ESPECIAL LGPD – Resumão

A LGPD, Lei 13.709/18, Lei Geral de Proteção de Dados,   já está em vigor, no entanto as penalidades começarão a ser aplicadas em Agosto de 2021. Sua aprovação teve altos e baixos, mas ela está aí, e a corrida empresarial para adequação parece que vai acontecer apenas nos 49’ do segundo tempo. Vamos á um resumão?!

Primeiro ponto importante: O que fica claro, que independente de uma legislação que vigore acerca do tratamento de dados pessoais, esse deve ser um ponto de atenção e ajuste por parte das empresas, seja pelo aumento de circulação de dados sensíveis no formato digital, tanto pela pressão social para a tratativa dessas informações evitando vazamentos de dados e outros danos. 

Se o cuidado com os dados e informações sensíveis já é uma necessidade, e a Lei Geral da Proteção de Dados vem para exigir e cobrar esse cuidado, as práticas e políticas que atendem esse cuidado devem estar presentes nos negócios, tanto para atender a legislação, como para entregar cada vez mais segurança para os clientes. Aqui na CBA, nós estamos cientes desse cuidado e momento, por isso separamos uma série de dicas e informações, para entender melhor como funciona e como se aplica. Vem com a gente!

 

ATUALIZAÇÃO:

 

Voltamos aqui para atualizar os novos capítulos dessa trama, envolvendo a data de aprovação da Lei Geral da Proteção de dados e sua agência reguladora. E para facilitar estruturamos aqui um fluxograma, ordenando alguns fatos.

A implementação da LGPD divide opiniões dos especialistas, mas a realidade é que mais cedo ou mais tarde com uma legislação ou não, a tratativa e cuidado com o armazenamentos dos dados pessoais é uma exigência, e fará parte das organizações se adequarem a cultura de politica de captura, armazenamento e tratativa destes dados.

 

LGPD

 

Primeiro: O que é LGPD?

 

Se você vive, você já deve ter ouvido falar de LGPD, a sigla para Lei Geral de Proteção de Dados,  sancionada em agosto de 2018. Que se aplica a empresas que processam dados pessoais de usuários que estão localizados no Brasil.  A Lei 13.709/2018 afetará a forma com que as empresas captam, armazenam e utilizam os dados de seus clientes, no meio online e offline, e esse ponto merece destaque, a lei não se aplica apenas às capturas de dados pela internet, mas também nos meios físicos. E também inclui punições para o não cumprimento.

 

Segundo: Mas o que é considerado um Dado Pessoal?

 

São considerados dados pessoais, os dados que permitem identificar uma pessoa ou torná-la identificável. Por exemplo: Nome, endereço, números únicos Identificáveis (RG, CPF, CNH), geolocalização, hábitos de consumo, dados referentes à saúde, exames médicos. Esses dados têm se tornado cada vez mais importantes, porque permitem análises de consumo, perfis, uma das razões para a existência de um formato que regulamente essas tratativas se torna cada vez mais relevante

 

Terceiro: Quais os objetivos da Lei Geral de Proteção de Dados?

 

A lei geral de proteção de dados pessoais, tem como objetivo regulamentar o tratamento de dados pessoais pelas empresas.  Hoje, mais de 126 países no mundo possuem leis para a proteção de dados pessoais visando à regulamentação do tratamento de dados das empresas, evitando o mau uso e responsabilizando as empresas pelo tratamento, uso e armazenamento, e ainda possíveis incidentes com dados pessoais, como vazamentos.

Segundo o Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

I – o respeito à privacidade;

II – a autodeterminação informativa;

III – a liberdade de expressão, de informação, de comunicação e de opinião;

IV – à inviolabilidade da intimidade, da honra e da imagem;

V – o desenvolvimento econômico e tecnológico e a inovação;

VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

 

Quarto: Como funciona a LGPD?

 

Em resumo, a lei geral da proteção de dados determina que o titular das informações, tenha o controle sobre elas, onde lhe permite de forma explícita, clara, consciente e espontânea que as empresas possam utilizar seus dados, e também reforça que, as empresas deixam claro para o usuário como esses dados serão utilizados, para que fins de aplicação e qual a base legal que justifica a tomada de tal dado, bem simples.

Ah, e tudo isso tem que ficar de fato CLARO, nada de truques como, as letras minúsculas, botões de “aceito” e “avançar”  já selecionados, ou aqueles termos gigantescos com informações desnecessárias e sem objetividade.

A lei se aplica a todo e qualquer empresa, onde haja necessidades  de informações das pessoas físicas ou jurídicas, tanto online como offline.

A LGPD se aplica a qualquer pessoa, seja natural ou jurídica, de direito público ou privado, que realize o tratamento de dados de pessoas para fins comerciais, de quaisquer naturezas online e/ou offline. A lei é aplicável não apenas às empresas localizadas no Brasil, mas também àquelas que oferecem serviços ao mercado consumidor brasileiro ou coletam e tratam dados de pessoas localizadas no país.

 

Como se aplica nas empresas? Como pode afetar minha empresa!?

 

Qualquer empresa que tenha necessidade operacional de coletar, utilizar e armazenar os dados dos seus clientes, mesmo que o mínimo, como nome completo, telefone, e-mail, precisa ter uma série de cuidados em relação a essas informações, porém com a entrada da LGPD, (Lei Geral de Proteção de Dados), isso se torna mais que uma boa prática, mas também um exigência legal.

O objetivo da Lei é fazer com que as empresas se tornem responsáveis por esses dados, e não seja apenas mais um nome em seu banco de dados. 

Por meio dessa orientação LGPD se aplica nas empresas através de controles de processos, procedimentos, de como estes dados serão armazenados, quais as garantias de que as informações dos clientes estão seguras. Ainda a empresa precisa ter bases legais para que estes dados dos clientes tenham que ficar armazenados, ou seja, o porque a empresa precisa desse dado, o porque ele é importante para o seu processo e o que o cliente tem a ganhar ao lhe fornecer isso, bem como as garantias de segurança e ainda com que base legal esse dado está sendo coletado.

Outro aspecto importante da Lei também é assegurar o uso de dados e imagem dessas pessoas, como por exemplo para marketing, tanto clientes quanto funcionários, para que isso possa ser possível a empresa interessada precisa ter autorização explícita de uso. 

 

Os 10 princípios da LGPD 

 

A Lei Geral de Proteção de Dados estipula uma série de obrigações sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, tanto na forma online como offline. 

Com a entrada em vigor da lei,  qualquer empresa que realizar uma operação com um dado pessoal sem possuir uma base legal, estará cometendo uma prática ilegal.

O texto da Lei prevê 10 princípios, que podem ser considerados um conjunto de boas práticas para o tratamento de dados pessoais, e, vale lembrar que essas práticas não são opcionais, mas sim obrigatórias. Segue a lista dos princípios.

1º Finalidade:  Todos os dados que serão coletados deverão ter no ato do seu recolhimento a indicação com clara e completa que justifique  sua coleta, ou seja uma finalidade específica informada e aceita pelo titular.

2° Adequação: A coleta de dados precisa ser compatível com a finalidade informada, o conjunto de informações que a empresa precisa deve fazer sentido, ou seja ser adequada com a razão da coleta, por exemplo uma loja online de vestuário não precisa pedir dados sobre a saúde do seu cliente.

3° Necessidade: As empresas devem coletar/usar/armazenar apenas os dados necessários para a finalidade, utilizando os dados pertinentes e proporcionais para função e atividade, é importante lembrar que, quanto mais dados coletados e armazenados, maiores as responsabilidades.

4° Livre acesso: O titular dos dados tem o direito de consultar todos os dados que a empresa tenha de forma simples, facilitada e gratuita. E do mesmo modo deve comunicar ao titular com linguagem clara e acessível como seus dados são tratados.

5° Qualidade dos dados: garantia que as informações são verdadeiras e atualizadas de acordo com as necessidades informando e permitindo que o titular possa corrigir os dados incompletos e inexatos.

6° Transparência: O titular do dado precisa ter informações claras e precisas, facilmente acessíveis sobre como os dados estão sendo manipulados, bem como quais agentes de tratamento de acesso. Se os dados são repassados para terceiros o titular deverá saber mesmo que faz parte do processo e atividade final.

7° Segurança: É responsabilidade da empresa buscar procedimentos e medidas técnicas e administrativas para proteger os dados pessoais dos quais tem domínio, para evitar acessos não autorizados ou ainda situações acidentais e ilícitas, ou de destruição, perda, alteração, comunicação indevida, difusão

8° Prevenção: orienta que as empresas devem adotar medidas preventivas para evitar a ocorrência de danos em virtude do tratamento e armazenamento de dados pessoais, ou seja agir antecipadamente para promover a segurança com meios preventivos e ordenados.

9° Não discriminação: os dados pessoais não devem ser usados para discriminação dos titulares, por meio da utilização de dados sensíveis como informações raciais, étnicas, religiosas, sobre a saúde entre outras que possam levar a discriminação.

10° Responsabilização: Além de cumprir integralmente a lei, as empresas devem ter provas e evidências para demonstrar boa fé em relação às práticas, ou seja demonstrar eficácias das ações, como por exemplo comprovar treinamento de equipe, consultorias especializadas.

 

As bases legais da LGPD

 

Mediante o fornecimento de consentimento pelo titular

 

Trata-se da base legal mais conhecida, por ser amplamente aplicável, onde o titular do dado demonstra e registra que está ciente que seu dados estão sendo coletados e serão utilizados com seu consentimento, o texto da lê prevê que o titular possa solicitar a qualquer momento e de forma facilitada a exclusão, alteração e inclusão a qualquer momento. É importante que as cláusulas consentidas estejam claras e separadas, para que o titular possa se manifestar livremente.

 

Cumprimento de Obrigação Legal ou Regulatória do Controlador

 

O cumprimento se enquadra quando uma lei anterior ou nova, aprovada pelo Governo, autoriza a coleta de dados pessoais para que seus requisitos sejam cumpridos. Utilizamos como exemplo, as leis trabalhistas que exigem que os dados de funcionários sejam armazenados por um período que varia de 5 a 20 anos, de acordo com o documento – (Portaria SPREV nº 211/2019).

 

Execução de Políticas Públicas

 

 O Poder Público (Executivo, Legislativo – incluindo as Cortes de Contas, do Judiciário e do Ministério Público) poderá coletar dados pessoais, desde que os mesmos sejam utilizados para atender a finalidades específicas e claras de políticas públicas (por exemplo: Vacinação, Segurança, Investigações etc.) e sempre aplicadas sob previsão legal, contendo as finalidades e as práticas que serão efetivadas para a execução da atividade proposta e, de preferência, divulgadas em seus sites. (Artigo 7º)

 

Estudos por Órgãos de Pesquisa

 

Órgãos de Pesquisas (IPEA, IBGE, Embrapa etc.) são permitidas pela Lei de coletar dados pessoais, utilizando sempre que possível, técnicas de anonimização ou pseudo minimização de dados sensíveis. Esses dados somente podem ser tratados exclusivamente dentro dos órgãos e estritamente para a finalidade de realização de estudos e pesquisa no qual deva garantir a segurança da informação. (Artigo 7º e 13º)

 

Execução de Contrato / Diligências Pré contratuais

 

Caso um contrato seja executado e o titular do dado esteja relacionado a sua execução (faz parte do contrato), e de acordo com o solicitado (o titular solicitou), o uso do dado também é permitido. Por exemplo, um contrato de aluguel de um imóvel no qual o titular queira alugar.

 

Exercício Regular de Direitos

 

No ambiente jurídico, o exercício regular de direito é definido pela realização de ações de acordo com a legalidade de um ponto de vista objetivo. Traduzindo, se um boxeador bate no seu oponente em um ringue, ele não responderá por lesão corporal. Ou, se um médico, em uma cirurgia, fizer um corte em paciente para realização de uma operação, ele também não responderá criminalmente por lesão corporal. Mas, se o boxeador continuar batendo, mesmo após o término do evento esportivo ou o médico realizar cortes desnecessários à cirurgia, eles serão criminalizados. Na LGPD não é diferente, se um agente dentro de suas funções legais coletar dados pessoais para fins do exercício de sua função (por exemplo um policial que aborda uma pessoa na rua e pede seus dados) ele está autorizado pela Lei, desde que não abuse de seu poder e o utilize para outros fins (por exemplo quebra de sigilo bancário ou telefônico sem autorização).

 

Proteção da Vida

 

 A coleta de dados é permitida no caso em que seja necessário para a proteção da vida do titular. Podemos exemplificar como uma pessoa que sofre um acidente e é encaminhada para um hospital. O Hospital colherá seus dados pessoais para avisar aos seus familiares, em busca de um histórico médico.

 

Tutela da Saúde

 

 Permissão exclusiva para profissionais de saúde, serviço de saúde ou autoridade sanitária na realização de suas atividades, um exemplo é o controle de um posto de saúde para a campanha de vacinação.

 

Interesses Legítimos do Controlador / Terceiro

 

 É permitido o uso de dados quando o titular dos dados solicita um serviço que o beneficie, desde que respeite as expectativas do titular na prestação do serviço, por exemplo, o titular solicita ao banco para abrir uma conta e o banco informa que para abrir a conta deverá informar seus dados pessoais.

 

Proteção ao Crédito

 

É permitido que uma empresa no qual o titular possua pendências de pagamento, disponibilize sem a sua permissão os dados pessoais para os Órgãos de Proteção ao Crédito. O titular não poderá, neste caso, pedir sua exclusão. Caso uma pessoa compre algo, e fique inadimplente, a empresa poderá protestar seu nome no SPC/Serasa, por exemplo.

 

Penalidades aplicáveis? Você falou em Multa? 

 

Todas as empresas, independentemente do porte ou segmento, precisam estar atentas sobre como estão tratando os dados dos seus clientes e se seus processos estão em conformidade com a nova lei.

 

Veja de quais formas sua empresa pode ser penalizada caso não atenda as normas da LGPD: 

 – Multa simples, de até 2% do faturamento da empresa infratora, limitada a R$ 50.000.000,00 por infração

– Advertência, com indicação de medidas corretivas

– Publicidade da infração, após esta ser devidamente apurada e confirmada

– Bloqueio dos dados afetados até a sua regularização

– Eliminação dos dados afetados

 

Como Implementar?

 

Primeiramente com uma avaliação do ambiente da empresa para verificar seu nível atual de conformidade com a legislação vigente bem como os riscos dos dados sensíveis armazenados.

Posteriormente a análise, dependendo do grau de conformidade da empresa, será elaborado um plano de ação de modo a prover o compliance (conformidade) do ambiente de acordo com LGPD, contemplando: processos e fluxos de dados pessoais, tecnologias e ferramentas de segurança da informação, treinamentos para conscientização dos atores envolvidos no processo e consultoria para desenvolvimento da PSI (Política de Segurança da Informação).

 

Quando entrará em Vigor?

 

A LGPD passa a vigorar a partir de 29/12/2020 e suas sanções em agosto de 2021.

link: https://jotainfo.jusbrasil.com.br/artigos/663013227/a-lindb-e-a-entrada-em-vigor-da-lei-de-protecao-de-dados

 

Como a CBA pode ajudar?

 

Se você chegou até aqui, os dados e informações coletadas pela sua empresa são levados a sério, e a segurança dessas informações é uma prioridade para você e sua empresa. Não espere as sanções da LGPD para adequar seu ambiente, temos equipe técnica qualificada e treinada para ajudar sua empresa. 

 

Quer saber mais sobre como implementar LGPD, na sua empresa e evitar penalidades?

 

Chama a gente!