[LGPD] Impacto para as Autoridades de Registro

• julho 6, 2020
• Mauricio Sena
• Artigo, Informativo
• 1 Comentário

A LGPD – Lei Geral de Proteção de Dados abrange as operações de tratamento realizadas no Brasil, ou a partir da coleta de dados feita no país por empresas brasileiras ou estrangeiras.  A lei regula a coleta, o uso, o tratamento, o compartilhamento e a proteção de dados sensíveis.

As Autoridades de Registro devem o quanto antes iniciar o processo de adequação que é extenso.

Nesse processo de adequação, as Autoridades de Registro precisam nomear um Encarregado (DPO) e tornar público os seus dados de contato, elaborar o inventário de dados pessoais (data mapping) e adotar boas práticas de segurança.

Listamos os principais pontos de atenção para que as Autoridades de Registro iniciem o processo de adequação com a LGPD.

• Plano de Continuidade de Negócios e Análise de Riscos

Esses são documentos obrigatórios previstos nas normas da ICP-Brasil. A Autoridade de Registro é responsável por executar o PCN e Análise de Riscos. Relacionado com a LGPD a AR pode incluir os cenários de vazamento de dados pessoais e passar a testar como proceder nos casos em que ocorrer um vazamento e gerar o Relatório de Impacto à Proteção de Dados Pessoais, esse documento deve ser elaborado e está previsto na Lei.

• Segurança Lógica

As Autoridades de Registro devem manter suas estações de trabalho atualizadas a fim de protege-las contra a exposição indevida de dados pessoais dos titulares dos certificados digital. Os gestores das ARs devem verificar se as estações possuem antivírus atualizado, firewall ativado, sistema operacional atualizado e com as últimas versões dos patches, criptografia nos discos rígidos e não deve manter cópias de documentos pessoais, contratos de pessoa jurídica utilizadas no processo de emissão do certificado digital, armazenados nas máquinas.

• Sites

A maioria das Autoridades de Registro possuem uma página web própria para comercialização dos certificados digitais, no processo de adequação é necessário que a AR atualize o site, avisado os usuários quais informações seus cookies armazenam. O usuário deve ser informado de forma clara e objetiva com qual finalidade os dados dele serão coletados. Além disso, ele deve afirmar que aceita que seus dados sejam tratados, por meio de um clique em um opt-in.

Criar uma política de privacidade e torna-la pública em seu site, é importante que em sua política de privacidade conste de forma detalhada e específica como seu site utiliza cookies.

• Dossiê dos Agentes de Registro

No processo de admissão do Agente de Registro a AR coleta diversos documentos que possuem dados pessoais (nome completo, data de nascimento, CPF e e-mail). Além de dados sensíveis (gênero e biométrico). Esses dados a Autoridade de Registro devem validar qual a base legal que permite a coleta e o seu tratamento. Caso não esteja enquadrada nas bases legais, a AR deve ter o consentimento expresso do agente de registro para coletar e armazenar seus dados pessoais.

• Treinamento e Conscientização

É importante que as Autoridades de Registro, adotem as boas práticas de segurança, governança e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Hoje a norma da ICP-Brasil exige que os Agentes de Registro recebam treinamentos como princípios e mecanismos de segurança da AR, reconhecimento de assinaturas e validade dos documentos apresentados. Uma das ações para a AR demostrar aderência a LGPD, seria incluir o tema de privacidade de dados como treinamento para seus novos Agentes de Registro no momento de admissão.

Por fim, é importante considerar que a LGPD vai muito além do jurídico, devendo envolver as áreas de tecnologia, gestão da segurança da informação e pessoal especializado.

Baixe aqui o Ckecklist exclusivo! Faça o diagnóstico inicial e saiba se o seu negócio está em conformidade com a lei LGDP.