Relatórios de Mapeamento: Fundamentais para Comprovar a Implementação da LGPD
A relevância documental na jornada da conformidade No Brasil, o relatório de mapeamento de dados assumiu importância estratégica empresarial após a entrada em vigor da Lei Geral de Proteção de Dados (LGPD). Essa legislação exige que todas as empresas sejam capazes de demonstrar transparência e responsabilidade em relação aos dados que coletam e armazenam de seus clientes, empregados e fornecedores, adotando boas práticas para evitar incidente de vazamento de dados. Desse modo, em um cenário em que cada vez mais as empresas necessitam transparecer seus processos de tratamento de dados pessoais, a elaboração periódica de relatórios de mapeamento é uma medida assertiva. Através dessa prática, é possível identificar o fluxo de informações dentro de uma organização, avaliar os pontos de vulnerabilidade para adotar medidas mitigando riscos. Com isso, as empresas conquistarão credibilidade e garantirão conformidade com as exigências legais e demais normas técnicas. O relatório de mapeamento de dados consiste em uma análise sistemática dos dados produzidos, recebidos e armazenados pela empresa. Seu objetivo central é proporcionar uma visão clara sobre como os dados percorrem todos os setores da organização (no aspecto físico e digital), identificando pontos críticos, vulnerabilidades e oportunidades para melhoria dos processos. Essa prática não é importante para a gestão de riscos e ela também facilita a auditoria e Governança e é uma importante evidência das boas práticas adotadas pela organização. Vamos a um exemplo prático: Em um primeiro ano de avaliação do ciclo de dados de uma empresa, o relatório de mapeamento apontou que seus colaboradores tinham a prática de levar seus atestados médicos para a secretária da recepção, que por sua vez, os deixava em uma pasta em cima de sua mesa e, uma vez por semana, solicitava para a responsável pela limpeza os levar até o RH. No ano seguinte, o relatório registrou a mudança de cultura da organização pois seus funcionários passaram a entregar seus atestados diretamente ao RH que passou a adotar medidas robustas de restrição de acesso a esses documentos que possuem dados sensíveis. Como se verifica, ter esse histórico da mudança de cultura da proteção de dados em uma organização devidamente registrado é fundamental para produzir provas no caso de um incidente de vazamento de dados e ter um ciclo constante de correção de medidas. Para elaborar um relatório de mapeamento de dados é necessário conhecimento técnico especializado sobre proteção de dados com fundamento nas leis e boas práticas de segurança da informação. A interação do DPO e do Comitê com o profissional que está elaborando os mapeamentos é crucial para fazer os registros adequados e fortalecer as medidas que propiciam a segurança da informação. O relatório de mapeamento de dados vai muito além de um documento técnico: ele é peça-chave para a governança, segurança, conformidade e inovação nas empresas brasileiras. Sua elaboração, implementação e revisão sistemática fortalece a base organizacional, eleva a eficiência e prepara a empresa para enfrentar os desafios da era digital. Adotar essa prática não é apenas um requisito legal, mas um investimento estratégico no futuro e na sustentabilidade do negócio. Gostou deste artigo? Acesse mais conteúdos em nosso blog. Crédito da imagem: Imagem de vectorjuice no Freepik
OS RISCOS PSICOSSOCIAIS PREVISTOS NA ALTERAÇÃO DA NR-1 E A PROTEÇÃO DE DADOS DOS EMPREGADOS CONFORME A LGPD
A Portaria MTE nº 1.419, alterou significativamente o item 1.5 da Norma Regulamentadora – NR nº 1, introduzindo a obrigatoriedade de identificar e gerenciar os riscos psicossociais no Programa de Gerenciamento de Riscos (PGR). Ou seja, essa atualização forneceu diretrizes sobre como as empresas devem criar ambientes mais saudáveis e seguros para seus empregados. Então, além da gestão dos riscos físicos, químicos, biológicos, de acidentes e ergonômicos, que são considerados riscos ocupacionais, as empresas terão que adotar também medidas para reduzir os riscos psicossociais relacionados ao ambiente de trabalho. As empresas terão que identificar fatores como estresse, assédio, sobrecarga de trabalho e pressão, etc., que possam comprometer o bem-estar dos trabalhadores. Com isso, as empresas passarão a ter que realizar avaliações periódicas desses riscos e adotar medidas preventivas específicas, adequadas à natureza de cada atividade. A inclusão dos riscos psicossociais no Programa de Gerenciamento de Riscos (PGR) valoriza a importância da saúde mental no contexto da segurança e saúde ocupacional. Quando não tratados de forma eficaz, os fatores psicossociais podem levar a sérios problemas, como estresse, burnout e doenças psicológicas, de acordo com a Organização Internacional do Trabalho (OIT). Esses riscos abrangem desde situações de assédio moral e sexual até condições que possam causar adoecimento mental, prejudicando o ambiente de trabalho. A nova regulamentação destaca a importância de ações preventivas para promover um ambiente de trabalho saudável e seguro para todos os colaboradores, tais como capacitar gestores a identificar sinais de sofrimento emocional e intervir adequadamente. Portanto, ao identificar, por exemplo, que um empregado está em situação de estresse em decorrência de assédio moral, serão feitos registros no banco de dados dessa empresa e serão adotadas medidas para acompanhamento e solução do caso e que também serão armazenadas nos sistemas da organização. A questão que se coloca é que no monitoramento ou mapeamento dessas situações que serão identificadas como risco ao trabalhador e que passarão por medidas corretivas, serão tratados dados sensíveis dos empregados da empresa. Ou seja, poderão ser coletados relatos de situações de assédio moral ou sexual, situações que envolvam saúde mental e até agressão física entre colegas. A Lei Geral de Proteção e Dados (Lei nº 13.709/2018 também chamada de LGPD) em seu artigo 5º, inciso II, define que dado referente à saúde, quando vinculado a uma pessoa natural, será considerado dado sensível. Assim, nesse momento de adaptação às novas diretrizes impostas pela NR-1 é fundamental também revisar e fortalecer processos e políticas quanto à segurança dessas informações, as quais não podem estar acessíveis a todos os colaboradores da empresa nem a terceiros não autorizados. Ou seja, no aspecto interno, revisar onde ficarão armazenadas, a quem serão concedidos acessos e como serão compartilhadas internamente essas situações de modo a preservar a privacidade do empregado. No aspecto externo, verificar se os sistemas em que serão inseridas essas informações assim como as empresas terceirizadas que serão contratadas (como exemplo clínica de segurança e medicina do trabalho, psicólogos, assessoria jurídica, etc.) estão adequados efetivamente à Lei Geral de Proteção de Dados e se adotam medidas técnicas e administrativas para assegurar a confidencialidade desses dados. Portanto, é fundamental proteger ainda mais essas informações pois, caso indevidamente expostas, poderão causar graves prejuízos ao empregado e a própria empresa que poderá ser penalizada por não respeitar o direito fundamental de privacidade de dados dos cidadãos. Gostou deste artigo? Acesse mais conteúdos em nosso blog. Créditos da foto: a imagem aqui utilizada foi extraída do Freepik, https://br.freepik.com
A PROTEÇÃO DAS CRIANÇAS E DOS ADOLESCENTES PELO MARCO LEGAL DOS JOGOS ELETRÔNICOS
O Marco Legal dos Jogos Eletrônicos (Lei 14.852/2024) foi estabelecido para incentivar o setor da indústria brasileira de jogos digitais e estimular o aumento da oferta de capital para investimento em empreendedorismo inovador no setor que vem crescendo significativamente nos últimos dez anos. Incentivar essa atividade promove o crescimento econômico do país. Este segmento é novo em comparação a outras atividades tradicionais da economia brasileira. Sua regulamentação inicial ainda passará por um processo de amadurecimento. Estamos apenas começando tanto no potencial produtivo de games quanto na legislação que regulamenta o setor. O Marco Legal dos Jogos Eletrônicos já considerou a proteção das crianças e dos adolescentes, que representam uma parte importante dos consumidores desse mercado. Há quem afirme que proteger as crianças é proteger nosso próprio futuro. Mas analisando essa diretriz com mais profundidade, concluímos que crianças e adolescentes são considerados vulneráveis por estarem em processo de desenvolvimento de suas capacidades, necessitando acompanhamento de adultos no seu processo de amadurecimento. Por isso, precisam ser constantemente protegidas. O Brasil já possui um diploma específico dessa matéria que é o Estatuto da Criança e Adolescente (Lei 8.069/90 também conhecido pela sigla ‘ECA’), que veio regulamentar o artigo 227 da Constituição Federal Brasileira. Mas mesmo tendo essa normativa para proteção de crianças e adolescentes o legislador federal, ao estabelecer o Marco Legal dos Jogos Eletrônicos, especificou os mecanismos mínimos de proteção desse público. O artigo 15 o Marco Legal dos Jogos estabeleceu que ‘a concepção, o design, a gestão e o funcionamento dos jogos eletrônicos de acesso por crianças e adolescentes devem ter como parâmetro o superior interesse da criança e do adolescente’. Esse é um critério que orienta a proteção dos direitos fundamentais desses indivíduos. Ele deve ser considerado em todas as ações que envolvam a criança. Lembrando que o artigo 15 do ECA define que a criança e o adolescente têm direito à liberdade, ao respeito e à dignidade como pessoas humanas em processo de desenvolvimento e como sujeitos de direitos civis, humanos e sociais. Esses direitos estão acima da vontade dos pais ou responsáveis. Já o artigo 16 estabelece que nos jogos eletrônicos direcionados a crianças e adolescentes que possibilitem a interação entre usuários deve ser garantida a aplicação de salvaguardas, como por exemplo: a) canal de denúncias ou reclamações para relatar abusos ou irregularidades cometidas por usuários; b) vedação, em seus termos de uso, de práticas, de trocas de conteúdos e de interações que violem direitos de crianças e adolescentes; c) ferramentas de supervisão e de moderação parental garantindo, ainda, seu direito à informação sobre a ativação e os parâmetros do mecanismo de supervisão; d) mecanismos de proteção contra risco de contato com outros usuários, garantindo, inclusive, a possibilidade de desativação de mecanismos de interação. Por fim, o artigo 17 define que ‘as ferramentas de compras dentro de jogos eletrônicos devem garantir, por padrão, a restrição da realização de compras e de transações comerciais por crianças, quando aplicável, de forma a garantir o consentimento dos responsáveis’. Note-se que os produtores de games não devem utilizar os modelos de proteção adotados pelas indústrias de games estrangeiras pois suas regras e termos de uso não foram elaboradas de acordo com as normas vigentes em nosso país. Além disso, os estúdios de jogos eletrônicos não devem se restringir a atender às proposições contidas apenas no Marco Legal dos Jogos Eletrônicos acima destacadas. Isso porque nenhum direito é absoluto em nosso sistema normativo. Ou seja, deve ser harmonizado com os demais diplomas legais e observar como os Tribunais irão enfrentar os conflitos que podem surgir no âmbito dos jogos eletrônicos. No caso do Brasil, a proteção das crianças vai além do artigo 227 da Constituição e do ECA. Temos, por exemplo, o Código de Defesa do Consumidor que em seu artigo 37, proíbe publicidade abusiva considerando aquela que aproveite da deficiência de julgamento e experiência da criança. Já no Código Civil está estabelecida como se dá a responsabilidade civil dos pais em relação aos filhos, crianças e adolescentes, conforme previsto no artigo 932, inciso I desse Código.Ou seja, os pais são responsáveis pela reparação civil decorrentes de atos ilícitos praticados pelos filhos crianças e adolescentes que estiverem sob sua autoridade e em sua companhia. E isso vale para o ambiente virtual também. Já no inciso II desse mesmo arrigo, está definida também a responsabilidade dos tutores ou curadores pelos pupilos e curatelados, que se acharem sob sua autoridade e em sua companhia. Conjugando todos esses direitos é possível colocar as crianças e adolescentes a salvo de material abusivo ou de contato com estranhos com comportamento agressivo, ou que possam realizar compras de forma indevida, garantindo uma experiência segura e colaborando no seu desenvolvimento pleno. Gostou deste artigo? Acesse mais conteúdos em nosso blog. Créditos da foto: a imagem aqui utilizada foi extraída do Freepik, https://br.freepik.com
Registro de Marca no INPI x Registro de Domínio – não deixe seus clientes navegarem pelos mares da incerteza
É comum os empreendedores considerarem que basta o registro de sua marca perante o INPI (Instituto Nacional da Propriedade Industrial) para assegurar o uso desse nome em seu domínio na Internet. O nome de domínio é um nome que serve para localizar e identificar serviços na Internet. Sem dúvida, promover o registro da sua marca perante o INPI é importante pois isso lhe assegura o direito exclusivo sobre o seu nome ou símbolo em todo o território nacional. Isto é, não devem ser usados indevidamente por terceiros nas embalagens, ações de marketing, etiquetas e banners, sob pena dessas pessoas responderem pelos prejuízos causados. Entretanto, esse registro não se se estende quanto ao domínio de seu site na internet. Em que pese muitos empreendedores utilizarem as redes sociais para darem visibilidade a seus serviços ou produtos, essas plataformas não duram para sempre. Portanto, manter um site ainda é uma boa vitrine para vender produtos e serviços e ajuda a marcar sua presença digital de forma contínua. E para isso, é preciso ter um domínio. Segundo levantamento da consultoria Offerwise[1], no ano de 2024 apenas 26% dos entrevistados brasileiros recorreram às redes sociais para fazerem compras nos últimos 12 meses, representando uma redução de 14 pontos percentuais em comparação ao ano de 2021. Possivelmente, isso se deu em razão dos usuários considerarem a falta de segurança nessas transações em redes sociais. Ter um domínio, portanto, acaba sendo uma estratégia comercial eficaz, pois permite destacar os atributos principais da sua empresa, produto ou serviços em sua página. Fazer o registro de um domínio é um procedimento fácil. Basta acessar o site www.registro.br e fazer a busca. Caso não tenha sido feito o registro, pode ser rapidamente registrado. E o sistema de registro de um domínio é regido pelo princípio do primeiro requerente, reconhecida pela expressão “first come, first served”, ou seja, o primeiro que pedir o registro, irá obtê-lo independente de sua boa ou má-fé. Nesse procedimento não ocorre uma análise de nome comercial ou marca pré-existente registradas em outros órgãos. Portanto, fazer o registro de uma marca perante o INPI não assegura a exclusividade de um nome de domínio na internet. E em razão, disso, podem surgir conflitos entre registro de nome de domínio e de marca pertencendo a pessoas distintas. Quando essa coincidência é caracterizada como intencional, é chamada de ‘cybersquatting’ (“ciberposse”), que é o registro de domínio de forma adiantada aos donos da marca para posterior obtenção de vantagem ilícita. Essas pessoas registram o domínio com a intenção de vendê-los posteriormente aos proprietários de marcas que acabam ‘comprando’ o domínio. Outra prática ilegal que resulta em conflitos entre marca e domínio é o ‘typosquatting’ (ou roubo de URL), que desvia o tráfego de outra página por meio de pequenos erros de digitação. O usuário não percebe o erro, utiliza a página falsa, acreditando estar em um ambiente seguro e insere seus dados bancários ou senhas resultando em prejuízo econômico. Isso acaba prejudicando a reputação da empresa que serviu de isca para esses crimes pois o usuário acabará associando sua marca a uma experiência ruim. Por tudo isso, monitorar constantemente o uso da sua marca nos meios digitais é fundamental para identificar essas práticas ilícitas e caso, confirmadas, tomar as medidas administrativas e judiciais cabíveis para que seus clientes também não sejam prejudicados. Gostou deste artigo? Acesse mais conteúdos em nosso blog. Créditos da foto: a imagem aqui utilizada foi extraída do Freepik, https://br.freepik.com [1] “Vendas por App Crescem em 2024: Tendências de Consumo”, Feb 15, 2024, Offerwise Reserach
SEU CANAL DE ATENDIMENTO AO CONSUMIDOR (SAC) ESTÁ ESTRUTURADO DE ACORDO COM AS EXIGÊNCIAS DA LEI?
Por mais que uma empresa busque a excelência na venda de seus produtos ou serviços, infelizmente, nem sempre tudo sai como planejado. Ou seja, mercadoria entregue com atraso ou trocada ou danificada, cobranças indevidas, etc, resultando na insatisfação do cliente.Mesmo que os eventos não tenham ocorrido conforme o planejado, ainda é possível contornar a situação atendendo prontamente as reclamações ou solicitações dos consumidores. Portanto, a eficácia do Serviço de Atendimento ao Cliente (SAC) será crucial para reconquistar ou perder de vez esse cliente. A principal reclamação dos consumidores é que não conseguem resolver suas demandas porque são atendidos por robôs, mensagens gravadas, menus intermináveis. Enfim, um pequeno problema que poderia ser facilmente resolvido com alguns minutos de atenção de um atendente bem treinado acaba causando frustração ao cliente. Existe legislação que regula essa matéria objetivando fortalecer os serviços de pós-venda e proporcionar a melhora na resolução das reclamações dos consumidores. Esse regramento consta no Decreto 11.034/2022, o qual em resumo estabelece o seguinte: • obrigatoriedade de oferecimento de atendimento telefônico por seres humanos no mínimo 8 horas por dia; • os demais canais de atendimentos (tais como ‘chatbot’), serão obrigatórios, gratuitos e disponibilizados 24 horas por dia e 7 dias por semana. Ou seja, de forma ininterrupta; • Se o consumidor consentir, poderão ser veiculas mensagens publicitárias enquanto aguarda atendimento. Se não consentir, poderão ser veiculas somente mensagens meramente informativas que tratem dos seus direitos e deveres dos fornecedores ou dos outros canais de atendimento disponíveis; • O funcionamento do SAC deverá ser amplamente divulgado; • O acesso inicial ao atendente não será condicionado ao fornecimento prévio de dados pelo consumidor; • No atendimento telefônico ao consumidor, deverão ser apresentadas opções mínimas constantes do primeiro menu, incluídas, obrigatoriamente, as opções de reclamação e de cancelamento de contrato e serviços; • Com ampliação dos canais de atendimento, as empresas devem se ater à questão da proteção dos dados pessoais (LGPD) gerados nestes canais digitais, adotando medidas técnicas e administrativas para que não ocorram vazamento de dados. Além disso, há uma nova disposição que trata da qualidade do tratamento das demandas, devendo ser garantido ao consumidor no tratamento das suas demandas a tempestividade, segurança, privacidade e sua resolutividade. Ou seja, deve haver uma solução eficaz e célere. Aqui é fundamental o treinamento dos atendentes que devem dominar os direitos que os consumidores podem exigir e também conhecer bem os produtos ou serviços ofertados pela sua empresa para que tenham capacidade de explicar o produto e resolver o problema que está sendo relatado pelo cliente. O insight humano é crucial, pois pode ser a única interação entre sua empresa (atendente) e o cliente insatisfeito, necessário para resolver o problema. Também é importante mencionar que esta regulamentação prevê o direito do consumidor de acompanhar, nos diversos canais de atendimento integrados, todas as suas demandas por meio de registro numérico ou outro tipo de procedimento eletrônico. O Consumidor terá, inclusive, direito de acesso ao histórico de suas demandas e sem ônus. Sua empresa já realizou as alterações para atender ao Decreto? Seu pessoal está treinado para o eficaz atendimento das demandas dos consumidores? Sua equipe domina os direitos que os consumidores possuem? Quais serão as diretrizes de atendimento pelos chatbots? Com a devida orientação sua equipe de atendimento estará preparada para fazer o melhor atendimento evitando que sua reputação empresarial seja afetada com reclamações facilmente evitáveis e com isso você se destacará no mercado em que atua.
A (in)segurança da troca de informações nos grupos de conversas das empresas
Você já se sentiu inseguro quando um integrante de sua equipe postou imagens de seus clientes no grupo de conversas do trabalho? Será que essas imagens não serão compartilhadas com terceiros? E se isso ocorrer, isso pode ser considerado um vazamento de dados pessoais? Sim, caso essas informações sejam compartilhadas com terceiros, isso pode ser considerado um incidente de vazamento de dados com suas consequências legais tais como cobrança de multa e pedidos de indenizações pelos prejudicados. Vamos enfrentar essa questão que é motivo de preocupação para muitos gestores, sugerindo algumas medidas para mitigar riscos. Devido a necessidade de agilidade nas comunicações, muitas empresas acabam criando diversos grupos para troca de informações. Geralmente são grupos de conversas agrupados por áreas da empresa (área de vendas, financeiro, compras, etc), ou por projetos (atendimento ao cliente ‘X’, realização do evento ‘y’, etc). Nesses grupos podem ser postados dados, imagens e até documentos de identificação de clientes ou até de colegas de equipe. O problema ocorre quando a ação é realizada sem diretrizes ou regras estabelecidas, confiando apenas no bom senso dos envolvidos, que nem sempre está plenamente de acordo com as regras da empresa. Portanto, é fundamental abordar com as equipes a importância e necessidade de manter em sigilo as informações que transitam nesse meio de comunicação. Reforce que a hierarquia de cargos da corporação, suas Políticas e as regras de boa educação se estendem aos grupos de comunicação. Também é importante incluir aviso com as regras do grupo com o alerta de que, todos os dados ou informações ali transmitidas deverão ser utilizadas apenas de acordo com a finalidade que foram obtidas e de acordo com as atividades da empresa, sendo vedada sua reprodução ou compartilhamento a terceiros. Uma boa prática para mitigar riscos é orientar as equipes de constantemente excluírem os dados que constam nos dispositivos móveis. É possível estabelecer uma rotina de descarte de acordo com a política de descarte de dados pessoais da empresa. Caso alguma informação (dados ou imagens) seja equivocadamente enviado para destinatário incorreto, oriente o colaborador a imediatamente informar ao DPO (encarregado de dados) da empresa para que sejam adotadas as providências cabíveis dentro do prazo legal. Com a abordagem certa, é possível antecipar riscos, minimizar danos e aumentar a segurança digital de sua empresa.
