O Regulamento Geral de Proteção de Dados (GDPR) (Regulamento (UE) 2016/679) controla basicamente como os dados pessoais devem ser legalmente tratados (incluindo como são coletados, usados, protegidos ou interagidos em geral). O objetivo do GDPR é, portanto, fortalecer a proteção de dados para todas as pessoas cujas informações pessoais se enquadram em seu escopo, dando-lhes o controle total de seus dados pessoais.
Isso pode, no entanto, ser um desafio técnico em termos práticos. Isso se aplica principalmente no gerenciamento de conformidade de privacidade interna. Os usuários devem conseguir descrever quais dados coletam, para quais finalidades, as partes envolvidas e alguns outros detalhes incluindo dados de funcionários.
Se você está procurando por mais informações sobre o GDPR, por favor, dê uma olhada no nosso extenso guia GDPR.
Este guia mostra o passo a passo por dentro da nossa ferramenta de Registro das atividades de processamento de dados.
Observação: mesmo que o GDPR seja o principal motivo para incentivar o gerenciamento de privacidade interna nas empresas, nossa ferramenta não é feita apenas para o GDPR. Na verdade, ela pode ser usada para o gerenciamento de privacidade interna em geral, mesmo por empresas fora da UE que não trabalham com usuários ou clientes europeus.
Continue lendo ou assista ao tutorial completo.
O GDPR exige que controladores e processadores mantenham um registro das atividades de processamento. Esses registros precisam ser por escrito, inclusive em formato eletrônico. O IPM foi projetado especificamente para controladores e processadores para atender a esse requisito.
Caso solicitado, o registro das atividades de processamento precisa ser disponibilizado à autoridade supervisora.
As empresas ou organizações que empregam menos de 250 pessoas estão isentas deste requisito.
👉 No entanto, se você empregar menos de 250 pessoas, mas corresponder a um dos seguintes pontos, você deverá cumprir com este requisito do GDPR:
Áreas são perímetros dentro dos quais as atividades de tratamento de dados são homogêneas. Exemplos de áreas são: seu site, aplicativo de celular, lojas físicas, funcionários, recrutamento, fábrica e etc. Para cada área, você pode fornecer uma descrição de como os dados estão sendo tratados, como você provavelmente já está fazendo com o nosso gerador de política de privacidade ou os termos do gerador de serviço para qualquer site. Em resumo, as áreas são replicações da entidade ‘site’ que estão conectadas umas às outras, que você pode criar à vontade.
Você pode adicionar membros e associá-los a uma função específica (como “controlador”, “processador” etc.) ou a uma área específica.
Ao associar, você pode escolher qual função o membro tem dentro das seguintes opções:
Por exemplo, uma empresa pode coletar informações do usuário em seu website e armazená-las usando serviços na nuvem de terceiros. Neste cenário, a empresa é o controlador dos dados e a organização que fornece os serviços na nuvem é o processador.
Você pode pensar nisso como um catálogo de endereços. Todos os atuais proprietários também são membros.
Por favor, esteja atento: os padrões que você coloca na seção membros da área, são aplicados por padrão a cada serviço.
Os seguintes membros estão disponíveis por padrão:
Sua política de privacidade tem que ser adaptada conforme as práticas de coletas de dados de seu site ou aplicativo. Você faz isso adicionando um serviço.
Os serviços são divididos em duas categorias:
Ao ponderar sobre quais serviços básicos adicionar à sua política de privacidade, pense nas seguintes questões:
Na seção a seguir, passaremos pelos novos campos que lançamos para facilitar o gerenciamento interno de privacidade (você pode encontrar esses campos na janela de customização que aparece quando você adiciona um serviço). Isso será feito passo a passo para ajudá-lo na escolha da opção certa para sua situação pessoal.
Esses dois campos são convenientes ao descrever o serviço escolhido. Um exemplo para um rótulo pode ser “DE data center” e a descrição correspondente pode ser “Data Center Frankfurt”.
Este é um campo que só se aplica a alguns serviços onde você pode especificar se você está mantendo dados na UE. Um exemplo disso é “Amazon Web services” (muitas vezes abreviado como “AWS”).
Um campo que apenas alguns serviços possuem, e permite especificar o tipo de dados pessoais coletados através desse serviço.
Segundo o GDPR, os dados podem ser tratados somente se houver ao menos uma base legal para o tratamento destes dados.
As bases legais são:
Você pode selecionar entre as seguintes opções dentro da nossa ferramenta:
Isso se aplica apenas quando você está transferindo dados fora da UE.
Você pode escolher entre as seguintes opções:
Controlador
Significa qualquer pessoa física ou jurídica envolvida na determinação da finalidade e formas de tratamento dos dados pessoais.
Processadores
Significa qualquer pessoa física ou jurídica envolvida no tratamento de dados pessoais em nome do controlador.
Membros da organização do controlador
Um exemplo comum para isso são os funcionários da empresa/organização.
Titulares
Pode ser, por exemplo, os usuários do site ou aplicativo, visitantes de uma loja física ou clientes pagantes.
Em circunstâncias normais, assuntos que tenham “consentimento” como base legal para o tratamento, precisam ter todos os direitos selecionados. Nossa solução oferece as seguintes opções:
Este campo refere-se a quanto tempo os dados estão sendo armazenados. A opção padrão é “manter os dados para o tempo necessário para cumprir a finalidade” e deve ser aplicada à maioria dos casos. Caso contrário, você pode escolher entre um período de 1 até 5 anos.
Exemplos comuns são o método de criptografia usado, ou avaliações de vulnerabilidade/testes de penetração, o que significa que seus sistemas técnicos devem ser testados periodicamente para avaliar a segurança e a resiliência de seus sistemas.
Outra medida importante é o chamado “backup e armazenamento de mídia de backup”, o que significa que é aconselhável manter a mídia de backup em um local específico, acessível apenas pelo pessoal autorizado. A segurança do local deve ser verificada pelo menos anualmente.
Também é recomendado instalar e manter um firewall. É aconselhável rever as configurações atuais, gerenciar permissões para usuários do sistema, verificar se o sistema está atualizado e finalmente prosseguir com a instalação em dispositivos portáteis. Ter um firewall em vigor, no entanto, não é nada de novo em relação ao GDPR e deve ser considerado como uma medida de segurança mínima já prevista pelas normas vigentes.
Na ferramenta você poderá escolher entre as seguintes opções:
Para descrever o tratamento conforme exigido no GDPR, você deve ser minucioso ao descrever suas práticas de coleta de dados. Um cenário comum é o de um site com múltiplos formulários de contato, onde cada formulário é direcionado para diferentes indivíduos ou para o qual os dados são compartilhados com diferentes partes. Outro exemplo é ter duas newsletters diferentes para diferentes grupos de usuários ou clientes.
Nossa ferramenta de gerenciamento de privacidade interna, portanto, permite que você adicione diferentes versões do mesmo serviço.
Vamos agora passar por uma série de exemplos específicos para tornar as informações acima mais práticas; incluindo nossas “opções alternativas”:
A Exemplo Inc. adiciona uma área de site e configura a política de privacidade, a política de cookies, o Privacy Controls and Cookie Solution e os termos de serviço.
Para a política de privacidade, o seguinte é feito:
membros: Aqui definimos os membros globais para cada função que é válida para toda a área. Os membros também podem ser especificados por serviço.
controlador: Exemplo Inc. (o proprietário)
membros da organização do controlador: funcionários
processadores:
titulares: usuários do site
nome: Exemplo Inc.
rótulo: DE data center
descrição: Data center Frankfurt
região: UE
base legal para o tratamento: contrato
aqueles que tratam os dados pessoais: proprietário, funcionários (aqueles que foram definidos)
titulares: usuários do site
base legal para a transferência de dados: nenhuma transferência de dados
direitos disponíveis: nenhum (uma vez que não seria possível fornecer o serviço se eles se opõem ao tratamento da Exemplo Inc.)
política de retenção: mantendo os dados para o tempo necessário para cumprir a finalidade (opção padrão)
medidas de segurança: a serem definidas
rótulo: NL data center
descrição: data center Amsterdã
região: UE
base legal para o tratamento: contrato
aqueles que tratam os dados pessoais: proprietário, funcionários (aqueles que foram definidos)
titulares: usuários do site
base legal para a transferência de dados: nenhuma transferência de dados
direitos disponíveis: nenhum (uma vez que não seria possível fornecer o serviço se eles se opõem ao tratamento da Exemplo Inc.)
política de retenção: mantendo os dados para o tempo necessário para cumprir a finalidade (opção padrão)
medidas de segurança: a serem definidas
(se você não usar o Google Analytics em seu site ou aplicativo, você pode simplesmente inserir outra ferramenta de análise/estatística aqui)
nome: Google Analytics
rótulo: Google Analytics
descrição: ferramenta de rastreamento Google Analytics
base legal para o tratamento: consentimento
aqueles que tratam os dados pessoais: proprietário, funcionários (da empresa)
titulares: usuários do site
base legal para a transferência de dados: consentimento
direitos disponíveis: informação, acesso, retificação, exclusão, tratamento limitado, portabilidade de dados, oposição
política de retenção: mantendo os dados para o tempo necessário para cumprir a finalidade (opção padrão)
nome: e-mail e newsletter
rótulo: newsletter principal (lembre-se que você pode ter mais de uma newsletter ou lista de e-mail)
descrição: principal lista de e-mail para newsletter
dados pessoais customizados: e-mail
base legal para o tratamento: consentimento
aqueles que tratam os dados pessoais: proprietário, funcionários (da empresa)
titulares: usuários do site
base legal para a transferência de dados: nenhuma transferência de dados
direitos disponíveis: informação, acesso, retificação, exclusão, tratamento limitado, portabilidade de dados, oposição
política de retenção: mantendo os dados para o tempo necessário para cumprir a finalidade (opção padrão)
rótulo: drip principal (referindo-se a campanhas de drip e não ao newsletter padrão)
descrição: campanhas de drip
dados pessoais customizados: e-mail
base legal para o tratamento: consentimento
aqueles que tratam os dados pessoais: proprietário, funcionários
titulares: usuários do website
base legal para a transferência de dados: nenhuma transferência de dados
direitos disponíveis: informação, acesso, retificação, exclusão, tratamento limitado, portabilidade de dados, oposição
política de retenção: mantendo os dados para o tempo necessário para cumprir a finalidade (opção padrão)
medidas de segurança: a serem definidas
rótulo: newsletters de produtos secundários
descrição: “”
dados pessoais customizados: e-mail
base legal para o tratamento: consentimento
aqueles que tratam os dados pessoais: proprietário, funcionários
titulares: usuários do site
base legal para a transferência de dados: nenhuma transferência de dados
direitos disponíveis: informação, acesso, retificação, exclusão, tratamento limitado, portabilidade de dados, oposição
política de retenção: mantendo os dados para o tempo necessário para cumprir a finalidade (opção padrão)
medidas de segurança: a serem definidas
rótulo: drip de produtos secundários
descrição: “”
dados pessoais customizados: e-mail
base legal para o tratamento: consentimento
aqueles que tratam os dados pessoais: proprietário, funcionários
titulares: usuários do site
base legal para a transferência de dados: nenhuma transferência de dados
direitos disponíveis: informação, acesso, retificação, exclusão, tratamento limitado, portabilidade de dados, oposição
política de retenção: mantendo os dados para o tempo necessário para cumprir a finalidade (opção padrão)
medidas de segurança: a serem definidas
rótulo: newsletter de afiliação
descrição: newsletter para os afiliados
dados pessoais customizados: e-mail
base legal para o tratamento: consentimento
aqueles que tratam os dados pessoais: proprietário, funcionários, agência x (que está gerenciando a campanha de afiliação)
titulares: usuários do site
base legal para a transferência de dados: nenhuma transferência de dados
direitos disponíveis: informação, acesso, retificação, exclusão, tratamento limitado, portabilidade de dados, oposição
política de retenção: mantendo os dados para o tempo necessário para cumprir a finalidade (opção padrão)
medidas de segurança: a serem definidas
nome: referral candy
rótulo: conta principal da Referral Candy
descrição: “”
base legal para o tratamento: consentimento
aqueles que tratam os dados pessoais: proprietário, funcionários, agência x (que está gerenciando a campanha de afiliação)
titulares: usuários do site
base legal para a transferência de dados: consentimento
direitos disponíveis: informação, acesso, retificação, exclusão, tratamento limitado, portabilidade de dados, oposição
política de retenção: mantendo os dados para o tempo necessário para cumprir a finalidade (opção padrão)
medidas de segurança: a serem definidas
rótulo: conta da Referral Candy para produtos secundários
descrição: “”
base legal para o tratamento: consentimento
aqueles que tratam os dados pessoais: proprietário, funcionários, agência x (que está gerenciando a campanha de afiliação)
titulares: usuários do site
base legal para a transferência de dados: consentimento
direitos disponíveis: informação, acesso, retificação, exclusão, tratamento limitado, portabilidade de dados, oposição
política de retenção: mantendo os dados para o tempo necessário para cumprir a finalidade (opção padrão)
medidas de segurança: a serem definidas
O usuário pode adicionar uma área customizada e chamá-la de “funcionários”, para descrever os dados pessoais que trata dos funcionários e para quais fins.
membros:
controlador: Exemplo Inc. (o proprietário)
membros da organização do controlador: departamento de RH
processadores: Sr. X, Sr. Y
titulares: funcionários, consultores
nome: elaboração da folha de pagamentos
base legal para o tratamento: obrigação legal
aqueles que tratam os dados pessoais: proprietário, funcionários, departamento de RH, Sr. X, Sr. Y
titulares: funcionários, consultores
base legal para a transferência de dados: nenhuma transferência de dados
direitos disponíveis: nenhum
política de retenção: mantendo os dados para o tempo necessário para cumprir a finalidade (opção padrão)
medidas de segurança: a serem definidas
nome: “Timely” (software de rastreamento de horário do funcionário)
base legal para o tratamento: contrato
aqueles que tratam os dados pessoais: proprietário, funcionários, departamento de RH, Sr. X, Sr. Y
titulares: funcionários, consultores
base legal para a transferência de dados: consentimento
direitos disponíveis: nenhum
política de retenção: mantendo os dados para o tempo necessário para cumprir a finalidade (opção padrão)
medidas de segurança: a serem definidas
O usuário pode adicionar uma área customizada e chamá-la de “entrevista de emprego”, para descrever os dados pessoais que usa dos candidatos e para quais fins.
membros:
controlador: Exemplo Inc. (o proprietário)
membros da organização do controlador: funcionários, departamento de RH
processadores:
titulares: candidatos ao emprego
nome: avaliação de candidatos
base legal para o tratamento: consentimento
aqueles que tratam os dados pessoais: proprietário, funcionários, departamento de RH
titulares: candidatos
base legal para a transferência de dados: nenhuma transferência de dados
direitos disponíveis: nenhum
política de retenção: mantendo os dados para o tempo necessário para cumprir a finalidade (opção padrão)
medidas de segurança: a serem definidas