ClickUp Blogue
Lista de verificação de conformidade com o GDPR: Etapas e ferramentas para conquistar a privacidade de dados
Gerenciamento de Projetos

Lista de verificação de conformidade com o GDPR: Etapas e ferramentas para conquistar a privacidade de dados

PMO Team
PMO Team
22 de setembro de 2024

Todos nós já ouvimos falar do Regulamento Geral sobre a Proteção de Dados (RGPD).

É uma questão de privacidade de dados, certo? Em essência, sim. Mas, para as empresas, significa uma mudança fundamental na forma como interagem e mantêm contato com seus clientes e público-alvo.

Por exemplo, a Meta recebeu uma multa pesada de 1,3 bilhão de dólares por não aderir aos parâmetros de privacidade de dados definidos pelo GDPR. 😲

Portanto, se você tem clientes na região da UE, precisa fazer isso da maneira certa e o mais rápido possível!

Esta publicação no blogue irá fornecer-lhe uma compreensão clara da conformidade com o RGPD, uma lista de verificação prática para a alcançar e algumas ferramentas úteis para automatizar e simplificar o processo.

Vamos lá. 🎢

GDPR 101: Entendendo o básico

O que é o GDPR?

O GDPR é um regulamento aplicado pela UE para proteger a privacidade dos dados dos indivíduos na região. Ele determina como os dados pessoais dos cidadãos da UE são coletados, armazenados, usados e, por fim, protegidos pelas empresas.

A lei foi implementada em maio de 2018 e teve um impacto significativo na forma como as empresas interagem com os clientes. Esta diretriz exaustiva foi criada para regulamentar três aspectos gerais da proteção de dados:

  • Privacidade de dados: o GDPR concede aos indivíduos maior controle sobre seus dados pessoais, incluindo o direito de acessar, retificar, apagar, restringir o processamento, portabilidade de dados, opor-se ao processamento e ser informado sobre as atividades de processamento de dados.
  • Segurança dos dados: exige que as empresas implementem medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, alteração, divulgação ou destruição.
  • Responsabilidade: as empresas são responsáveis por demonstrar a conformidade com o GDPR. Isso inclui a realização de avaliações de impacto sobre a proteção de dados (DPIAs) para atividades de processamento de alto risco, como serviços bancários, e a nomeação de um responsável pela proteção de dados (DPO) em determinados casos.

🚦Lembre-se: qualquer organização que colete ou processe dados pessoais de residentes da UE, independentemente da localização da empresa, precisa estar em conformidade com o GDPR. Isso inclui pequenas empresas, corporações multinacionais e até mesmo organizações sem fins lucrativos.

De que dados estamos falando?

O GDPR concentra-se nas informações de identificação pessoal (PII), que são quaisquer informações que possam ser utilizadas para identificar um indivíduo, direta ou indiretamente. Exemplos incluem:

  • Identificadores diretos: nome, endereço, número de segurança social ou equivalente, número de telefone, endereço de e-mail
  • Identificadores indiretos: gênero, raça, data de nascimento, indicador geográfico, ocupação, dados demográficos
  • Informações pessoais confidenciais: número da carteira de motorista, número do passaporte, dados biométricos, informações financeiras, registros médicos, informações de contas eletrônicas e digitais, registros pessoais de funcionários, informações de senha, números de identificação escolar

Leia mais: Os 10 melhores softwares de governança de dados (avaliações e preços )

O que isso significa para as empresas?

Do ponto de vista do GDPR, você é um controlador de dados ou um processador de dados que trabalha com os dados de cidadãos da UE. Dependendo da categoria em que você se enquadra, as expectativas em relação à sua empresa podem variar.

  • Controlador de dados: é a entidade que determina a finalidade e os meios de processamento dos dados pessoais. É responsável por garantir a conformidade com o GDPR.
  • Processador de dados: é a entidade que processa dados pessoais em nome do controlador de dados. Ele deve seguir as instruções do controlador de dados.

Em um exemplo real, um controlador de dados poderia ser um hospital, e um processador de dados poderia ser um provedor de armazenamento em nuvem onde o hospital armazena os registros dos pacientes. Como controlador de dados, o hospital decide quais informações armazenar e como usá-las. O provedor de nuvem (processador de dados) simplesmente armazena os dados com segurança, de acordo com as instruções do hospital.

🚦Lembre-se: o GDPR atribui mais responsabilidade aos controladores de dados para criar e implementar a privacidade desde a concepção em todos os seus processos de negócios.

RGPD: uma lei de privacidade ou uma lei de privacidade de informações?

As leis de privacidade e de proteção de informações são frequentemente usadas de forma intercambiável, mas têm nuances distintas. Embora ambas se preocupem com a proteção dos dados dos indivíduos, elas abordam a questão de ângulos ligeiramente diferentes.

A lei de privacidade, em seu sentido mais amplo, diz respeito à proteção dos indivíduos contra invasões em suas vidas pessoais e espaço físico, como visitas indesejadas em casa. A lei de privacidade de informações, por outro lado, concentra-se especificamente na proteção de dados pessoais, como endereços IP ou e-mails.

Na prática, um serviço que você contratou poderia acessar sua localização através do GPS do seu telefone e enviar atualizações específicas para a sua localidade, ou um serviço de entrega poderia enviar itens para o endereço da sua casa. Se qualquer uma dessas empresas sofrer uma violação de dados, a localização da sua casa ficará exposta e poderá ser explorada.

Nesse contexto, embora o GDPR proteja principalmente os dados pessoais, ele também aborda questões mais amplas relacionadas à privacidade.

O GDPR não se refere apenas à proteção de dados. Trata-se de direitos fundamentais, incluindo o direito à privacidade e o direito ao esquecimento.

O GDPR não se refere apenas à proteção de dados. Trata-se de direitos fundamentais, incluindo o direito à privacidade e o direito ao esquecimento.

Lista de verificação de conformidade com o GDPR: seu roteiro para a proteção de dados

Agora que deciframos o código do GDPR (bem, pelo menos o básico!), vamos examinar as etapas gerais que você precisa incluir em uma lista de verificação de auditoria do GDPR para se tornar compatível.

1. Mapeie suas fontes de dados

Antes de proteger os dados, você precisa entender quais dados está coletando. Realize uma auditoria para identificar todos os dados pessoais que sua empresa acumula, de onde eles vêm e como são usados.

Para fazer isso de maneira eficiente, você precisa observar o seguinte:

  • Inventário de dados: Crie um inventário detalhado de todas as categorias de dados pessoais coletados, incluindo nomes, endereços, informações de contato, dados financeiros, dados biométricos e muito mais.
  • Fontes de dados: identifique as fontes desses dados, como sites, formulários, fornecedores terceirizados ou interações físicas.
  • Atividades de processamento de dados: determine como os dados são usados, incluindo armazenamento, processamento, transmissão e compartilhamento.
  • Retenção de dados: estabeleça políticas de retenção de dados (por quanto tempo os dados permanecem em seu sistema) que estejam alinhadas com os princípios do GDPR e minimizem o armazenamento de dados pessoais.
  • Fluxo de dados: mapeie o fluxo de dados dentro da sua organização e para partes externas. Por exemplo, um serviço de entrega terceirizado que está executando seu pedido de remessa se enquadraria nessa categoria.

💡 Dica profissional: O ClickUp CRM pode ser sua solução completa para mapear e armazenar dados de clientes. Desde a captura de endereços de e-mail em leads de vendas até o acompanhamento da jornada do cliente e quaisquer interações adicionais, ele ajudará você a organizar todos os dados em um só lugar.

ClickUp CRM
Gerencie contas de clientes, otimize fluxos de trabalho e automatize o contato com os clientes com o ClickUp CRM

2. Contrate um responsável pela proteção de dados (DPO)

Um DPO atua como o único ponto de contato para a privacidade de dados dentro da sua organização.

Como especialista em privacidade de dados, o responsável pela proteção de dados garante que as práticas de dados da organização estejam alinhadas com os requisitos do GDPR. Em sua função, um DPO lida com solicitações de titulares de dados, responde a violações de dados, auxilia na avaliação de riscos e atua como um elo de ligação com as autoridades de proteção de dados.

Para se qualificar como DPO, um candidato deve possuir experiência em leis de proteção de dados e estar facilmente acessível aos funcionários e titulares dos dados. Ao nomear um DPO qualificado, você pode demonstrar seu compromisso com a privacidade dos dados, reduzir o risco de não conformidade e aumentar sua credibilidade como empresa entre os clientes.

Leia mais: Como usar IA para governança de dados (casos de uso e ferramentas)

3. Documente seu processo do GDPR de ponta a ponta

Documente tudo! Criar uma política de processamento de dados envolve descrever cada processo ao longo do caminho para que você possa identificar onde os dados do cliente serão armazenados ou por quanto tempo serão armazenados após o cancelamento da assinatura, por exemplo.

Certifique-se de que a visão geral do processo e os detalhes específicos estejam claramente definidos e acessíveis para todas as equipes que precisarão atualizá-los ou consultá-los periodicamente.

Aproveite o ClickUp Docs para manter um registro centralizado e facilmente acessível de suas atividades de processamento de dados, incluindo o tipo de dados, a base legal para a coleta e o período de retenção.

A documentação de conformidade não precisa ser enfadonha; experimente o ClickUp Docs!

Crie documentos separados para diferentes aspectos da conformidade, como mapeamento de dados, políticas de retenção de dados, planos de resposta a violações de dados e avaliações de risco.

Esses documentos podem ser organizados em uma estrutura hierárquica usando páginas aninhadas, facilitando a navegação e a consulta. Você também pode usar os recursos de colaboração do ClickUp, como @menções, para envolver equipes e indivíduos relevantes no processo, garantindo que todos estejam alinhados e informados.

4. Reavalie seus processos de coleta de dados

Você realmente precisa de todos esses dados? O GDPR enfatiza o princípio da minimização de dados, que exige que as organizações coletem e processem apenas os dados pessoais necessários para fins específicos.

Para garantir a conformidade, avalie regularmente suas práticas de coleta de dados e certifique-se de que elas se limitem ao necessário e sejam proporcionais aos seus objetivos comerciais. Aqui estão algumas coisas a serem consideradas:

Limitação da finalidade

Certifique-se de que os dados coletados estejam diretamente relacionados aos objetivos da sua empresa e não sejam usados para fins não intencionais. Por exemplo, para processar pedidos, um site de comércio eletrônico pode coletar nomes, endereços e informações de pagamento dos clientes. Esses dados não devem ser usados para publicidade direcionada sem o consentimento do cliente.

Minimização de dados

Identifique se algum campo de dados pode ser eliminado ou anonimizado sem comprometer a finalidade da coleta de dados. Uma plataforma de mídia social pode inicialmente coletar os nomes completos, endereços de e-mail e datas de nascimento dos usuários. No entanto, se a plataforma puder funcionar adequadamente apenas com nomes de usuário e endereços de e-mail, ela deve minimizar a coleta de dados pessoais.

Retenção de dados

Estabeleça políticas adequadas de retenção de dados para garantir que os dados não sejam mantidos por mais tempo do que o necessário. Para fins de conformidade regulatória, um banco pode reter registros de solicitações de cartão de crédito por um período específico. Após o período obrigatório, esses dados podem ser anonimizados ou excluídos.

Consentimento

Se você estiver contando com o consentimento como base legal para o processamento, certifique-se de que ele seja dado livremente, específico, informado e inequívoco. Um aplicativo móvel solicita que os usuários consentam com a coleta de dados de localização para recomendações personalizadas. O consentimento deve ser dado livremente e ser específico (por exemplo, acessar a localização apenas ao usar o aplicativo).

Interesses legítimos

Se você estiver se baseando em interesses legítimos, avalie cuidadosamente se eles superam os interesses, direitos e liberdades do indivíduo. Uma organização de notícias pode processar as informações de contato dos jornalistas para facilitar a comunicação e a colaboração. Isso pode ser considerado um interesse legítimo para atividades jornalísticas.

🌈 Você sabia? SOC 2 é uma estrutura equivalente ao GDPR mais associada às empresas americanas. É uma norma voluntária usada por organizações para demonstrar seu compromisso com a segurança e a privacidade dos dados.

Embora o GDPR seja uma regulamentação legal focada na proteção dos dados pessoais de indivíduos na União Europeia, o SOC 2 pode ser visto como um padrão complementar. Ao obter a conformidade com o SOC 2, você pode demonstrar que é uma entidade comercial responsável pelos dados e manter a adesão a medidas de segurança de dados reconhecidas globalmente.

5. Fique atento a violações de dados e aja rapidamente

Ao relatar uma violação de dados sob o GDPR, as organizações devem avaliar o risco potencial aos direitos e liberdades dos indivíduos. Isso envolve considerar o tipo de dados comprometidos, a probabilidade de acesso não autorizado e as consequências potenciais para os indivíduos afetados.

O GDPR exige que as violações de dados sejam comunicadas em até 72 horas se houver um alto risco de impacto negativo sobre os direitos e liberdades das pessoas.

Em muitos casos, as organizações também devem notificar diretamente as pessoas afetadas, fornecendo informações claras sobre a violação, os dados envolvidos e as medidas que estão sendo tomadas para resolvê-la.

Além disso, é necessária uma investigação minuciosa para entender a causa da violação e implementar medidas preventivas. É essencial manter registros detalhados de todo o processo, incluindo as medidas tomadas para relatar a violação e mitigar seu impacto.

Exemplo: violação de dados da British Airways

Em 2018, a British Airways sofreu uma violação de dados significativa que afetou aproximadamente 500.000 clientes. Os hackers conseguiram obter acesso não autorizado ao sistema de reservas da companhia aérea, roubando informações pessoais como nomes, endereços, detalhes de cartões de pagamento e itinerários de viagem.

Essa violação foi uma clara infração ao GDPR, pois envolveu o processamento não autorizado de dados pessoais em grande escala. A British Airways foi multada em £ 20 milhões pelo Information Commissioner's Office (ICO) do Reino Unido pelo incidente.

6. Priorize a transparência na sua coleta de dados

Seus clientes têm o direito de saber exatamente quais dados você está coletando e como você os utiliza. Aqui estão algumas medidas que você pode tomar para garantir a transparência em seus processos de coleta de dados:

  • Políticas de privacidade claras e concisas: forneça políticas de privacidade facilmente acessíveis e compreensíveis que descrevam claramente suas práticas de dados. Essas políticas devem ser redigidas em linguagem simples e evitar jargões jurídicos.
  • Consentimento informado: defina os objetivos da coleta de dados, os tipos de dados coletados e os direitos dos clientes em relação aos dados durante o processo de obtenção do consentimento.
  • Solicitações de acesso dos titulares dos dados: Responda às solicitações de acesso dos titulares dos dados de forma rápida e abrangente. Isso significa fornecer aos indivíduos uma cópia de seus dados pessoais e informações sobre como eles estão sendo processados.
  • Compartilhamento de dados com terceiros: se os dados pessoais forem compartilhados com terceiros, certifique-se de que as medidas de segurança adequadas estejam em vigor para proteger os dados e que os terceiros também estejam em conformidade com o GDPR.

7. Obtenha o consentimento dos pais para clientes menores de idade

O GDPR exige que as empresas obtenham o consentimento dos pais ou responsáveis legais antes de processar dados pessoais de crianças menores de 16 anos na maioria dos países da UE.

Para verificar a idade dos seus usuários, empregue métodos confiáveis, como exigir o consentimento dos pais ou usar serviços de verificação de idade. Se o consentimento dos pais for obtido, ele deve ser dado livremente, ser específico, informado e inequívoco.

Além disso, mantenha registros detalhados do processo de consentimento, incluindo a data, o método e a identidade da parte consentidora. Adicione etapas adicionais para garantir que nenhuma informação confidencial seja coletada de crianças e que seus dados não sejam retidos por mais tempo do que o necessário.

Exemplo: TikTok vs. Comissão Irlandesa de Proteção de Dados

O TikTok foi multado em US$ 379 milhões pela Comissão de Proteção de Dados da Irlanda (DPC) por não proteger adequadamente os dados pessoais de crianças. A DPC constatou que o TikTok não havia obtido o consentimento válido de crianças menores de 13 anos, conforme exigido pelo GDPR.

Além disso, o DPC criticou o TikTok por não fazer o suficiente para impedir que crianças visualizassem conteúdo potencialmente prejudicial. Esta é uma das maiores multas impostas pelo GDPR, destacando a importância de proteger os dados das crianças online.

8. Empregue um consentimento de dupla confirmação

Para facilitar um processo de consentimento verdadeiramente informado, obtenha o consentimento explícito dos clientes antes de processar seus dados, incluindo seus endereços de e-mail, para fins de marketing. Um processo de dupla confirmação é um método robusto para garantir que os indivíduos tenham se inscrito de forma consciente e voluntária em uma lista de e-mails.

Como funciona a dupla confirmação?

  1. Inscrição inicial: quando uma pessoa insere seu endereço de e-mail para se inscrever em uma lista de e-mails, ela recebe um e-mail de confirmação.
  2. Confirmação: O indivíduo deve clicar em um link ou botão no e-mail de confirmação para concluir o processo de inscrição.

Este processo de verificação em duas etapas ajuda a evitar spam e garante que as pessoas tenham consentido ativamente em receber e-mails. Ao implementar um processo de dupla confirmação, você pode reduzir o risco de ser sinalizado por marketing por e-mail não solicitado.

9. Atualize sua política de privacidade periodicamente

Revise e atualize sua política de privacidade regularmente para refletir quaisquer alterações em suas práticas de dados ou requisitos legais. Concentre-se nas seguintes dicas para manter sua política de privacidade em perfeitas condições:

  • Precisão: certifique-se de que as informações em sua política de privacidade estejam precisas e atualizadas.
  • Acessibilidade: torne sua política de privacidade facilmente acessível em seu site e forneça um link para ela em outras páginas relevantes.
  • Consistência: certifique-se de que sua política de privacidade seja consistente com suas práticas reais de dados.

💈Bônus: Procurando inspiração? Veja a política de privacidade da ClickUp.

Exemplo da política de privacidade da ClickUp

10. Avalie os riscos de terceiros

Como entidade empresarial responsável pelos dados, você é responsável por verificar se seus parceiros terceirizados estão em conformidade com o GDPR. É mais fácil falar do que fazer, nós sabemos! Mas aqui está uma visão geral do processo para ajudá-lo a criar uma política para suas auditorias de terceiros:

  • Estabeleça um acordo explícito de processamento de dados que descreva o escopo do trabalho, os dados compartilhados, as medidas de segurança e as responsabilidades de ambas as partes.
  • Realize uma diligência prévia completa sobre esses terceiros, avaliando suas políticas de privacidade, certificações e referências.
  • Avalie os riscos envolvidos no compartilhamento de dados com eles, considerando fatores como a sensibilidade dos dados, as atividades de processamento e sua localização geográfica, estejam eles dentro ou fora da UE.
  • Mantenha uma supervisão regular, monitorando a conformidade e realizando auditorias.

Leia mais: As 10 melhores ferramentas de governança, risco e conformidade (GRC) em 2024

Conquistando a conformidade com o GDPR com ferramentas automatizadas

Ufa, é uma lista e tanto. Felizmente, você não precisa percorrer essa jornada de conformidade sozinho.

Várias ferramentas digitais de GRC podem simplificar o processo e facilitar sua vida, e uma delas é o ClickUp. Como uma plataforma de gerenciamento de projetos tudo-em-um, o ClickUp pode facilmente funcionar como sua sede de conformidade com o GDPR.

Ao configurar um processo tão desafiador quanto uma lista de verificação de conformidade com o GDPR, você precisa de uma abordagem passo a passo, e aqui na ClickUp, nós somos especialistas em etapas. 🪜

Recursos como as listas de verificação de tarefas do ClickUp foram projetados para dividir e gerenciar processos complexos como esses. Pense nelas como listas de tarefas dentro de suas tarefas. Ao criar listas de verificação, você pode definir claramente as ações específicas necessárias para concluir uma tarefa, atribuí-las aos membros da equipe e acompanhar seu progresso.

Crie listas de verificação facilmente em cada tarefa usando as listas de verificação de tarefas do ClickUp

Para usar listas de verificação de tarefas no ClickUp, basta criar uma nova tarefa, clicar na guia “Listas de verificação” na sua tarefa e adicionar suas etapas individuais. Em seguida, você pode organizar sua lista de verificação de conformidade em subtarefas menores e mais gerenciáveis, como esta:

Crie subtarefas no ClickUp
Criando subtarefas em listas de verificação

Depois que todas as etapas estiverem prontas nas listas de tarefas, atribua cada tarefa às equipes relevantes, como a equipe jurídica, para dar andamento ao processo.

Você também pode usar a visualização do gráfico de Gantt do ClickUp para visualizar esse processo em uma linha do tempo, ver como está progredindo e desenvolver estimativas claras do cronograma para a conclusão do projeto.

Gráficos de Gantt do ClickUp
Visualize suas tarefas mais importantes com os gráficos de Gantt do ClickUp

E não para por aí. Depois de definir um processo, utilize o ClickUp Automation para realizar ações específicas com base nas regras definidas. Por exemplo, você pode configurar uma automação personalizada para notificar as pessoas para adicionar comentários, revisar e atualizar a política de privacidade a cada três meses.

Crie automações personalizadas para avançar suas tarefas de conformidade ao longo do processo

E, por fim, a conformidade com a política do GDPR envolve MUITA documentação.

Se você se sentir preso em qualquer ponto do processo, use o ClickUp Brain, o assistente de IA integrado do ClickUp, para ajudá-lo a redigir políticas em uma linguagem fácil de entender e direta, ou até mesmo fazer algumas pesquisas sobre as melhores práticas do setor para o GDPR.

ClickUp Brain
O AI Writer do ClickUp Brain pode ajudá-lo a criar rascunhos de documentação mais rapidamente.

Além disso, o ClickUp tem modelos personalizados para ajudar a tornar o processo de planejamento da sua lista de verificação muito mais fácil.

Modelo de plano de projeto de conformidade da ClickUp

O modelo de plano de projeto de conformidade da ClickUp oferece uma vantagem inicial no seu processo de planejamento.
Baixe este modelo
O modelo de plano de projeto de conformidade da ClickUp oferece uma vantagem inicial no seu processo de planejamento.

O Modelo de Plano de Projeto de Conformidade da ClickUp oferece uma solução abrangente para gerenciar seus esforços de conformidade com o GDPR. Sua Visualização de Requisitos de Conformidade permite listar todas as regulamentações necessárias, enquanto a Visualização do Status de Conformidade fornece uma visão geral clara do progresso e identifica áreas não conformes. A Visualização Adicionar Requisitos garante que você possa incorporar facilmente novas regulamentações à medida que elas surgirem. No geral, este modelo simplifica o processo de conformidade, ajudando você a se manter organizado, acompanhar o progresso e garantir a adesão aos padrões do GDPR.

Modelo de lista de verificação de projetos da ClickUp

Modelo de lista de verificação de projetos da ClickUp
Baixe este modelo
Crie subtarefas gerais para qualquer tipo de projeto com o modelo de lista de verificação de projetos da ClickUp.

O Modelo de Lista de Verificação de Projetos da ClickUp pode ajudá-lo a delinear as etapas essenciais para o seu processo de conformidade. Ele inclui esboços para subtarefas gerais que formam a base de qualquer projeto. Use este modelo para:

  • Descreva a sequência adequada de tarefas para garantir que cada etapa se baseie na anterior. Isso ajudará a evitar erros e omissões.
  • Antecipe possíveis desafios e riscos relacionados à conformidade com o GDPR e lide com essas questões de forma proativa.
  • Inclua prazos para cada tarefa, garantindo que o projeto como um todo seja concluído dentro do prazo.

Conformidade facilitada com o ClickUp

Uma lista de verificação de conformidade com o GDPR bem estruturada é essencial para garantir que sua organização esteja atendendo aos requisitos dessa importante regulamentação.

Os recursos de gerenciamento de projetos do ClickUp oferecem uma plataforma poderosa para criar e gerenciar sua lista de verificação de conformidade com o GDPR. Ao dividir esse processo aparentemente complexo em tarefas menores e mais fáceis de gerenciar, você pode acompanhar o progresso de forma eficaz, identificar possíveis problemas e garantir a conformidade.

Desde definir o processo até atribuir responsabilidades, monitorar o progresso e colaborar com sua equipe, o ClickUp pode ajudar a manter seu projeto de conformidade nos trilhos.

Cadastre-se para obter uma conta gratuita no ClickUp e comece seu processo de conformidade com o GDPR!