fbpx

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.


Índice

    Por que sua empresa deve se adequar?

    Todas as empresas têm responsabilidade em relação à proteção e tratamento dos dados de seus colaboradores, clientes, fornecedores, independentemente de seu porte ou segmento de atuação. A LGPD traz obrigações quanto ao respeito aos princípios legais, tratamento dos dados, segurança e privacidade, armazenamento e direitos dos titulares de dados (por exemplo: o consentimento do titular dos dados para o compartilhamento e que estes dados pessoais possam ser corrigidos ou apagados).

    Outro fator importante, diz respeito à aplicação de sanções/penalidades (aplicáveis a partir de Agosto/2021) às empresas que não se adequarem e tiverem os dados pessoais vazados, roubados ou utilizados indevidamente, ocasionando um grande impacto em sua confiança frente ao mercado e aos clientes.

    A adequação à LGPD ainda é um diferencial e já está se tornando uma exigência de mercado

    • Grandes empresas já tem exigido de seus fornecedores e parceiros que comprovem o atendimento aos requisitos da LGPD.
    • Em algumas RFPs e licitações já existem exigências relacionadas à adequação à LGPD.

    Se a sua empresa ainda não se adequou à Lei, inicie o quanto antes.

    Motivações

    Vários países tem criado leis para regulamentar o tratamento dos dados pessoais, sendo a principal referência atual a GDPR (General Data Protection Regulation), aprovada em 2016 pelo Parlamento Europeu que entrou em vigor em maio de 2018 na União Europeia.

    A LGPD tem como objetivo regulamentar o tratamento dos dados no Brasil, tendo como uma de suas principais inspirações a GDPR.

    Fundamentos

    Respeito à privacidade

    Inviolabilidade da intimidade, da honra e da imagem

    Autodeterminação informativa

    Desenvolvimento econômico e tecnológico e a inovação

    Livre iniciativa, a livre concorrência e a defesa do consumidor

    Liberdade de expressão, de informação, de comunicação e de opinião

    Direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania

    Aplicabilidade

    A Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados

    I – a operação de tratamento seja realizada no território nacional

    II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;

    III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

    Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

    Dados Pessoais

    Dado Pessoal – informação relacionada a pessoa natural identificada ou identificável.

    Exemplos: nome, RG, CPF, data de nascimento, etc


    Dado Pessoal Sensível:

    • convicção religiosa
    • origem racial ou étnica
    • filosófico ou político
    • dado genético ou biométrico
    • quando vinculado a uma pessoa natural
    • dado referente à saúde ou à vida sexual
    • filiação a sindicato ou a organização de caráter religioso

    Agentes

    Titulares

    Pessoas a quem se referem os dados pessoais que são objeto de tratamento

    Controlador

    Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais

    Encarregado (DPO – Data Protection Officer)

    Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD

    Operador

    Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador

    ANPD

    Autoridade Nacional de Proteção de Dados Pessoais

    Órgão da administração pública federal, integrante da Presidência da República , que tem como responsabilidades: zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e aplicar sanções

    Direitos do Titular

    • confirmação da existência de tratamento;
    • acesso aos dados;
    • correção de dados incompletos, inexatos ou desatualizados;
    • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
    • portabilidade dos dados a outro fornecedor de serviço ou produto, observados os segredos comercial e industrial;
    • eliminação dos dados pessoais tratados com o consentimento do(a) titular, exceto nas hipóteses previstas no art. 16 da Lei
    • informação sobre compartilhamento de dados com entidades públicas e privadas, caso exista
    • informação sobre a possibilidade de não fornecer consentimento e sobre consequências da negativa;

    • revogação do consentimento, nos termos do § 5.º do art. 8.º da Lei.

    • reclamação contra o controlador dos dados junto à autoridade nacional
        • oposição, caso discorde de um tratamento feito sem seu consentimento e o considere irregular

        Bases Legais

        Requisitos para tratamento dos dados pessoais

        Fornecido pelo titular e é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

        Proteção da vida e da segurança física do titular, sem precisar de seu consentimento.

        Os dados pessoais podem ser tratados quando necessários para atender aos interesses legítimos do controlador ou de terceiros, desde que tal prática não exceda os direitos e liberdades fundamentais do titular.

        Quando profissionais de saúde, serviços de saúde ou autoridades sanitárias precisam tratar dados

        O tratamento de dados é justificado pela obrigação de cumprir outras leis

        Para a aprovação de crédito e a redução de riscos de transação, os dados pessoais podem ser consultados para avaliar o histórico da pessoa.

        O tratamento de dados é válido para instituições públicas e privadas que desejam fazer estudos e pesquisas de desenvolvimento científico, social ou econômico

        Em processo judicial, administrativo ou arbitral

        Os dados podem ser resguardados e tratados para a execução de políticas públicas previstas em leis, contratos, convênios ou similares

        Formalização de contrato entre as partes

        Sanções/ Penalidades

        Sanções previstas na LGPD

        • Advertência, com indicação de prazo para adoção de medidas corretivas
        • Multa simples, de até 2% (dois por cento) do faturamento limitada a R$ 50 milhões por infração
        • Multa diária, observado o limite total
        • Publicização da infração
        • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização
        • Eliminação dos dados pessoais a que se refere a infração

        Parâmetros e critérios para aplicação das sanções

        • gravidade e a natureza das infrações
        • boa-fé do infrator
        • vantagem auferida ou pretendida pelo infrator
        • condição econômica do infrator
        • reincidência
        • grau do dano
        • adoção de mecanismos e procedimentos internos para tratamento seguro e adequado de dados
        • adoção de política de boas práticas e governança
        • pronta adoção de medidas corretivas
        • proporcionalidade entre a gravidade da falta e a intensidade da sanção

        LGPD com a ASR

        A ASR pode auxiliá-lo a entender melhor o impacto da Lei Geral de Proteção de Dados Pessoais na sua empresa e orientá-lo no atendimento às suas exigências.

        • Mapeamento/ Inventário de dados pessoais
        • Identificação de riscos e definição de planos de mitigação e contingência
        • Definição de políticas, diretrizes, procedimentos, termos, acordos, etc
        • Capacitação e conscientização de colaboradores
        • Diagnóstico Inicial
        • Relatório de Riscos de Segurança da Informação
        • Plano de ações
        • Palestra/ Workshop LGPD
        • Consultoria
        • Definição de processos
        • Conscientização e institucionalização
        • Documentação de políticas, diretrizes e procedimentos
        • Avaliação de Monitoramento

        As normas ISO/IEC 27001 e ISO/IEC 27701 são excelentes referências para estabelecimento de processos organizacionais alinhados aos principais requisitos da LGPD.

        • ISO/IEC 27001- Sistemas de Gestão da Segurança da Informação
        • ISO/IEC 27701 – Extensão da ISO/IEC 27001 e ISO/IEC 27002 para Gestão da Privacidade da Informação

        Adequação de processos à LGPD

        LGPD e ISO 27001

        Como a certificação ISO27001 pode ajudar a sua empresa a se adequar a LGPD?

         Proteção dos dados pessoais tratados

         Privacidade e segurança das informações

         Garantia dos direitos dos titulares de dados

         Melhoria contínua

         Avaliação de riscos

         Minimização do risco de vazamento de dados.

         Reconhecimento no mercado

         Confiança e satisfação dos clientes e parceiros

         Processo de organização e crescimento da empresa

        Notícias/ Atualizações sobre a LGPD

        Podemos te ajudar?