
[LGPD] Impacto para as Autoridades de Registro
A LGPD – Lei Geral de Proteção de Dados abrange as operações de tratamento realizadas no Brasil, ou a partir da coleta de dados feita no país por empresas brasileiras ou estrangeiras. A lei regula a coleta, o uso, o tratamento, o compartilhamento e a proteção de dados sensíveis.
As Autoridades de Registro devem o quanto antes iniciar o processo de adequação que é extenso.
Nesse processo de adequação, as Autoridades de Registro precisam nomear um Encarregado (DPO) e tornar público os seus dados de contato, elaborar o inventário de dados pessoais (data mapping) e adotar boas práticas de segurança.
Listamos os principais pontos de atenção para que as Autoridades de Registro iniciem o processo de adequação com a LGPD.
- Plano de Continuidade de Negócios e Análise de Riscos
Esses são documentos obrigatórios previstos nas normas da ICP-Brasil. A Autoridade de Registro é responsável por executar o PCN e Análise de Riscos. Relacionado com a LGPD a AR pode incluir os cenários de vazamento de dados pessoais e passar a testar como proceder nos casos em que ocorrer um vazamento e gerar o Relatório de Impacto à Proteção de Dados Pessoais, esse documento deve ser elaborado e está previsto na Lei.
- Segurança Lógica
As Autoridades de Registro devem manter suas estações de trabalho atualizadas a fim de protege-las contra a exposição indevida de dados pessoais dos titulares dos certificados digital. Os gestores das ARs devem verificar se as estações possuem antivírus atualizado, firewall ativado, sistema operacional atualizado e com as últimas versões dos patches, criptografia nos discos rígidos e não deve manter cópias de documentos pessoais, contratos de pessoa jurídica utilizadas no processo de emissão do certificado digital, armazenados nas máquinas.
- Sites
A maioria das Autoridades de Registro possuem uma página web própria para comercialização dos certificados digitais, no processo de adequação é necessário que a AR atualize o site, avisado os usuários quais informações seus cookies armazenam. O usuário deve ser informado de forma clara e objetiva com qual finalidade os dados dele serão coletados. Além disso, ele deve afirmar que aceita que seus dados sejam tratados, por meio de um clique em um opt-in.
Criar uma política de privacidade e torna-la pública em seu site, é importante que em sua política de privacidade conste de forma detalhada e específica como seu site utiliza cookies.
- Dossiê dos Agentes de Registro
No processo de admissão do Agente de Registro a AR coleta diversos documentos que possuem dados pessoais (nome completo, data de nascimento, CPF e e-mail). Além de dados sensíveis (gênero e biométrico). Esses dados a Autoridade de Registro devem validar qual a base legal que permite a coleta e o seu tratamento. Caso não esteja enquadrada nas bases legais, a AR deve ter o consentimento expresso do agente de registro para coletar e armazenar seus dados pessoais.
- Treinamento e Conscientização
É importante que as Autoridades de Registro, adotem as boas práticas de segurança, governança e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Hoje a norma da ICP-Brasil exige que os Agentes de Registro recebam treinamentos como princípios e mecanismos de segurança da AR, reconhecimento de assinaturas e validade dos documentos apresentados. Uma das ações para a AR demostrar aderência a LGPD, seria incluir o tema de privacidade de dados como treinamento para seus novos Agentes de Registro no momento de admissão.
Por fim, é importante considerar que a LGPD vai muito além do jurídico, devendo envolver as áreas de tecnologia, gestão da segurança da informação e pessoal especializado.
Baixe aqui o Ckecklist exclusivo! Faça o diagnóstico inicial e saiba se o seu negócio está em conformidade com a lei LGDP.
One Comment on “[LGPD] Impacto para as Autoridades de Registro”
Patricia t o leite
Todos ganham com um ecossistema seguro. Porisso as ACs deveriam propor um plano de ação para suas ARs aderirem ao LGPD.