Guia para a ferramenta do Registro das atividades de processamento de dados

O Regulamento Geral de Proteção de Dados (GDPR) (Regulamento (UE) 2016/679) controla basicamente como os dados pessoais devem ser legalmente tratados (incluindo como são coletados, usados, protegidos ou interagidos em geral). O objetivo do GDPR é, portanto, fortalecer a proteção de dados para todas as pessoas cujas informações pessoais se enquadram em seu escopo, dando-lhes o controle total de seus dados pessoais.

Isso pode, no entanto, ser um desafio técnico em termos práticos. Isso se aplica principalmente no gerenciamento de conformidade de privacidade interna. Os usuários devem conseguir descrever quais dados coletam, para quais finalidades, as partes envolvidas e alguns outros detalhes incluindo dados de funcionários.

Se você está procurando por mais informações sobre o GDPR, por favor, dê uma olhada no nosso extenso guia GDPR.

Este guia mostra o passo a passo por dentro da nossa ferramenta de Registro das atividades de processamento de dados.

Observação: mesmo que o GDPR seja o principal motivo para incentivar o gerenciamento de privacidade interna nas empresas, nossa ferramenta não é feita apenas para o GDPR. Na verdade, ela pode ser usada para o gerenciamento de privacidade interna em geral, mesmo por empresas fora da UE que não trabalham com usuários ou clientes europeus.

Continue lendo ou assista ao tutorial completo.

Minha organização precisa manter registros das atividades de processamento sob o GDPR? 

O GDPR exige que controladores e processadores mantenham um registro das atividades de processamento. Esses registros precisam ser por escrito, inclusive em formato eletrônico. O IPM foi projetado especificamente para controladores e processadores para atender a esse requisito.

Caso solicitado, o registro das atividades de processamento precisa ser disponibilizado à autoridade supervisora.

O que significa o conceito de área?

Áreas são perímetros dentro dos quais as atividades de tratamento de dados são homogêneas. Exemplos de áreas são: seu site, aplicativo de celular, lojas físicas, funcionários, recrutamento, fábrica e etc. Para cada área, você pode fornecer uma descrição de como os dados estão sendo tratados, como você provavelmente já está fazendo com o nosso gerador de política de privacidade ou os termos do gerador de serviço para qualquer site. Em resumo, as áreas são replicações da entidade ‘site’ que estão conectadas umas às outras, que você pode criar à vontade.

Como os membros/funções são definidos?

Você pode adicionar membros e associá-los a uma função específica (como “controlador”, “processador” etc.) ou a uma área específica.

Ao associar, você pode escolher qual função o membro tem dentro das seguintes opções:

• Controlador: significa qualquer pessoa física ou jurídica envolvida na determinação da finalidade e das formas de tratamento de dados pessoais.
• Membro da organização do controlador: veja a lista de exemplos abaixo
• Processador: significa qualquer pessoa física ou jurídica envolvida no tratamento de dados pessoais em nome do controlador
• Titular (também referido como usuário): significa um indivíduo cujos dados pessoais são tratados por um controlador ou processador.

Por exemplo, uma empresa pode coletar informações do usuário em seu website e armazená-las usando serviços na nuvem de terceiros. Neste cenário, a empresa é o controlador dos dados e a organização que fornece os serviços na nuvem é o processador.

Você pode pensar nisso como um catálogo de endereços. Todos os atuais proprietários também são membros.

Por favor, esteja atento: os padrões que você coloca na seção membros da área, são aplicados por padrão a cada serviço.

Os seguintes membros estão disponíveis por padrão:

• Funcionários
• Usuários
• Usuários na UE
• Departamento de Marketing
• Departamento de RH
• Departamento Financeiro
• Departamento de Atendimento ao Cliente
• Departamento de Vendas
• Departamento de P&D
• Departamento de Desenvolvimento
• Departamento de Produto
• Departamento Jurídico
• Departamento de Relações Públicas
• Departamento de Inteligência

Como posso configurar serviços com os novos campos?

Sua política de privacidade tem que ser adaptada conforme as práticas de coletas de dados de seu site ou aplicativo. Você faz isso adicionando um serviço.

Os serviços são divididos em duas categorias:

• Serviços relacionados às suas próprias atividades de coleta de dados (por exemplo, formulários de contato)
• Serviços relacionados às atividades de coleta de dados por terceiros (como o Google Analytics)

Ao ponderar sobre quais serviços básicos adicionar à sua política de privacidade, pense nas seguintes questões:

• Quais dados de usuários coleto e como?
  (como formulários para newsletter, formulários de contato, sistema de comentários)
• Quais serviços de terceiros utilizo no meu site/aplicativo? Muito provavelmente, esses serviços também processam dados do usuário de alguma forma, portanto, devem ser incluídos em sua política de privacidade.

Na seção a seguir, passaremos pelos novos campos que lançamos para facilitar o gerenciamento interno de privacidade (você pode encontrar esses campos na janela de customização que aparece quando você adiciona um serviço). Isso será feito passo a passo para ajudá-lo na escolha da opção certa para sua situação pessoal.

Rótulo e Descrição

Esses dois campos são convenientes ao descrever o serviço escolhido. Um exemplo para um rótulo pode ser “DE data center” e a descrição correspondente pode ser “Data Center Frankfurt”.

Região

Este é um campo que só se aplica a alguns serviços onde você pode especificar se você está mantendo dados na UE. Um exemplo disso é “Amazon Web services” (muitas vezes abreviado como “AWS”).

Customizar dados pessoais

Um campo que apenas alguns serviços possuem, e permite especificar o tipo de dados pessoais coletados através desse serviço.

Base legal para o tratamento de dados

Segundo o GDPR, os dados podem ser tratados somente se houver ao menos uma base legal para o tratamento destes dados.

As bases legais são:

• O usuário deu consentimento para uma ou mais finalidades específicas.
• O tratamento de dados é necessário para a execução de um contrato ao qual o usuário aderiu, ou para a realização de ações (a pedido do usuário) preliminares à celebração do contrato.
• O tratamento é necessário para o cumprimento de uma obrigação legal à qual o controlador de dados está sujeito.
• O tratamento é necessário para proteger os interesses vitais do usuário ou de terceiros.
• O tratamento é necessário para o desempenho de uma atividade de interesse público, ou que se enquadre em uma autorização oficial concedida ao controlador dos dados.
• O tratamento é necessário para o legítimo interesse do controlador de dados ou de terceiros, a menos que prevaleçam os interesses, direitos e liberdades do usuário, em particular se o usuário for menor de idade.

Você pode selecionar entre as seguintes opções dentro da nossa ferramenta:

• Consentimento: Consentimento significa oferecer aos indivíduos escolha e controle. O consentimento genuíno deve colocar os indivíduos em controle, construir confiança, engajamento e melhorar sua reputação. Isso se refere a todas as ferramentas de rastreamento baseadas em cookies, para as quais você coleta consentimento através do banner de cookies.
• Contract: Tudo o que você precisa fazer para fornecer o serviço (hospedagem, etc). Você pode confiar nesta base legal se precisar tratar os dados pessoais de alguém:
  • para cumprir suas obrigações contratuais com eles; ou
  • porque eles pediram que você fizesse algo antes de entrar em um contrato (por exemplo, fornecendo uma cotação).
• Obrigação legal: Você pode confiar nesta base legal se precisar tratar os dados pessoais para cumprir uma lei comum ou obrigação legal. Isso pode se referir ao faturamento, por exemplo.
• Interesse vital: É provável que você possa contar com os chamados interesses vitais como sua base legal se você precisar tratar os dados pessoais para proteger a vida de alguém. Esse tratamento deve ser necessário. Se você puder proteger os interesses vitais da pessoa de outra forma menos intrusiva, essa base não se aplicará ao seu caso.
• Tarefa pública: Isso é mais relevante para as autoridades públicas, mas pode se aplicar a qualquer organização que exerça autoridade oficial ou realize tarefas do interesse público em geral.
• Interesse legítimo: Os interesses legítimos são certamente a base legal mais flexível para o tratamento, mas você não pode assumir que sempre será o mais apropriado para o seu caso. Seria mais apropriado utilizar os dados das pessoas de forma comum/esperada e que tenha um impacto mínimo na sua privacidade, ou onde há uma justificativa convincente para o tratamento.
• Dados de categoria especial: Dados da categoria especial são dados pessoais que, segundo o GDPR, são mais sensíveis e, portanto, precisam de mais proteção. Isso inclui, por exemplo, informações sobre etnia, religião ou saúde de um indivíduo.
• Dados de crimes: Para tratar dados pessoais sobre condenações ou delitos criminais, você deve ter uma base legal nos termos do artigo 6º e autoridade legal, ou autoridade oficial para o tratamento nos termos do artigo 10.

Base legal para a transferência de dados fora da UE

Isso se aplica apenas quando você está transferindo dados fora da UE.

Você pode escolher entre as seguintes opções:

• Nenhuma transferência de dados: autoexplicativo.
• Decisões de adequação: Uma decisão adotada pela Comissão Europeia com base na Diretiva 95/46/CE, que estabelece que um país fora da UE assegura um nível adequado de proteção de dados pessoais em razão de seu direito interno ou dos compromissos internacionais em que se assumiu.
• Regras vinculativas aplicáveis às empresas: As Regras vinculativas aplicáveis às empresas (BCRs) são projetadas para permitir que empresas multinacionais transfiram dados pessoais do Espaço Econômico Europeu (EEE) para suas afiliadas localizadas fora do EEE em conformidade com o 8º princípio de proteção de dados e o artigo 25 da Diretiva 95/46/CE. O procedimento foi projetado para evitar que você tenha que abordar cada autoridade individual de proteção de dados separadamente. Mais informações podem ser encontradas nos termos do artigo 47º.
• Garantias adequadas: Na ausência de uma decisão nos termos do nº 3 do artigo 45º, um controlador ou processador pode transferir dados pessoais para um país terceiro ou uma organização internacional, somente se o controlador ou processador tiver fornecido garantias adequadas e sob a condição de que os direitos aplicáveis sobre o assunto dos dados e os recursos legais eficazes para os sujeitos dos dados estejam disponíveis. Mais informações podem ser encontradas nos termos do artigo 46º.
• Consentimento: Consentimento significa oferecer aos indivíduos escolha e controle. O consentimento genuíno deve colocar os indivíduos em controle, construir confiança, engajamento e melhorar sua reputação. Isso se refere a todas as ferramentas de rastreamento baseadas em cookies, para as quais você coleta consentimento através do banner de cookies.
• Cláusulas padrão de proteção de dados adotadas pela Comissão da UE: A Comissão Europeia pode decidir que as cláusulas contratuais padrão oferecam garantias adequadas sobre a proteção de dados, para que os dados sejam transferidos internacionalmente. Até agora, emitiu dois conjuntos de cláusulas contratuais padrão para transferências de dados, de controladores de dados na UE para controladores de dados estabelecidos fora da UE, ou do Espaço Econômico Europeu (EEE). São elas a decisão 2001/497/CE e a decisão 2004/915/CE.
• Interesse público: Isso é relevante principalmente para o poder público, mas pode se aplicar a qualquer organização que exerça autoridade oficial ou realize tarefas do interesse público em geral.
• Estabelecimento, exercício ou defesa de reivindicações legais.
• Interesse vital: É provável que você possa contar com os chamados interesses vitais como sua base legal se você precisar tratar os dados pessoais para proteger a vida de alguém. Esse tratamento deve ser necessário. Se você puder proteger os interesses vitais da pessoa de outra forma menos intrusiva, essa base não se aplicará ao seu caso.

Aqueles relacionados ao tratamento de dados pessoais

Controlador
Significa qualquer pessoa física ou jurídica envolvida na determinação da finalidade e formas de tratamento dos dados pessoais.

Processadores
Significa qualquer pessoa física ou jurídica envolvida no tratamento de dados pessoais em nome do controlador.

Membros da organização do controlador
Um exemplo comum para isso são os funcionários da empresa/organização.

Titulares
Pode ser, por exemplo, os usuários do site ou aplicativo, visitantes de uma loja física ou clientes pagantes.

Direitos disponíveis

Em circunstâncias normais, assuntos que tenham “consentimento” como base legal para o tratamento, precisam ter todos os direitos selecionados. Nossa solução oferece as seguintes opções:

• Informações: Os indivíduos têm o direito à informação sobre a coleta e o uso de seus dados pessoais. Este é um requisito fundamental de transparência no âmbito do GDPR.
• Acesso: Os indivíduos têm o direito de acesso aos seus dados pessoais e informações complementares. O direito de acesso permite que os indivíduos estejam atentos e verifiquem a legalidade do tratamento.
• Retificação: O GDPR inclui o direito dos indivíduos terem dados pessoais imprecisos corrigidos, ou completar se estiverem incompletos. Um indivíduo pode fazer um pedido de retificação verbalmente ou por escrito.
• Exclusão: O GDPR introduz o direito de os indivíduos terem dados pessoais apagados (também chamado “direito ao esquecimento”). Os indivíduos podem fazer um pedido de exclusão verbal ou por escrito.
• Tratamento limitado: Os indivíduos têm o direito de solicitar a limitação ou supressão de seus dados pessoais. No entanto, isso não é um direito absoluto, e só se aplica em certas circunstâncias.
• Portabilidade de dados: O direito à portabilidade de dados permite que os indivíduos obtenham, e reutilizem seus dados pessoais para seus próprios propósitos em diferentes serviços. Ele permite que eles movam, copiem ou transfiram dados pessoais facilmente de um ambiente de TI para outro de forma segura, sem afetar sua usabilidade.
• Oposição: Os indivíduos têm o direito de se opor:
  • ao tratamento com base em interesses legítimos ou na realização de uma tarefa no interesse público/exercício da autoridade oficial (incluindo levantamento de perfil);
  • ao marketing direto (incluindo levantamento de perfil); e
  • ao tratamento para fins de pesquisas científicas/históricas e estatísticas.

Política de retenção

Este campo refere-se a quanto tempo os dados estão sendo armazenados. A opção padrão é “manter os dados para o tempo necessário para cumprir a finalidade” e deve ser aplicada à maioria dos casos. Caso contrário, você pode escolher entre um período de 1 até 5 anos.

Medidas de segurança

Exemplos comuns são o método de criptografia usado, ou avaliações de vulnerabilidade/testes de penetração, o que significa que seus sistemas técnicos devem ser testados periodicamente para avaliar a segurança e a resiliência de seus sistemas.

Outra medida importante é o chamado “backup e armazenamento de mídia de backup”, o que significa que é aconselhável manter a mídia de backup em um local específico, acessível apenas pelo pessoal autorizado. A segurança do local deve ser verificada pelo menos anualmente.

Também é recomendado instalar e manter um firewall. É aconselhável rever as configurações atuais, gerenciar permissões para usuários do sistema, verificar se o sistema está atualizado e finalmente prosseguir com a instalação em dispositivos portáteis. Ter um firewall em vigor, no entanto, não é nada de novo em relação ao GDPR e deve ser considerado como uma medida de segurança mínima já prevista pelas normas vigentes.

Na ferramenta você poderá escolher entre as seguintes opções:

• Criptografia: A criptografia é um processo amplamente utilizado pelo qual os dados são transformados em uma versão codificada e ininteligível, usando algoritmos e chave de criptografia, e pelo qual uma chave ou código de descriptografia permite que outros os decodifiquem novamente.
• Anonimização: A consideranda 26 do GDPR define dados anonimizados como “dados anônimos de tal forma que o sujeito de dados não seja ou não mais identificável.”
• Pseudonimização: Pseudonimização é a separação de dados de identificadores diretos para que, a vinculação a uma identidade não seja possível sem informações adicionais, mantidas separadamente. Isso pode, portanto, reduzir os riscos associados ao tratamento de dados, mantendo também a utilidade dos dados.
• Auditoria: Auditorias regulares de dados ao lado de revisões e exercícios de gerenciamento de dados são requisitos contínuos para manter a conformidade sob o GDPR.
• Limitação de acesso: Refere-se ao acesso limitado a quaisquer dados pessoalmente identificáveis coletados ou armazenados de qualquer indivíduo na União Europeia.

O que significa o botão “Adicionar alternativas”?

Para descrever o tratamento conforme exigido no GDPR, você deve ser minucioso ao descrever suas práticas de coleta de dados. Um cenário comum é o de um site com múltiplos formulários de contato, onde cada formulário é direcionado para diferentes indivíduos ou para o qual os dados são compartilhados com diferentes partes. Outro exemplo é ter duas newsletters diferentes para diferentes grupos de usuários ou clientes.

Nossa ferramenta de gerenciamento de privacidade interna, portanto, permite que você adicione diferentes versões do mesmo serviço.

Exemplos práticos

Vamos agora passar por uma série de exemplos específicos para tornar as informações acima mais práticas; incluindo nossas “opções alternativas”: