Embora cada Instituição já tem definido estrategicamente o modelo de captação de dados para o próximo processo seletivo. Todas, sem margem de dúvida, terão que repensar a forma usual de como irão tratar os dados coletados a partir dos formulários imputados nas aplicações do portal e dispositivos móveis daqui em diante levando em consideração as normas estabelecidas pela LGPD.
- LGPD – Lei Geral de Proteção de dados (Lei 13.709/18);
- O objetivo deste artigo, é o de que as Instituições passem a entender a LGPD e adaptar suas normas e então atualizar as regras de consumo da relação com o consumidor.
Esta ação será crítica dos pontos de vista estratégico e operacional em função dos ajustes e enquadramento com a nova sistemática para que as regras de comportamento, uso, proteção e transferência sigam as melhores práticas para manter integro os dados coletados assim como a maneira pela qual serão utilizados.
Por outro lado, os usuários terão total autonomia para conhecer o usufruto e controlar seus dados sejam eles somente identificados ou sensíveis de forma fácil e ágil a partir do momento em que a lei entrará em vigor.
Pontos importantes:
O resultado dessa mudança depende dos ajustes operacionais que serão realizados nos processos sistêmicos de coleta e armazenamento com acompanhamento e aprovação da alta gestão visando garantir os objetivos e estratégias funcionais do modelo de captação conforme a lei.
Ajustes de adequação técnica e operacional nas aplicações: O usuário deverá ter livre acesso aos dados para: visualizar, corrigir e excluir há qualquer momento em que julgar necessário sem solicitação ou autorização prévia de quem está com ele armazenado. Para isso, a atual sistemática deverá ser submetida a mudanças técnicas com a implementação de novas funções em todas as suas camadas visando adequar-se à legislação para disponibilizar ao usuário o modo funcional de como deverá ser. Este é um momento propício para melhorar a qualidade daquilo que já temos.
- O objetivo principal da LPGD, é o de trazer segurança jurídica para os cidadãos e orientar empresas que trabalham com a coleta e processamento de dados. Para isso a lei conta com uma série de princípios que visa orientar as empresas na sua atividade econômica digital. Além disso, veta práticas já malvistas ou mesmo ilegais, como cookie poll e a venda de base.
Termo de consentimento: É de suma importância que a Instituição promova em suas aplicações a publicação do termo de consentimento com o texto explicativo sobre a conduta da coleta de dados a ser visualizado pelo usuário antes mesmo dele selecionar uma das opções: aceite ou rejeição.
Direito de acesso: A partir do momento em que a Instituição tenha em seu poder os dados pessoais do cliente armazenado, o mesmo pode pedir informações sobre o uso dos mesmos. Esse método deve ser orientado através de um canal de comunicação, publicado mediante interação com o “portal” em área pública para ciência e escolha do usuário.
- É uma questão de rever os processos internos para se ajustar e melhorar prática visando a qualidade dos serviços.
O lado positivo de todas essas mudanças é o de demonstrar ao mercado que a Instituição faz um trabalho transparente com credibilidade através do uso dos dados do público externo e para quais objetivos eles serão designados gerando vantagem competitiva no processo de captação para futuras vendas de outros produtos.
Já no lado técnico a forma de uso desses dados deve ser de uma via única e precisam ser armazenados internamente e principalmente com os endereços técnicos documentados “servidores, bancos de dados e aplicações de uso” para que numa eventual situação de auditoria a Instituição possa ser colocada à prova de questionamentos de como os dados coletados estão sendo utilizados para que sejam esclarecimentos rapidamente.
Direito de esquecimento: Com o passar do tempo o usuário que não tiver mais vínculo com a instituição, pode pedir a deleção de seus dados levando em consideração que o processo de captação já foi extinto.
- Vale lembrar que os dados utilizados nos registros acadêmicos, diploma, controle financeiro e jurídico mesmo também em documentos digitalizados ficam armazenados por muito mais tempo para consulta interna e validação para credenciamento do Mec.
- Já os demais dados coletados, deverão ficar armazenados no máximo 3 anos e depois serão deletados.
Notificação de violação obrigatória: Na eventualidade de haver algum incidente de segurança, desastre técnico, contaminação de vírus, violação do ambiente ou qualquer que outro motivo que gere qualquer irregularidade técnica, a Instituição deve notificar os órgãos reguladores e o usuário detentor dos dados automaticamente.
- Esta ação inibe qualquer penalização junto aos órgãos regulamentares nos termos da lei.
Jurisdição estendida: Para as Instituições estrangeiras que estão no país e que tem por obrigatoriedade armazenar dados nos servidores nas suas nacionalidades de origem, assim como aquelas que armazenam os dados em datacenter híbridos devem seguir as normas da legislação nacional “LGPD – Lei Geral de Proteção de dados (Lei 13.709/18)”, como se deve.
Garantia de proteção de dados: Além de seguir todos os itens da lei e, conforme a origem de seus processos, a Instituição tem que garantir que os dados armazenados estão seguros e protegidos para garantia do usuário. Essa é uma das recomendações de responsabilidade que a Instituição tem sobre eles, conforme as normas do Iso 7001, 7002 Isp2 e demais práticas.
Fiscalização: Com a criação da ANPD – Agencia Nacional de Proteção de dados, o governo criou esse órgão cujo qual fará o acompanhamento de cada processo e aplicará as sanções descritas na LGPD.
- Haverá o relatório de impacto à proteção de dados pessoais que será a salvaguarda da Instituição quando o incidente do vazamento de informação ou qualquer outro problema do gênero.
- Para calcular a multa é muito simples hoje ela e de até 2% sobre o faturamento da PJ de direito, grupo ou conglomerado no Brasil considerando o seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração.
Por fim, a definição das responsabilidades: No modelo operacional a área responsável por pela segurança da informação que neste caso passa a ser de uma área operacional, ex. segurança da informação, marketing ou comercial é que deverá ter a responsabilidade de manusear e controlar os agentes responsáveis para dirigir esta operação no dia-a-dia, são eles:
- Controlador é o responsável de como as informações serão utilizadas, (diretor, líder de marketing, comercial);
- Operador são todos os usuários que utilizam os dados todos os dias, dispara as campanhas de e-mail marketing, sms, whats app entre outras fontes de publicação;
- Encarregado e o responsável em fazer a ponte de comunicação da empresa com a Agencia Nacional de Proteção de Dados e também com o Usuário final quando houver qualquer tipo de anormalidade.
o Este membro deverá ter conhecimento específico e know how de negócios, segurança da informação com conhecimento técnico e jurídico sobre o assunto para administrar os problemas do dia-a-dia, ou seja, já temos uma nova profissão emergindo no mercado.
[author] [author_image timthumb='on']https://docmanagement.com.br/wp-content/uploads/2018/10/Dalton-Quadros.png[/author_image] [author_info]Dalton Quadros
Consultor de Tecnologia da Informação, é especialista no segmento educação com mais de 20 anos de experiência atuando nas principais Instituições de Ensino médio e grande porte.[/author_info] [/author]
