Esta estabilidade inicia-se do momento da ocorrência e dura até o prazo de 12 meses após o término do auxílio-acidentário.

Gestantes: as gestantes possuem estabilidade desde o momento da confirmação da gravidez até 05 meses após o parto. Trata-se de uma das estabilidades mais fortes, visto que ela geralmente é reconhecida mesmo se a empregada já estava grávida antes da contratação, independe de tempo de trabalho na empresa e até mesmo com o pedido de demissão da própria empregada, a estabilidade pode ser reconhecida. Importante destacar que a força dessa estabilidade é baseada na proteção do feto, e não somente da gestante.

Membros da CIPA: os empregados integrantes da Comissão Interna de Prevenção de Acidentes, a famosa “CIPA”, possuem estabilidade empregatícia, que inicia-se já no momento de registro da candidatura e dura até um ano após o fim do mandato.

Dirigentes Sindicais: durante o período em que o trabalhador estiver no cargo de dirigente sindical, até um ano após o seu desligamento do cargo, é garantida a estabilidade ao empregado.

Greve: visando proteger o direito de manifestação dos empregados, os grevistas também possuem estabilidade, a qual começa com o início da greve e dura até um ano após a data de término da greve.

Assim como é importante que os trabalhadores tenham conhecimento de seus direitos, é de extrema importância que os empregadores também saibam as hipóteses e os detalhes de cada estabilidade provisória.

Desta forma, é possibilitado o planejamento sobre como agir em determinados casos, gerando menos transtornos e até mesmo evitando gastos desnecessários.

#legal #digital #riscos #risks #tecnologia #technology #inovacao #lgpd #gdpr #anpd #proteçãodedados #dataprotection #privacidade #privacy #dadopessoal #personaldata #cybersegurança #cybersecurity #direito #entretenimento #marca #propriedadeintelectual #inpi #propriedadeintelecutal #propriedadeindustrial #governanca #compliance

Texto escrito por Gustavo da Silva de Jesus, originalmente publicado no Linkedin.

Sua clínica/hospital trata dados dos pacientes da maneira correta?

Mega Advogado — Tue, 30 Jan 2024 14:55:05 +0000

Recentemente, a Data Protection Commission Ireland aplicou #multa de 460.000 Euros a uma Clínica Médica e Odontológica por violação aos #dados de pacientes e colaboradores (Decisão aqui: https://lnkd.in/dZHq2ktF).

Ao fim de 2019, a Clínica sofreu ataque de #ransomware – software de extorsão que pode bloquear sistemas e depois exigir dinheiro para desbloqueá-lo. Os crackers obtiveram o acesso, criptografaram os dados dos pacientes e solicitaram pagamento para devolução dos arquivos de dados.

Uma das razões para impor a #sanção administrativa foi a inadequação e perecimento da avaliação de #riscos realizada pela empresa.

Em análise do caso, percebeu-se que a documentação pertinente à identificação dos riscos à privacidade não estava adequada:

a) A última revisão periódica da infraestrutura de TI e rede em toda a organização havia ocorrido em maio de 2018 (1 ano e 7 meses antes do incidente);

b) Armazenamento de documentos em plataformas já inativas, o que teria ensejado a eliminação total dos dados armazenados na plataforma e;

c) Avaliação de proteção de dados realizada em dezembro de 2017 (2 anos antes do incidente).

Ou seja, a empresa defasou seu nível de segurança.

Para alcançar um nível de segurança adequado, a empresa deve ter a capacidade de garantir a confidencialidade, integridade e disponibilidade dos sistemas e serviços de #tratamento de dados.

Isso inclui a implementação de medidas adequadas de proteção, como senhas e #criptografia de dados em repouso, testes regulares de medidas técnicas, criação de #backups adequados e seguros dos dados pessoais, bem como medidas eficazes e abrangentes para restaurar todos os dados pessoais a partir dos backups em caso de #incidente, além da implementação de #firewalls.

É comum a crença de que #políticas e #procedimentos são suficientes a implementação de um nível adequado de segurança, conforme ocorreu nesse caso. Contudo, apenas tê-los não é suficiente para mitigar riscos aos #titulares de dados.

É responsabilidade do #controlador avaliar regularmente a eficácia das medidas. É necessário supervisionar continuamente e verificar como funcionários e terceiros aplicam as políticas e procedimentos estabelecidas, o que não se verificou nesse caso, ensejando a sanção administrativa de 460 mil euros.

E você, vai esperar o incidente se concretizar para tomar a atitude de realizar, aplicar, monitorar e avaliar procedimentos para garantir que as medidas de segurança sejam eficazes à proteção dos dados e que sejam suficientemente documentadas?

Texto escrito por Daniele Sousa, originalmente publicado no Linkedin.

#legal #digital #risks #tecnologia #technology #inovacao #lgpd #gdpr #anpd #proteçãodedados #dataprotection #privacidade #privacy #dadopessoal #personaldata #cybersegurança #cybersecurity #direito #entretenimento #marca #inpi #propriedadeintelecutal #propriedadeindustrial #governanca #compliance