A LGPD, Lei Geral de Proteção de Dados, já está em vigor desde setembro de 2020 mas ainda vemos no mercado muitas dúvidas e incertezas quanto à implementação e aplicação da lei no dia a dia das empresas, usuários, consumidores e demais envolvidos.
Neste artigo você verá o passo a passo para adequar sua empresa à Lei, terá acesso ao dicionário dos termos que envolvem a LGPD e conhecerá também as obrigações do Controlador e Encarregado de Dados segundo a LGPD – Lei nº 13.709/2018.
Passo a passo para adequar sua empresa a LGPD
Se você ainda não sabe por onde começar, especialistas sugerem que você siga o passo a passo abaixo:
- Faça revisões dos contratos da sua empresa com seus principais stakeholders, propondo aditivos para adequação;
- Adote meios tecnológico adequados para proteger a rede da empresa e possibilitar a aplicação das políticas definidas;
- Faça uma elaboração periódica de relatórios de impacto à proteção de dados;
- Faça treinamentos periódicos para reforçar a cultura de proteção de dados e preservação da privacidade;
- Garanta que novos projetos sejam sempre analisados sob o viés de privacidade e proteção de dados.
E nunca perca de vista os princípios norteadores para as boas práticas da LGPD:
- Finalidade
- Adequação
- Necessidade
- Livre-acesso
- Qualidade dos dados
- Transparência
- Segurança
- prevenção
- Não-discriminação
- responsabilização
Dicionário da LGPD
ANPD – Autoridade Nacional de Proteção de Dados;
Anonimização: Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
Bases legais: Fundamentação legal que torna legítimo o tratamento de dados pessoais coletados pela empresa ou por outra pessoa natural, para uma determinada finalidade;
Consentimento: Autorização expressa e inequívoca dada pelo titular do dado para que empresa ou por outra pessoa natural trate os dados pessoais e pessoais sensíveis para uma finalidade previamente descrita, sempre que a Lei determinar este consentimento ou necessidade.
Controlador: Pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais e pessoais sensíveis;
Controlador de Dados: Organização que possui relacionamento com os titulares dos dados e processa seus dados pessoais;
Dados Pessoais: Qualquer informação relativa a uma pessoa natural identificada ou identificável, ou que, quando usadas em combinação com outras informações tratadas identificam uma pessoa. Informações como: informação de menores de idade, histórico criminal, nome, identificadores sociais (RG CPF, passaporte, etc), número de telefone, imagens que possam identificar pessoas, endereço, e-mail, currículo e histórico profissional, dados de conexão (endereço de IP, logs, etc) e estado civil;
Dados Pessoais sensíveis: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física;
DPO: Profissional que, dentro de uma empresa, é encarregado de cuidar das questões referentes à proteção dos dados da organização e de seus clientes segundo as normas da GDPR;
Encarregado: Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
Finalidade: Objetivo, o propósito que a empresa ou pessoa natural, deseja alcançar a partir de cada ato de tratamento das informações pessoais;
GDPR: Regulamento Geral sobre a Proteção de Dados da Europa;
LGPD: Lei Geral de Proteção de Dados;
Necessidade: Justificativa pelo qual é estritamente necessário coletar dados pessoais ou pessoais sensíveis, para atingir a finalidade, evitando-se a coleta excessiva;
Operador: Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais e pessoais sensíveis em nome do controlador;
Operador de Dados: Terceiros que processam dados em nome do Controlador;
Pessoas Naturais: Ser humano sujeito a direitos e deveres (qualquer indivíduo, empregado
das empresas do grupo, clientes, parceiros e consumidores);
Privacidade: Descrita como “os direitos e obrigações de um indivíduo de controlar a coleta, o uso e a divulgação e o descarte de informações pessoais”. Privacidade é o “uso apropriado de informações pessoais”. O que é apropriado depende do contexto, leis e expectativas dos indivíduos;
Proteção de dados: Corresponde aos mecanismos e à gestão de informações realizadas para pavimentar a conformidade com leis e regulamentos de proteção de dados e privacidade;
Titular do dado: Titular dos dados pessoais e pessoais sensíveis;
Tratamento: Toda operação realizada com os dados pessoais, exemplo: coletar, produzir, receptar, utilizar, acessar, reproduzir, transmitir, distribuir, processar, arquivar, armazenar, eliminar, avaliar, classificar ou controlar a informação, modificar, comunicar, transferir, difundir ou extrair os dados coletados, incluindo as informações de identificação pessoal, sempre de acordo com a Lei em vigor e/ou com seu consentimento do Titular dos dados;
As informações relativas aos dados pessoais e pessoais sensíveis só poderão ser submetidas a tratamento mediante consentimento específico e destacado do titular, para finalidades específicas ou para cumprimento de obrigação legal ou regulatória pelo controlador, exercício regular de direitos, inclusive em âmbito administrativo, judicial ou arbitral ou garantia de proteção à fraude e a segurança do titular do dado.
O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
- Consentimento fornecido pelo titular dos dados;
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Execução de políticas públicas para tratamento e uso compartilhado de dados necessários à execução previstas em lei e regulamentadas ou respaldadas em contrato;
- Estudo por órgão de pesquisa, levando sempre em consideração se possível a anonimização dos dados;
- Execução de contrato ou pré-contrato dos quais seja parte o titular, a pedido do titular dos dados;
- Exercício regular do direito por procuração judicial, ad ou arbitral;
- Proteção à vida ou da incolumidade física do titular ou de terceiro;
- Tutela da saúde exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- Interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
- Proteção de crédito inclusive quanto ao disposto na legislação pertinente.
O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justifiquem sua disponibilização.
Controlador de Dados: Entenda melhor suas responsabilidades
Entenda melhor as responsabilidades do Controlador de Dados, nova função que surgiu após a implantação da nova Lei Geral de Proteção de Dados:
- Provar que o consentimento foi obtido em conformidade com a LGPD;
- Manter registro da operações de tratamento de dados pessoais e pessoais sensíveis que realize;
- Mediante solicitação da Autoridade Nacional (ANPD), elaborar relatório de impacto à proteção de dados;
- Informar ao titular caso haja alguma alteração na finalidade para coleta de dados;
- Responder solidariamente, em conjunto com o operador, se causar a terceiros danos por violação da LGPD;
- Adotar medidas técnicas que garantam o tratamento de dados de forma segura;
- Desenvolver processos internos e criar políticas que permitam realizar a criação e manutenção de registros das operações de tratamento de dados;
- Conservar os dados visando atender a finalidade pela qual foram coletados e para cumprir com obrigações legais e regulatórias;
- Nomear o encarregado pelo tratamento dos dados pessoais e pessoais sensíveis;
- Em caso de falta de consentimento, o controlador somente poderá fundamentar o tratamento de dados pessoais atestando que há uma finalidade legítima para tanto;
- É facultado ao controlador formular regras de boas práticas e de governança que estipulem condições de organização, procedimentos e normas de segurança, padrões técnicos, obrigações específicas, mecanismos internos de supervisão e mitigação de riscos;
- É permitida a conservação de dados pelo controlador quando encerrado o período de tratamento para que seja possível cumprir com as obrigações legais e regulatórias.
Encarregado: Entenda melhor suas responsabilidades
O papel do encarregado no cenário da LGPD é de informar, aconselhar e monitorar a conformidade da empresa quanto à proteção e privacidade de dados.
Ele atua como ponto focal para os titulares dos dados e a autoridade supervisora, a ANPD. O encarregado pode ser um empregado existente ou um terceiro contratado.
Na Europa a função é conhecida como DPO, por meio do GDPR (Regulamento Geral sobre a Proteção de dados da Europa) e seu perfil é de advogados em cerca de 90% dos casos ou alguém que tenha conhecimento jurídico. O time que dá suporte ao encarregado/DPO deve ser multidisciplinar, composto por pessoas com background tecnológico e jurídico.
Conheça as suas responsabilidades para facilitar no momento de contratação de alguém para a função:
- Orientar os funcionários e os contratados sobre práticas relacionadas à proteção de dados pessoais e pessoais sensíveis;
- Receber comunicações da Autoridade Nacional e adotar providências;
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares;
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimento e adotar providências.
Quer saber mais sobre a LGPD e ANPD?
- Sua empresa está atenta à segurança de dados dos clientes?
- LGPD: os ajustes feitos pela Nasajon para se adaptar à lei
- ANPD: Saiba o que é a Autoridade Nacional de Proteção de Dados, órgão da LGPD
Por Micheli Moreira