A ANPD publicou no dia 17/07/2024 a Resolução CD/ANPD n°18 que dispõe sobre a atuação do encarregado sobre o tratamento de dados pessoais.
Confira os principais pontos da resolução:
Da indicação do Encarregado
Forma da indicação: ato formal, ou seja, documento escrito, datado e assinado, demonstrando a indicação.
Agente de pequeno porte: nos casos em que tenha dispensa de nomeação do Encarregado, este deve possuir canal de comunicação disponibilizado ao titular de dados.
Operadores: a indicação de encarregado por operadores é facultativa, mas será considerada política de boas práticas.
Nas ausências, impedimentos e vacâncias do encarregado, a função será exercida por substituto formalmente designado.
Da Identidade e das informações de contato
A identidade e as informações de contato do encarregado deverão se públicas, de forma clara e objetiva, em local de fácil acesso no sítio eletrônico do agente de tratamento (caso não tenha sítio eletrônico, a informação de identidade e contato deve ser divulgada em qualquer meio de comunicação disponível, especialmente os utilizados como contato com os titulares). A divulgação da identidade deve seguir o seguinte padrão:
Pessoa natural: nome completo.
Pessoa jurídica: nome empresarial ou título do estabelecimento e nome completo da pessoa natural responsável.
Além da identidade, deve-se disponibilizar as informações de contato que viabilize no mínimo o exercício de direitos dos titulares.
Dos deveres dos agentes de tratamento
Prover meios para as atribuições do encarregado.
Solicitar assistência e orientação do encarregado na realização de atividades e tomada de decisões estratégicas relacionadas ao tratamento de dados pessoais.
Garantir autonomia técnica ao encarregado.
Assegurar aos titulares meios eficazes e céleres para a comunicação com o encarregado e exercício de direitos.
Garantir ao encarregado o acesso direto a pessoas com nível hierárquico maior e responsáveis por decisões estratégicas relacionadas a tratamento de dados pessoais.
Do encarregado
Das características
Pode ser pessoa natural ou jurídica.
Deve ser capaz de comunicar-se com os titulares e ANPD em língua portuguesa.
O exercício da atividade de encarregado não pressupõe a inscrição em qualquer entidade nem qualquer certificação ou formação profissional específica.
Das atividades e atribuições
Destacamos as seguintes:
Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis.
Receber comunicações da ANPD e adotar providências.
Fornecer orientação e assistência ao agente de tratamento, incluindo os casos de registro e comunicação de incidente, registro das operações de tratamento de dados pessoais, relatório de impacto, regras e boas práticas em governança de privacidade, processos e políticas internas, dentre outros.
indicar o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando não for exercido pelo próprio encarregado.
O desempenho das atividades e das atribuições acima não confere ao encarregado a responsabilidade, perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pelo controlador.
Do conflito de interesse
O encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que seja possível o pleno atendimento de suas atribuições relacionadas a cada agente de tratamento e inexista conflito de interesse.
Como pode se configurar o conflito de interesse?
entre as atribuições exercidas internamente em um agente de tratamento ou no exercício da atividade de encarregado em agentes de tratamento distintos.
acúmulo das atividades de encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador, ressalvadas as operações com dados pessoais inerentes às atribuições do encarregado.
Se constatado o conflito de interesse no caso concreto, poderá resultar em aplicação de sanção. Assim, o encarregado deve declarar ao agente de tratamento qualquer situação que possa configurar conflito de interesse.
Atualmente, milhões de pessoas veem nas redes sociais uma parte fundamental de suas vidas, transformando a maneira como se comunicam, compartilham informações e se conectam com o mundo ao seu redor. Contudo, junto com os benefícios das redes sociais, aparecem diversos desafios, especialmente quando se trata da segurança da informação. É nesse contexto que surge o fenômeno conhecido como Shadow IT, representando uma ameaça significativa para a segurança cibernética das organizações.
Shadow IT refere-se à prática de usar aplicativos, serviços e dispositivos não autorizados ou não supervisionados dentro de uma organização. Isso pode incluir o uso de redes sociais como Facebook, Twitter, LinkedIn e Instagram, tanto em dispositivos pessoais quanto corporativos. Muitas vezes, os funcionários recorrem a essas plataformas para realizar tarefas relacionadas ao trabalho, como compartilhar arquivos, colaborar em projetos e se comunicar com colegas, porém, na grande maioria das vezes, sem a devida supervisão ou conhecimento do departamento de TI.
Usuários finais geralmente adotam a Shadow IT, pois podem usá-la sem esperar aprovação do departamento de TI, ou ate mesmo porque creem que desse modo obtém funcionalidades melhores para seus propósitos do que as alternativas oferecidas pela empresa. No entanto, como a equipe de TI não tem conhecimento desses acessos, ela não os monitora. Ou seja: também não aborda suas vulnerabilidades.
Shadow IT e os riscos das Redes Sociais
Essa utilização desenfreada das redes sociais apresenta uma série de riscos para a segurança da informação de uma organização. Um dos perigos mais evidentes é a possibilidade de vazamento de dados confidenciais. Quando os funcionários compartilham informações sensíveis através de plataformas de redes sociais, esses dados podem ser interceptados por terceiros mal-intencionados, comprometendo a segurança da empresa.
Além disso, as redes sociais são frequentemente alvo de ataques cibernéticos, como phishing e malware. Os cibercriminosos aproveitam a confiança dos usuários nessas plataformas para disseminar links maliciosos, infectando dispositivos com vírus e ransomware. Um relatório recente da Verizon revelou que mais de 85% dos ataques de phishing foi causado por interação humana, como por exemplo, o uso de redes sociais como parte de sua estratégia.
Sabemos que graças a postagens sem limites em redes sociais, pode-se obter informações detalhadas de alguém, como por exemplo nomes, datas de nascimento, locais de trabalho, locais frequentados, hábitos, interesses, enfim, toda e qualquer informação que pode ser usada pelo cibercriminoso para criar um ataque de phishing ou esquemas de engenharia social. Sem contar que de acordo com o nível de conhecimento do cibercriminoso, ainda é possível perpetrar fraudes financeiras e roubo de identidade, graças a essas informações colhidas através de postagens.
Um relatório recente divulgado pela Kaspersky Lab intitulado “O Fator Humano na Segurança de TI: como os funcionários tornam as empresas vulneráveis de dentro para fora” descobriu que mais de um terço das organizações em todo o mundo já experimentaram incidentes de segurança devido ao uso não autorizado de aplicativos de mensagens instantâneas, redes sociais e armazenamento em nuvem. Esses incidentes incluíram vazamento de dados, perda de propriedade intelectual e interrupção das operações comerciais. E a situação somente piora; pois segundo esse mesmo relatório, em 40% das empresas do mundo todo, os funcionários escondem os incidentes de segurança de TI.
Para proteger suas organizações contra os perigos das redes sociais e da Shadow IT, os líderes de TI devem implementar políticas claras e abrangentes de segurança cibernética. Isso inclui educar os funcionários sobre os riscos associados ao uso não autorizado de redes sociais e fornecer treinamento regular em conscientização sobre segurança.
Além disso, é essencial implementar soluções de segurança cibernética robustas, como firewalls, sistemas de detecção de intrusões e software antivírus, para proteger contra ameaças cibernéticas emergentes. O monitoramento ininterrupto através de uma central de SOC e o uso de ferramentas de análise de dados podem ajudar a identificar e mitigar rapidamente possíveis violações de segurança.
Embora as redes sociais ofereçam inúmeras oportunidades de comunicação e colaboração, elas também representam sérios riscos para a segurança da informação das organizações. O fenômeno da Shadow IT, em particular, apresenta desafios significativos, incluindo vazamento de dados, ataques cibernéticos e violações de segurança. É fundamental que as empresas adotem uma abordagem proativa para mitigar esses riscos, implementando políticas de segurança robustas e soluções de segurança cibernética eficazes. Somente assim poderão proteger seus dados confidenciais e manter a integridade de suas operações comerciais em um mundo cada vez mais digital e interconectado.
* Renato Mirabili Junior é Consultor de Segurança da Informação na Protiviti Brasil.
Como as empresas brasileiras trabalham para combater os assédios e a discriminação?
Que ações o mercado tem praticado para tornar os ambientes corporativos mais seguros e acolhedores? Com essa e outras questões em mente, a Protiviti Brasilconduziu a pesquisa Maturidade no Combate ao Assédio nas Organizações, tendo o objetivo de mapear e entender o impacto das ações preventivas na construção de espaços de trabalho seguros para todos.
A pesquisa contou com respondentes de todo o Brasil e as respostas geraram um retrato importante sobre o contexto nacional do combate ao assédio nas organizações.
Os resultados trouxeram insights importantes:
1 a cada 5 empresas nunca realizaram treinamento de prevenção ao assédio.
58% das empresas não possuem uma política de diversidade, equidade e inclusão.
43% dos respondentes da pesquisa ainda estão em desacordo com a Lei 14.457/22
47% das empresas não treinam os profissionais que atuam na apuração dos casos de assédio.
Em parceria com a OneTrust e a KnowBe4, e com o apoio da Aliant, a Protiviti Brasil promoveu no último dia 30 o Risk Day: Executive Meetup On Top Risks, um encontro estratégico, fechado para convidados, que reuniu líderes executivos de empresas de diversos segmentos para uma manhã de conteúdo e networking no auditório do MAM, em São Paulo.
Voltado para C-Levels, diretores executivos e membros de conselhos administrativos, o conteúdo do evento teve como ponto de partida a pesquisa global Top Risks 2024, realizada pela Protiviti Inc. em conjunto com a Universidade da Carolina do Norte, que entrevista executivos ao redor do mundo para identificar, a partir da perspectiva coletiva dos líderes, quais os principais riscos corporativos previstos para o próximo ano e para a próxima década. A pesquisa está em sua 12ª edição e, pela primeira vez, teve um encontro presencial como um de seus desdobramentos no Brasil.
Heloisa Macari, Diretora Executiva da Protiviti, durante a abertura do evento.
A abertura do evento foi conduzida por Heloisa Macari, Diretora Executiva da Protiviti Brasil, que apresentou o evento e a pesquisa aos presentes. “Esse primeiro RiskDay 2024 já fica marcado no calendário da Protiviti no Brasil como um evento em que a gente pode não só trazer o pano de fundo dos principais riscos apontados pelos executivos brasileiros pela pesquisa Top Risks como, principalmente, promover um debate sobre eles entre os executivos, com insights muito interessantes e que de fato levam aí o nome da Protiviti e dos nossos parceiros nessa jornada de auxiliar os nossos clientes a gerir os riscos corporativos”, comentou Heloisa Macari, Diretora Executiva da Protiviti.
Oliver Stuenkel, keynote speaker
Keynote speaker do dia, o analista político e professor associado da FGV, Oliver Stuenkel, conduziu uma palestra sobre como o cenário macroeconômico e geopolítico se relaciona com os riscos corporativos, destacando os pontos de atenção observados hoje no mundo e seu impacto na gestão executiva de empresas, principalmente no contexto global.
Painel de debates
Para encerrar a manhã, o CEO da Protiviti, Fernando Fleider, recebeu Talita Lacerda (CEO da Pet Love), Flávio Serebrinic (VP de Transformation da Atvos) e Marco Antonio Bologna (Sócio da Galápagos Capital) para o painel de debates “Da porta para dentro: Top Risks 2024 na agenda executiva”.
Acaba de ser divulgada a edição 2024 do ranking Leaders League, com os resultados do ciclo Dispute Resolution. 43 rankings compõem o ciclo de pesquisa Dispute Resolution, Investigations & Insurance, reunindo as melhores empresas de consultoria, escritórios de advocacia e empresas do setor. A organização é uma editora fundada em Paris, em 1996, focada em produzir relatórios e pesquisas voltadas para executivos e C-levels ao redor do mundo.
Em 2024, a Protiviti Brasil foi novamente reconhecida entre as Melhores Consultorias de Compliance, mantendo a categoria Líder – a mais alta do ranking.
via Leaders League
Além disso, a empresa foi premiada como Excelente entre os Melhores Especialistas em Forensics e Complex Investigations, mantendo o reconhecimento do último ano, e também entre os Melhores Especialistas em Privacidade de Dados, pelo terceiro ano consecutivo. A empresa também figura como Altamente Recomendada entre as Melhores Consultorias de Gestão de Risco, Melhores Consultorias para Auditoria e Melhores Consultorias em Segurança Cibernética, citada pela primeira vez nesta categoria.
Os rankings produzidos pela editora são reconhecidos ao redor do mundo e reconhecidos por sua metodologia de pesquisa imparcial, compreensiva e transparente. Confira as premiações no site.
Sobre a Leaders League
A Leaders League é uma empresa de serviços empresariais sediada em Paris e uma agência de classificação com presença global. Além disso, a organização organiza eventos para executivos, rankings abrangentes e análises detalhadas projetadas para unir os mercados globais. Fundada em 1996, em Paris, a Leaders League é uma agência de classificação internacional e serviços empresariais com foco nas seguintes indústrias:
• Jurídica • Private Equity e Serviços Financeiros • Capital Humano • Inovação e Marketing • Gestão de Patrimônio e Gestão de Ativos A empresa organiza mais de 20 eventos de alto nível em capitais globais como Paris, Nova York e São Paulo, além de produzir classificações internacionais e conteúdo de notícias para as indústrias jurídica, financeira, tecnológica e de RH.
A Leaders League é composta por 150 profissionais distribuídos em vários locais ao redor do mundo, incluindo a sede em Paris e escritórios em Londres, Madri, Lima, Milão, Rio de Janeiro e São Paulo.
Em uma realidade em que riscos de alto impacto são cada vez mais frequentes para as organizações, é importante possuir mecanismos para identificar incidentes e direcionar os esforços de resposta à eles.
Para mapear a estruturação das estratégias mais comuns em empresas nacionais e construir um panorama sobre o cenário brasileiro, foi elaborada a 1ª Pesquisa Nacional sobre Maturidade em Gestão de Crises e Continuidade de Negócios.
Resultados da pesquisa sobre Gestão de Crises e Continuidade de Negócios no Brasil: destaques importantes:
45% das empresas apresentaram pelo menos um tipo de incidente nos 12 meses anteriores à pesquisa;
Acessos indevidos foram as principais causas para interrupções no ambiente de Tecnologia de Informação.
18% dos participantes afirmaram que suas empresas tiveram perdas acima de R$500 mil em incidentes relacionados a Gestão de Crises e Continuidade de Negócios.
Este ano, a pesquisa Top Risks contou com a participação de 1.143 profissionais de gestão executiva, identificando suas percepções sobre o impacto desses riscos em suas organizações em 2024. Além desses insights sobre riscos de curto prazo em 2024, os entrevistados também deram suas opiniões sobre o impacto desses riscos daqui uma década, em 2034. No Brasil, 72 executivos foram consultados
Conheça quais riscos corporativos se destacam para executivos e C-Levels do Brasil e do mundo.
No cenário corporativo contemporâneo, empresas e organizações de todos os segmentos precisam navegar águas turbulentas e em constante movimento. Nesse contexto, quais os principais desafios e riscos observados pelos executivos? Para ajudar a identificar essas ameaças e permitir que as organizações se preparem para o futuro, a Protiviti e a ERM Iniciative realizaram a pesquisa Top Risks 2024, que identifica os principais riscos ao negócio na percepção de executivos e C-levels ao redor do mundo.
Este ano, a pesquisa Top Risks contou com a participação de 1.100 profissionais de gestão executiva. Isso permitiu identificar suas percepções sobre o impacto desses riscos em suas organizações em 2024. Além desses insights sobre riscos de curto prazo em 2024, os entrevistados também deram suas opiniões sobre o impacto desses riscos daqui uma década, em 2034.
A ICTS, holding de empresas de consultoria, tecnologia e serviços em gestão de riscos e compliance, e segurança conquistou pela sexta vez consecutiva o selo da edição 2022-2023 do Cadastro Pró-Ética. Promovida pela Controladoria Geral da União (CGU) e Instituto Ethos, iniciativa que visa reconhecer organizações que atuam com o mais alto nível de comprometimento com a ética, transparência e integridade nos negócios.
“Estamos muito honrados de, mais uma vez, termos sido reconhecidos pelo selo Pró-Ética, conquista ininterrupta desde 2015. Entendemos que como empresa líder no setor de ética corporativa, temos a obrigação e o compromisso com os mais altos padrões éticos e de integridade em todas as nossas operações”, disse Fernando Fleider, CEO da ICTS.
Na edição deste novo biênio, 84 empresas inscritas foram reconhecidas pela entidade. “Este reconhecimento reforça o compromisso que temos com nossos clientes, parceiros e colaboradores na promoção de um ambiente empresarial mais sustentável, incluso e confiável. O selo Pró-Ética é uma parte integral da nossa identidade corporativa, por meio da atuação de valores inegociáveis do nosso grupo”, completou Fleider.
Sobre a ICTS
No mercado desde 1997, a ICTS Participações é uma holding limitada de empresas pioneiras em soluções de prevenção de riscos, compliance e segurança no Brasil. O grupo é composto por empresas destacadas nestas áreas de atuação. São elas Protiviti, Aliant, ICTS Security e SafeCompany.
Sobre o Pró-Ética
Criada em 2010 pela Controladoria Geral da União (CGU), o Pró-Ética é uma iniciativa pioneira na América Latina que visa reconhecer publicamente empresas brasileiras e as multinacionais que atuam no país pelas ações de comprometimento com medidas de prevenção, detecção e remediação de atos de corrupção e fraude.
Com a LGPD (Lei Geral de Proteção de Dados), muitas ações passaram a ser necessárias para que empresas pudessem cumprir com essa nova regulamentação. Ferramentas como o framework “privacy by design” ganham espaço nesse contexto.
Dentro de um programa complexo para atender tanto a titulares de dados, demonstrar conformidade à ANPD (Autoridade Nacional de Proteção de Dados) e assegurar um “sono tranquilo” de acionista e executivos, as empresas adotaram práticas e realizaram investimentos substanciais para que a LGPD fosse cumprida dentro de seu ambiente de trabalho.
Entretanto, dada a necessidade de redução de custos e despesas, bem como a necessidade de priorização de atividades que gerassem receita para seus negócios, empresas optaram pela terceirização de muitas tarefas (em alguns casos quarteirização), o que limitou o controle sobre o que é feito com os dados pessoais de seus titulares e colocou em xeque os esforços e os investimentos para atender à Lei.
Essa limitação de controle, por vezes, aumenta consideravelmente os riscos relacionados à LGPD, obrigando as organizações a monitorar e avaliar possíveis impactos, tais como vazamento ou tratamento indevido de dados pessoais por seus terceiros contratados. Também é necessário implementar mecanismos de proteção e mitigação de riscos decorrentes dessa nova regulação.
Um dos controles mais eficazes na gestão de riscos relacionados à LGPD é o “Privacy by Design”, um framework que permite que a privacidade seja implementada desde o início do desenvolvimento de produtos, serviços, sistemas, aplicações ou processos envolvendo terceiros.
Um “Privacy by Design” bem implementado pode assegurar que a finalidade, a adequação e a necessidade, que são os princípios estabelecidos no artigo 6º da Lei, sejam cumpridos e reduzam o risco de tratamento indevido do dado de uma pessoa, bem como minimize impactos relacionados a vazamento.
Para que esse controle seja bem implementado é fundamental que a empresa coloque em prática as oito ações demonstradas abaixo.
Levantamento de terceiros que coletem, tratem e armazenem dados pessoais em nome da empresa contratante.
Avaliação de riscos de terceiros, entendendo possíveis ameaças à privacidade e à segurança dos dados, bem como fatores de compartilhamento, acesso a dados pessoais e controles de segurança existentes na empresa contratada.
Processo de seleção e homologação de terceiros considerando que os riscos de privacidade e de segurança dos dados estejam mitigados por meio de certificações, normativas de segurança, controles e políticas de privacidades e processo de armazenamento de logs e trilhas de auditorias em sistemas que armazenam e transacionam dados pessoais.
Cláusulas contratuais específicas de privacidade e segurança em contratos com terceiros, visando estabelecer requisitos de coleta, tratamento e armazenamento de dados pessoais mínimos necessários, bem como estabelecimento de responsabilidades das partes envolvidas e medidas a serem tomadas em caso de violação de dados.
Acesso mínimo e limitado de dados dos terceiros, bem como, um programa contínuo de redução de dados não essenciais para as finalidades existentes, sendo que apenas informações estritamente necessárias para realizar suas atividades serão tratados no período de vigência do contrato. Além disso, após a vigência ou extinção do contrato, medidas de anonimização devem ser tomadas pelo terceiro em relação aos dados da contratante.
Monitoramento contínuo e auditorias regulares para verificar se os terceiros estão cumprindo os requisitos contratuais e tratando exclusivamente o que é essencial e necessário para atingimento da finalidade contratada.
Treinamento e conscientização para os profissionais de terceiros que terão acesso aos dados pessoais da empresa entendam os riscos, as responsabilidades e os impactos relacionadas ao tratamento de dados.
Revisão e avaliação contínua dos elementos de dados coletados sempre que houver alteração no processo de tratamento pelo terceiro contratado, objetivando sempre a coleta do mínimo necessário.
Ao adotar práticas de Privacy by Design na contratação e relação com terceiros, as empresas podem reduzir significativamente os riscos associados ao compartilhamento de dados com entidades externas, assegurando a privacidade e a segurança dos dados de seus clientes e profissionais. Além disso, isso contribuirá para a construção de uma reputação sólida e responsável em relação aos direitos exigidos pela LGPD.
