Baixe o app para aproveitar ainda mais
Prévia do material em texto
DEIXE O SEU LIKE! É GRATIS E AJUDA! AVALIAÇÃO FINAL PONTUAÇÃO: 90.00 Questão 1 A LGPD está alicerçada em sete fundamentos, que sintetizam e resumem o “para quê essa Lei veio”. Dentre eles, podemos citar: • respeito à privacidade; • liberdade de expressão, de informação, de comunicação e de opinião; • inviolabilidade da intimidade, da honra e da imagem. Os fundamentos citados acima constam também em qual outro texto da lei brasileira? Código Penal. Código Civil. Direito do Consumidor. Constituição Federal. Questão 2 Para contratar o serviço de um convênio médico, Júlia preencheu um cadastro com seu nome completo, RG, CPF, endereço e forneceu também dados de sua saúde. Considerando a abordagem da LGPD em relação aos tipos de dados, que tipos de dados ela forneceu à empresa? Somente dados pessoais. Tanto dados pessoais quanto pessoais sensíveis. Somente dados sensíveis. Tais informações não são consideradas dados pela LGPD. Questão 3 Marcos manteve durante 5 anos uma conta em uma rede social, mas resolveu excluí-la. Ele postava fotos, acompanhava conteúdos específicos e participava de grupos de discussão. Nesse caso, o que ocorrerá com o histórico dessas informações? Não poderá pedir a exclusão das informações, pois excluiu a sua conta. Somente as fotos postadas nunca mais serão removidas. Marcos deixou várias pegadas digitais na rede e pode solicitar que estas informações sejam eliminadas desta rede social. Mesmo após excluir a conta, as informações podem ser acessadas. Questão 4 Claudio forneceu seus dados pessoais a uma imobiliária para a compra de um imóvel e autorizou que eles fossem utilizados somente para esta finalidade. Desde então, tem recebido vários contatos de empresas que lhe oferecem serviços de reforma, venda de móveis, eletrodomésticos etc. De acordo com os direitos que a LGPD determina aos titulares dos dados, identifique a alternativa correta: Claudio pode solicitar a eliminação de seus dados da base de dados da imobiliária, além recorrer à Autoridade Nacional de Proteção de Dados (ANPD) para a defesa dos seus direitos. Claudio pode recorrer ao PROCON pra defesa de seus direitos. Claudio não pode solicitar a eliminação de seus dados, pois, neste caso, trata-se de uma exigência governamental. Como autorizou a utilização dos dados, Claudio não pode mais revogar esse consentimento. Questão 5 Uma loja online de produtos eletrônicos solicita aos seus clientes o preenchimento de um cadastro, contendo nome, RG, CPF, endereço, dados bancários, etnia e orientação sexual. De acordo com os princípios que a LGPD determina às organizações ao tratarem os dados dos titulares dos dados, identifique a alternativa correta: A empresa está de acordo com os princípios de finalidade, adequação e necessidade, pois precisa coletar todos esses dados para execução de suas atividades. Ao solicitar dados referentes à etnia e à orientação sexual, à empresa fere os princípios de finalidade, adequação e necessidade, pois está tratando dados além do necessário e que não se relacionam com o seu contexto de atuação. Desde que haja autorização do titular, a empresa pode coletar todos os dados citados. A empresa pode coletar todos esses dados, desde que não compartilhe com outras organizações. Questão 6 Mariana comprou um celular pela internet por meio de uma loja online chamada Eletrotec. Ela preencheu o cadastro eletrônico com seus dados pessoais para a entrega do produto. Identifique a alternativa correta, considerando o que a LGPD dispõe sobre tratamento dados: Não houve tratamento de dados, pois a empresa solicitou dados pessoais básicos somente para a entrega do produto. Houve tratamento de dados temporário. Nesse caso, somente caracteriza tratamento se a empresa armazenar os dados. A empresa coletou e utilizou os dados para suas atividades. Portanto, realizou o tratamento. Questão 7 Identifique a alternativa correta em relação ao objetivo da LGPD: Proteger somente os direitos dos titulares dos dados em relação à sua privacidade. Proteger somente os direitos das organizações em relação ao tratamento de dados pessoais e pessoais sensíveis. Interromper o tratamento de dados, que já ocorre por parte dessas organizações. Proteger os interesses dos titulares dos dados, em relação à sua privacidade, criando mecanismos de controle para regular o tratamento de dados por parte das organizações. Questão 8 A fim de se adequar à LGPD, uma empresa, após análise de riscos, constatou que seus sistemas de dados não eram suficientemente seguros para impedir o acesso de pessoas não autorizadas aos cadastros de seus clientes. Por isso, implementou melhorias, como políticas, procedimentos e investiu em tecnologia, visando à segurança das informações. Considerando as diretrizes para governança de dados, no que se refere à ideia do Privacy by Design (Privacidade no Design), as ações dessa empresa refletem quais preceitos? Proativo e segurança. Funcionalidade e transparência. Privacidade no design e respeito. Funcionalidade e segurança. Questão 9 O sistema de uma ONG (Organização Não Governamental), voltada ao atendimento de crianças carentes, foi invadido por hackers, ocasionado o vazamento dos dados das famílias atendidas. Identifique a alternativa correta, de acordo com as diretrizes da LGPD em relação ao vazamento de dados: Por ser tratar de uma ONG, não haverá nenhuma sanção administrativa. Além de comunicar o ocorrido aos titulares dos dados e à Autoridade Nacional de Proteção de Dados (ANPD), a ONG poderá sofrer sanções administrativas que vai desde uma advertência até a proibição parcial ou total das atividades. Caso comprove que o vazamento foi acidental, não sofrerá nenhuma sanção administrativa. Deve somente comunicar aos titulares dos dados. Questão 10 Identifique a alternativa correta que traz os responsáveis que a LGPD determina no caso de vazamentos de dados. Somente o controlador deve responder juridicamente e reparar os danos causados. Somente o operador deve responder juridicamente e reparar os danos causados. Tanto o controlador quanto o operador devem responder juridicamente e reparar os danos causados. O encarregado deve responder juridicamente e reparar os danos causados. Para começar A Lei Geral de Proteção de Dados Pessoais nº 13.709/2018 traz diretrizes às pessoas e organizações, sejam públicas ou privadas, para a realização de qualquer atividade envolvendo dados pessoais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade dos indivíduos. Para isso, está alicerçada em sete fundamentos que sintetizam e resumem o “para quê essa Lei veio”. Clique nos itens a seguir e conheça cada um deles: I - O respeito à privacidadekeyboard_arrow_down Visa assegurar o direito fundamental de inviolabilidade à vida privada, conforme consta no artigo 5º, inciso X, da Constituição Federal de 1988. II - A autodeterminação informativakeyboard_arrow_down A pessoa natural (ou cidadão) é protagonista da sua história em relação aos direitos sobre sua privacidade, controle e proteção de seus dados pessoais e íntimos. III - A liberdade de expressão, de informação, de comunicação e de opiniãokeyboard_arrow_down São direitos também previstos na Constituição brasileira. Além disso, esse item pode ser entendido como uma liberdade nas relações entre pessoas e organizações, pois está relacionado diretamente ao respeito. IV - A inviolabilidade da intimidade, da honra e da imagemkeyboard_arrow_down Aqui retoma-se os direitos fundamentais, garantidos ao indivíduo no artigo 5º, inciso X, da Constituição Federal de 1988. V - O desenvolvimento econômico e tecnológico e a inovaçãokeyboard_arrow_down A ideia aqui não é burocratizar ou dificultaro uso dos dados por parte das empresas, e sim regular e aprimorar a relação entre indivíduos e empresas. VI - A livre iniciativa, a livre concorrência e a defesa do consumidorkeyboard_arrow_down Este inciso contextualiza a liberdade de forma que sejam sempre exploradas as oportunidades em uma perspectiva justa e equilibrada. VII - Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturaiskeyboard_arrow_down Este aspecto conecta essa Lei a todas as outras existentes que buscam o desenvolvimento de uma sociedade cada vez mais justa. Você sabia? A Constituição da República Federativa do Brasil de 1988 é a lei máxima e fundamental do Brasil, que serve de parâmetro a todas as demais leis e define os princípios e diretrizes que regem uma sociedade. Se fôssemos transformar estes itens em uma ideia, teríamos o seguinte: O respeito é nosso direito e base para as relações entre as pessoas e entre pessoas e empresas. Esse direito nos assegura o protagonismo da própria história, principalmente no contexto da nossa privacidade em relação aos nossos dados. No entanto, essa premissa não pode impactar no desenvolvimento da sociedade e o equilíbrio nas relações é fundamental para a nossa evolução coletiva. Assista ao vídeo a seguir e conheça a importância da Lei Geral de Proteção de Dados Pessoais para assegurar a privacidade das pessoas. INTRODUÇÃO À LGPD Nesta unidade, você conhecerá o princípio da privacidade no contexto digital, a diferença entre dados e informações, como eles são gerados e adquiridos pelas mais variadas empresas de diferentes interesses. Você verá também a importância dos dados para entidades públicas e privadas e o futuro da economia digital do País. Para começar Estamos nos transformando cada vez mais em uma sociedade conectada ao mundo digital, nas suas mais diversas formas, por meio dos dispositivos avançados que a tecnologia disponibiliza no mercado. Essa transformação acontece exponencialmente, conforme mostram os dados apresentados a seguir, referentes à população do Brasil: Fonte: adaptado de https://wearesocial.com/blog/2020/07/digital-use-around-the-world- in-july-2020 Isso significa que, atualmente, 71% da população brasileira está acessando a internet e 66% estão nas chamadas mídias sociais, como blogs, Facebook, Twitter, Instagram, SlideShare, Youtube, entre outros, realizando todo tipo de interação e trocando dados e informações. Dados e informações Quando falamos da quantidade de dispositivos, pessoas e a crescente expansão da internet, precisamos esclarecer alguns pontos importantes e o primeiro deles é a diferença entre dados e informações. Fonte: Depositphotos Você já viu ou deve ter montado um quebra-cabeça, certo? São centenas ou milhares de pequenas pecinhas que quando encaixadas corretamente compõem uma imagem. E é assim que dados e informações são relacionados: as pequenas pecinhas do quebra-cabeça são os dados que, quando organizados e processados, tornam-se informações úteis, conforme mostra o esquema a seguir. Dados pessoais e dados pessoais sensíveis A LGPD aborda nossos dados em duas situações: Dados pessoais São aqueles que se traduzem em informação relacionada à pessoa natural (ou física) identificada ou identificável, permitindo ou não a individualização do titular, direta ou indiretamente, por meio dos dados utilizados. Exemplos: nome, nome dos pais, RG, CPF, número da carteira de habilitação etc. Em outras palavras, informação identificada refere-se aos dados que identificam imediatamente o seu titular, como nome, RG e CPF etc. Já informação identificável trata-se de dados que estão relacionados ao titular, mas indiretamente, como a placa de um carro, perfis comportamentais (tendências de consumo, gostos e interesses), geolocalização (sua localização precisa, por meio do uso do GPS de celulares, por exemplo). Dados pessoais sensíveis São dados pessoais que podem trazer um perigo maior relacionado a situações de preconceito ou de segurança às pessoas. Exemplos: origem étnica, convicção religiosa, opinião política, filiação a sindicato, dados referentes à saúde ou à vida sexual, dado genético ou biométrico, entre outros. A LGPD tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade, da pessoa natural. Por isso, os dados protegidos pela LGPD são aqueles que se traduzem em informação relacionada a pessoa natural identificada ou identificável. O valor de seus dados Assim que os dados são cruzados e analisados com inteligência de mercado, eles se tornam informações e ganham valor. E quando tratados em larga escala, considerando os dados de muitas outras pessoas, geram tendências e perfis de consumo que movimentam a economia mundial, das pequenas às grandes empresas. Para você entender como os dados são transformados em informações, faremos uma analogia com a produção de uma cadeira feita de madeira. A madeira é considerada a matéria-prima que ganha valor agregado após a produção do móvel. As organizações, tanto públicas quanto privadas, executam um processo similar quando coletam os dados que fornecemos direta ou indiretamente para elas, com ou sem o nosso consentimento. Esses dados são uma matéria-prima valiosa que, após serem analisados, permitem a definição de estratégias de mercado. Por exemplo, os dados coletados no senso demográfico, após analisados pelo governo, permitem definir estratégias para o bom uso dos recursos públicos, como educação, saneamento básico, cultura, criação de programas, entre outros. Já uma empresa privada utiliza os dados coletados dos seus clientes para desenvolver e aprimorar produtos e serviços, direcionar publicidade, criar experiências personalizadas, entre outras ações. Saiba mais... Clique aqui para entender como a inteligência de mercado funciona. Como os dados são coletados? A coleta de dados é realizada por meio dos formulários e cadastros que preenchemos com nossos dados pessoais, sejam físicos ou eletrônicos, por meio de aplicativos para contratação de serviços, por exemplo. Essa coleta, que já é um tratamento de dados, conforme você verá na próxima unidade, ocorre a todo momento em muitos contextos, nas organizações públicas ou privadas, visando diversas finalidades. Para uma empresa realizar atividades de vendas online, por exemplo, precisará, no mínimo, dos dados cadastrais, financeiros e do endereço dos consumidores para executar seus serviços. Da mesma forma, uma empresa que queira implementar o trabalho remoto precisará usar os dados cadastrais para autenticar seus funcionários, fazer o controle da jornada de trabalho e mitigar o risco de horas extras, mantendo os registros eletrônicos de acesso. Fonte: Depositphotos Na internet, a troca de dados e informações entre as pessoas e o mundo digital começa a ocorrer a partir do momento em que nos conectamos pelos nossos celulares e computadores. No caso dos celulares que estão conectados a todo momento pelas redes móveis, podemos entender que o acesso aos nossos dados é praticamente contínuo. Dessa forma, a tecnologia permite individualizar você e seus passos pelo mundo (digital ou físico) e também consegue mapear seus interesses. Você já deve ter recebido telefonemas ou mensagens de várias organizações, oferecendo produtos ou serviços, mesmo não tendo nenhum vínculo ou passado alguma informação para essa empresa, certo? O caso a seguir exemplifica como esse tipo de situação ocorre: Fonte: Depositphotos Olá, tudo bem? Eu sou o Fernando, tenho 33 anos, sou solteiro e professor na área de tecnologia da informação. Meus hobbies são viajar e cozinhar. Utilizo meu celular para uso pessoal e corporativo. Acesso a e-mails, redes sociais, faço buscas relacionadas a meu trabalho, viagens e gastronomia. Nas minhas próximasférias, gostaria de conhecer uma praia paradisíaca. Pesquisei alguns destinos e fiz um cadastro em um site de agência de viagens. Desde então, recebo várias ofertas de diárias de hotéis para diversos destinos e de corretoras de viagem, além de ofertas de produtos, como pranchas de surf, óculos de sol, protetores solar e roupas de verão. Fonte: Depositphotos Perceba, neste exemplo, que, só pelo fato de Fernando ter cadastrado seus dados em sites de viagens, ele passou a receber mensagens de ofertas. Isso ocorre porque suas informações foram compartilhadas com outras empresas, sem o seu consentimento. Clique nos itens a seguir e veja mais dois exemplos ilustrativos de como as empresas coletam dados e utilizam as informações. EXEMPLO 1 EXEMPLO 2 Um grande site de compras pode analisar quantas pessoas estão comprando televisores, suas idades, o horário da compra e o endereço da entrega. A partir desses dados, o site conclui: Pessoas de idade entre 25-30 anos, de determinada região do país, são mais propensas a comprar este produto aos finais de semana e então eles dinamizam as promoções nesses dias. Fonte: Depositphotos Portanto, com o seu perfil traçado, o mercado passa a saber o que você gosta de consumir, lugares que gosta de ir, assuntos de interesse, seus gastos, entre outras informações. A partir do momento em que uma empresa entende a dinâmica do mercado, por meio dos dados coletados direta ou indiretamente, ela pode, entre muitas estratégias possíveis: Atingir seu público-alvo. Ampliar a disponibilização de produtos com alta demanda. Reduzir investimentos em produtos de baixo interesse do público. Dinamizar seu alcance global em tempo real. A coleta e a utilização de dados são importantes e necessárias às atividades das organizações públicas e privadas, sendo a moeda da economia digital, de forma geral. No entanto, a partir de agora, há uma legislação específica, visando a proteção de dados, que determina às organizações diretrizes para a coleta e o uso de dados pessoais dos indivíduos. Situações como as apresentadas acima, como a coleta e o compartilhamento de dados, sejam por meio de formulários físicos ou automáticos, sem a ciência e o consentimento do titular dos dados, não são mais permitidas pela LGPD, além de serem passíveis de sanções administrativas, conforme você verá mais à frente. Saiba mais... O Google e o Facebook faturaram, juntos, mais de US$200 bilhões em 2019, o que equivale a mais de R$1 trilhão na conversão de moedas atual. Apenas para comparação, o PIB do estado de São Paulo em 2019 chegou a R$2 trilhões. Isso mostra o potencial de duas empresas que não cobram um único centavo pela utilização dos seus principais serviços, sendo, toda essa receita, proveniente apenas da venda de anúncios em suas plataformas. Clique aqui e conheça as informações que o Google sabe sobre você. Proteção da privacidade Se, por um lado, as grandes empresas disputam nossos dados, por outro, devemos nos preocupar com a privacidade dos dados que compartilhamos pela internet, cópias de documentos que fornecemos ou simplesmente informamos para preencher determinado cadastro. Reflexão “Com todas essas informações disponíveis no mundo digital, como saber se a nossa privacidade está assegurada?” A Constituição Federal de 1988 em seu artigo 5º, inciso X, estabelece o direito à proteção da nossa privacidade, assim como a Declaração Universal dos Direitos Humanos em seu artigo 12: “São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, […]”. “Ninguém será sujeito a interferências em sua vida privada, em sua família, em seu lar ou em sua correspondência, nem a ataques à sua honra e reputação. Todo ser humano tem direito à proteção da lei contra tais interferências ou ataques”. A privacidade, além de direito assegurado, é também pilar fundamental para o equilíbrio nas relações humanas, de forma que o indivíduo contribua na sua essência para a construção de um mundo melhor, de forma livre e conforme suas convicções. A preocupação em preservar a privacidade do indivíduo foi expressa no fundamento da autodeterminação informativa, que protege os direitos do titular sobre seus dados, ou seja, é assegurado ao indivíduo o poder de decidir sobre seus dados quanto ao uso que as organizações farão dele, sejam públicas ou privadas. Nesse contexto, cabe apresentar a revogação da MP (Medida Provisória) 945 que autorizava o Estado a utilizar dados pessoais de toda população em estratégias de gestão pública, aplicadas durante a pandemia da COVID-19. Tal revogação se tornou marco histórico no Brasil em termos de proteção de dados pessoais. Saiba mais... Clique aqui e leia o artigo sobre a autodeterminação informativa e a decisão do STF sobre a MP 954/2020, publicado pelo advogado, professor e árbitro especializado em Direito Digital e Proteção de Dados desde 2004, Rony Vainzof. O coletivo deste mundo em que vivemos é a soma de bilhões de diferenças que tornam únicos cada um dos seres humanos. Assim, essa proteção que já existe no mundo real é transferida para o mundo digital à medida que avançamos na transição do mundo físico para o mundo digital, carregando a privacidade sobre a nossa vida e nossos dados para este novo ambiente. Dessa forma, não distante da preocupação com o nosso futuro, está a preocupação com o nosso passado, ou seja, com as pegadas digitais que vamos deixando nas diversas interações que fazemos. Esse termo remete ao histórico de dados e informações que inserimos na internet e nunca mais serão removidos, como, por exemplo, uma fotografia. Sendo assim, o uso da internet requer os mesmos cuidados que temos ao cruzarmos uma rua, por exemplo, onde devemos prestar atenção no trânsito e olhar para ambos os lados antes de “clicarmos em qualquer link”. Você já deve ter lido diversas notícias, ao longo dos últimos anos, sobre o vazamento de informações íntimas. Um caso muito divulgado foi o da atriz Carolina Dieckmann, em que hackers acessaram seus e-mails e capturaram informações que foram utilizadas para o crime de extorsão. Esse tipo de situação preocupa as entidades mundiais no que se refere à proteção de crianças e adolescentes, ainda mais vulneráveis a esse tipo de exposição, uma vez que por serem considerados “nativos digitais” utilizam frequentemente computadores, videogames e celulares. Fonte: Depositphotos Saiba mais... Clique aqui para ler a notícia completa sobre o caso Carolina Dieckmann. Clique aqui para conhecer a lei Carolina Dieckmann. Clique aqui e conheça 13 dicas para navegar com mais segurança na internet. Importância da LGPD para a economia digital A coleta e a utilização de dados são relevantes para a economia digital, para que serviços sejam aprimorados e prestados de forma cada vez melhores, seja por organizações privadas, seja para execução de políticas públicas. O uso dos dados é, nos dias de hoje, determinante para a evolução das relações e se faz necessário para uma gestão cada vez mais eficaz, eficiente, rápida e precisa. Nesse sentido, a LGPD é uma ferramenta reguladora que atua na relação entre pessoas e organizações, visando a proteção dos dados pessoais e pessoais sensíveis do indivíduo. É importante salientar que a LGPD não visa impedir, tampouco proibir, qualquer tipo de operação com dados pessoais, mas sim protegê-los, estabelecendo regras específicas para que tais operações sejam realizadas com segurança, preservando, assim, a privacidade das pessoas, diante da rápida evolução tecnológica, em que os dados são coletados automaticamente. Fonte: Pixabay Nesse propósito, busca-se o equilíbrio dessas relações, de forma que o progresso social mundial seja desenvolvido sob o amparo legal, ético e responsável. Saiba mais... Clique aqui e leia sobre a importância do avanço nas leis de proteção de dados. Cliqueaqui e leia o texto publicado pela Associação dos Advogados de São Paulo (AASP) sobre privacidade e ética no mundo digital. Clique aqui e leia sobre a LGPD e os impactos na administração pública. GLOSSÁRIO Exercícios Questão 1 A LGPD distingue dados pessoais de pessoais sensíveis. Identifique a alternativa que traz somente exemplos de dados pessoais sensíveis: A. RG, CNH e origem racial ou étnica Ops! Resposta incorreta. RG e CNH são dados pessoais. A resposta correta é a alternativa d. B. Opinião política, convicção religiosa e nome dos pais Ops! Resposta incorreta. Nome dos pais é dado pessoal. A resposta correta é a alternativa d. C. Nome, nome dos pais e data de nascimento Ops! Resposta incorreta. Nome, nome dos pais e data de nascimento são dados pessoais. A resposta correta é a alternativa d. D. Dado referente à saúde ou à vida sexual e dado genético ou biométrico checkParabéns, resposta correta. Os dados pessoais sensíveis avançam na descrição da intimidade e personalidade. E. Origem racial ou étnica, convicção religiosa e número da carteira de habilitação Ops! Resposta incorreta. Número de carteira de habilitação é dado pessoal. A resposta correta é a alternativa d. Questão 2 A afirmação abaixo, é verdadeira ou falsa? A. Sabrina fez uma compra em uma loja física e preencheu um cadastro com dados pessoais para participar de uma promoção. A partir desse dia, ela começou a receber telefonemas e mensagens de outras empresas ofertando produtos e serviços, por isso teve sua privacidade violada. Falso Verdadeiro checkParabéns! A afirmação em destaque é verdadeira. A loja compartilhou sem consentimento os seus dados com outras empresas e portanto violou a sua privacidade. Questão 3 Escolha verdadeiro ou falso, para as afirmações a seguir. A. Os dados pessoais sensíveis são aqueles que identificam imediatamente o seu titular, como nome, RG e CPF. Falso Verdadeiro checkParabéns! Resposta correta. B. A privacidade é pilar fundamental para o equilíbrio nas relações humanas. Falso Verdadeiro checkParabéns! Resposta correta. C. Pegadas digitais remetem ao histórico de dados e informações que inserimos na internet e que podem ser removidos. Falso Verdadeiro checkParabéns! Resposta correta. D. A Constituição Federal de 1988 estabelece o direito à proteção da nossa privacidade. Falso Verdadeiro checkParabéns! Resposta correta. Questão 4 Relacione corretamente: 1. Matéria-prima valiosa para as empresas, que ganha valor após serem analisados, permitindo às empresas definirem estratégias de marketing. Selecione a alternativa correta Dados 2. Refere-se ao individuo e está relacionada à proteção de seus dados pessoais e dados pessoais sensíveis. Selecione a alternativa correta Privacidade 3. Tem valor agregado e é resultado do processamento e análise dos dados. Selecione a alternativa correta Informações 4. Está conectado a todo momento pelas redes móveis e concentra a maioria das nossas interações, na troca de dados e informações com as empresas. Selecione a alternativa correta Celular VERIFICAR RESPOSTA Resumindo Nesta unidade, você estudou que, em uma sociedade cada vez mais conectada ao mundo digital, a quantidade de dados e informações geradas pelas pessoas na rede cresce exponencialmente, bem como a coleta e o uso deles pelas organizações. Nesse contexto, a Lei Geral de Proteção de Dados Pessoais (LGPD) tem por objetivo proteger os dados pessoais, preservando a privacidade das pessoas, ao determinar às organizações diretrizes para o tratamento de dados pessoais dos indivíduos, evitando práticas abusivas e criminosas. Você estudou também que os dados pessoais, físicos ou eletrônicos, são insumos imprescindíveis às organizações, tanto privadas, utilizados para definirem suas estratégias de mercado e aprimorar produtos e serviços, quanto públicas, para definição da aplicação dos recursos públicos. Portanto, a LGPD não tem o intuito de engessar o desenvolvimento tecnológico e econômico, mas sim regulamentar o tratamento dos dados para que sejam utilizados de forma ética e responsável. Avance para a unidade 2 e conheça quais direitos a LGPD assegura aos titulares dos dados. DIREITOS ASSEGURADOS Nesta unidade, você conhecerá todos os direitos que a LGPD assegura aos titulares dos dados. Para começar Na unidade anterior, você viu as diferenças entre dados e informações, como seus dados circulam pela internet, a diferença entre dados pessoais e pessoais sensíveis e o que é a LGPD nesse contexto da privacidade. Quando falamos de proteção de dados pessoais, devemos reconhecer a autodeterminação informativa. E a LGPD trata esse fundamento assegurando a pessoa natural (eu e você) como titular do poder de decisão sobre o tratamento das informações por parte das empresas. Por tratamento de dados, a lei dispõe a seguinte informação: Toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. É importante ressaltar que a lista de operações citada pela LGPD não é restrita, mas, sim, exemplificativa, ou seja, podem ocorrer outras operações com tratamentos de dados, além das relacionadas acima. Por exemplo, imagine que ao comprar itens em uma pequena loja de seu bairro, abrir uma conta em uma rede social ou preencher um formulário em alguma loja, para participar de uma promoção, você fornece alguns de seus dados pessoais. Esses dados, armazenados ou não, podem ser repassados ou vendidos para outras organizações que repassam para outros e outros, criando várias listas de clientes. Nessas situações, todas as organizações fizeram o tratamento de seus dados pessoais, independentemente de seu conhecimento. Portanto, tratamento de dados pessoais significa praticar alguma atividade que envolva os dados de uma pessoa. De acordo com a LGPD, as organizações não podem agir como se fossem proprietárias dos nossos dados, sejam eles pessoais (RG, CPF etc.) ou pessoais sensíveis (origem racial, religião etc.) e tratá-los como bem entenderem. Pelo contrário, devem sempre fazer o uso ético, seguro e responsável, informando o que fazem com eles, e avaliar ao menos uma base legal, como o nosso consentimento, seja para uma obrigação legal ou para execução de contratos, por exemplo. Nesse sentido, a LGPD estabelece diversos direitos, visando nos proteger em relação à coleta, ao tratamento e ao compartilhamento de dados pessoais por parte de qualquer tipo de organização de diferentes setores e serviços, seja pública ou privada. Direitos dos indivíduos Para que possamos exercer o poder de titularidade das nossas próprias informações, devemos reconhecer os seguintes direitos: Clique na imagem abaixo para ampliá-la. Siga em frente e conheça cada um dos direitos atrelados à relação pessoa x dados x empresa. Confirmação da existência de tratamento Esse direito trata-se de: Exigir o conhecimento e a confirmação sobre a existência de um possível tratamento dos seus dados. Esse conhecimento refere-se à nossa análise quanto ao uso dos dados que fornecemos antes de decidir comprar um produto, contratar um serviço ou até mesmo navegar por um site. Fonte: Depositphotos Por exemplo: Você se lembra do Fernando? Nós o conhecemos na Unidade 1 deste curso. Imagine que ele resolve comprar um automóvel e visita o site de uma montadora de veículos para pesquisar por vários modelos. Então, ele vai até a concessionária e realiza a compra. Fonte: Depositphotos Toda essa interação gerou vários dados e informações sobre ele (RG, CPF, endereço residencial, número de celular, e-mail, filiação, estado civil, entre outros)e um questionamento: Como a concessionária fará uso desses dados, seja em uma simples pesquisa de satisfação, seja na compra efetiva do bem? Haverá compartilhamento dessas informações para organizações que vendam acessórios ou corretoras de seguro, por exemplo? Fonte: Depositphotos Assim, é necessário que o comprador, neste caso, o Fernando, tenha a preocupação com a privacidade dos seus dados, principalmente em relação ao tratamento que será realizado. Exigir esse conhecimento é o primeiro dos seus direitos assegurados pela Lei. Importante! A confirmação de existência de tratamento ou o acesso aos dados pessoais deve ser providenciada mediante requisição do titular: em formato simplificado, imediatamente; ou por meio de declaração clara e completa, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular, indicando a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial. Informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa Ao conhecer o tratamento que a organização realizará em seus dados, é muito importante que você o avalie. A lei permite, em alguns casos, que você decida se deseja ou não autorizar determinado tratamento e que você mude de ideia sempre que quiser. Considere um diferencial se a organização lhe fornecer explicações sobre o tratamento, apresentando as implicações, caso você não os compartilhe, ou eventuais benefícios que você terá em fornecer suas informações. No entanto, no caso de cumprimento de obrigação legal, interesses legítimos de uso dos nossos dados por parte do Governo ou exercício regular de direito da organização, não poderemos nos opor a esse tratamento. Clique nos itens a seguir e veja alguns exemplos. COMPRA DE AUTOMÓVEL DADOS CADASTRAIS EDUCACIONAIS Fonte: Depositphotos Na compra de um carro, é necessário que a organização compartilhe os dados do proprietário com os órgãos governamentais. Para todos os outros casos, o tratamento das informações pode ser questionado a qualquer momento e a Lei permite a prerrogativa de nos opormos ao dado tratamento, caso o consideremos incompatível com nossos interesses pessoais. A organização deve sempre oferecer a opção do não consentimento. Clareza e transparência no tratamento dos dados pessoais são características que selecionam e fortalecem o posicionamento das boas organizações no mercado. Portanto, ter a liberdade de permitir ou não o tratamento dos seus dados, de acordo com cada caso, é mais um direito garantido pela LGPD. Revogação do consentimento No caso de o tratamento lhe parecer incompatível com o que foi apresentado ou a organização não esclarecer o uso que fará de seus dados, a LGPD lhe permite a revogação, que é o arrependimento do consentimento emitido incialmente. Imagine que Fernando consentiu que a concessionária fizesse o armazenamento de seus dados pessoais, mas não consentiu que ela os compartilhasse com outras organizações, como empresas de seguro, por exemplo. Caso a empresa faça esse compartilhamento, ela estará violando o acordo que firmou com o titular das informações. Nesse caso, Fernando tem o direito de solicitar à concessionária a revogação do consentimento para armazenar seus dados. Fonte: Depositphotos Conforme já mencionado, esse arrependimento na revogação total ou parcial do tratamento só é possível se a lei permitir, pois alguns dados fazem parte das estratégias de gestão do Governo, além de poderem ser utilizados por entidades privadas para cumprimento de obrigação legal ou exercício regular de direito, independentemente da vontade do titular. Acesso aos dados Após conhecermos e entendermos o tratamento dos dados, podemos solicitar, a qualquer momento, o acesso às nossas informações. O benefício desse direito consiste em conhecer quais dados foram coletados e estão sendo tratados pela organização. Assim, você saberá e poderá analisar se a organização detém mais informações sobre você do que você forneceu. Acesso facilitado às informações De acordo com o artigo 9º da LGPD, a organização deve promover ao titular o acesso facilitado às informações sobre o tratamento de seus dados, disponibilizando-os de forma clara para o atendimento do princípio do livre acesso, contendo os seguintes itens: Finalidade específica do tratamento. Forma e duração do tratamento, observados os segredos comercial e industrial. Informações de contato do controlador de dados, ou seja, a quem competem as decisões referentes ao tratamento de dados pessoais. Você estudará o papel do controlador mais à frente, na unidade 4. Informações sobre o uso compartilhado de dados pelo controlador e a finalidade. Responsabilidades dos agentes que realizarão o tratamento. Menção explícita aos direitos do titular. Além disso, a LGPD determina que, nos casos em que o consentimento é requerido, ele será considerado nulo, caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente. Caso haja também mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, a organização deverá informar previamente o titular sobre tais mudanças, podendo o titular revogar o consentimento se discordar das alterações. Ou, ainda, quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito da organização, o titular deverá ser informado com destaque sobre esse fato e sobre os meios pelos quais o titular poderá exercer os seus direitos. Correção de dados Após consultar seus dados, você poderá alterá-los se identificar informações incompletas, incorretas ou desatualizadas. Essa possibilidade permite que você atualize seu endereço de e-mail ou residencial com o objetivo, por exemplo, de receber corretamente a fatura ou boleto para o pagamento de suas obrigações. Isso evita que você tenha problemas, caso não receba esses documentos, como ter seu nome negativado nos órgãos de controle ao crédito, por exemplo. Portabilidade de dados O direito à portabilidade assegura ao titular a possibilidade de transferir seus dados pessoais para outra organização, de forma análoga aos casos de portabilidade de financiamento entre bancos. Essa alternativa também pode ocorrer para transferências de dados entre escolas, no caso de mudança do aluno de instituição, por exemplo. Importante! A portabilidade dos dados para outro fornecedor de serviço ou produto deve ser realizada mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade De acordo com o inciso XI do artigo 5º da LGPD, anonimização trata-se de: “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”. Anonimização O procedimento de anonimização elimina a possibilidade de identificação do indivíduo a partir do tratamento de seus dados, observadas determinadas condições e circunstâncias previstas na LGPD. Pseudonimização Este é outro procedimento que deve ser aplicado neste contexto. A LGPD traz o seguinte conceito para pseudonimização: “(...) tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”. Em outras palavras, é como se as informações fossem embaralhadas e armazenadas em locais diferentes e, para serem utilizadas ou serem identificadas, devem ser reunidas e reorganizadas.No exemplo do quebra-cabeça, apresentado na unidade anterior, a imagem é desconstruída e as peças são armazenadas em locais diferentes. Por que anonimizar ou pseudonimizar? Essas técnicas visam zelar pela privacidade do indivíduo, assegurando igualdade entre todos, evitando discriminação ou que, no caso de acessos indevidos aos nossos dados, eles possam ser identificados e utilizados. Portanto, essas duas alternativas são nossos direitos e principalmente deveres da organização, perante os dados do titular. Saiba mais... Clique nos links abaixo e conheça mais sobre técnicas para a anonimização e pseudonimização de dados. Clique aqui para realizar a leitura do artigo “Anonimização de dados e LGPD: Conheça melhor”. Clique aqui para realizar a leitura do artigo “Anonimização e pseudonimização são o suficiente?”. Eliminação de dados pessoais tratados Caso não deseje mais que seus dados sejam tratados pela organização, você tem o direito de solicitar a eliminação deles de sua base de dados. No entanto, a organização deve manter os dados se tiver de cumprir determinado requisito legal ou por exercício regular de um direito. É fundamental que a eliminação das informações seja realizada conforme documentos e procedimentos internos da organização, atendendo às boas práticas de segurança da informação. ATENÇÃO! Amassar e jogar no lixo papel contendo dados pessoais de alunos de uma escola ou de clientes, por exemplo, é totalmente contrário à proteção da privacidade. Esse descarte irresponsável está previsto na LGPD e tipifica violação passível de severas sanções. Saiba mais... A ISO 27002, em seu tópico 10.7.2, preceitua que: “Convém que as mídias sejam descartadas de forma segura e protegida quando não forem mais necessárias por meio de procedimentos formais.” O item “a” esclarece que: “mídias contendo informações sensíveis sejam guardadas e destruídas de forma segura e protegida, como, por exemplo, através de incineração ou trituração [...]”. Por mídias entende-se fitas, discos, pendrives, HDs, CDs e DVDs, papéis etc. Clique aqui e conheça a Norma Brasileira ABNT NBR ISO/IEC 27002 na íntegra. Compartilhamento de dados Caso a organização tenha que compartilhar seus dados com outras entidades públicas ou privadas, deverá informá-lo sobre este trâmite. Comunicar esse compartilhamento faz parte do processo de tratamento que deve ser informado de modo claro e transparente ao titular dos dados e pode estar também relacionado ao seu consentimento, nos casos em que a Lei autoriza. A transferência de dados entre entidades privadas pode ocorrer no navegador de nossos computadores, por meio do uso dos cookies. Trata-se de arquivos que são gerados por sites que visitamos e que são salvos em nosso computador, por meio do navegador, a fim de nos identificar, personalizar a página de acordo com nosso perfil etc. Neles são armazenados fragmentos de dados que podem ser lidos ou transferidos a outros sites sem nosso consentimento, até agora. ATENÇÃO! Fique sempre atento às autorizações que são requeridas em sites e aplicativos. Saiba mais... Clique aqui e realize a leitura do artigo “O que são 'cookies' na web e quais riscos eles representam?”. Clique aqui e realize a leitura do artigo ”O que são cookies? Entenda os dados que os sites guardam sobre você”. Revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais De acordo com o artigo 20, a LGPD determina que: “O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.” Isso significa que a LGPD busca minimizar os riscos desencadeados pelo crescente uso de algoritmos e inteligência artificial (IA) para realização de julgamentos e avaliações das pessoas. Por exemplo, uma mídia social consegue analisar as preferências de um usuário por meio de postagens, curtidas, localização, serviços acessados, histórico etc. Dessa forma, ela vai disponibilizar a esse usuário determinadas informações, restringir outras, atraí-lo para o consumo de determinado produto por meio da personalização de anúncios ou até mesmo manipular uma opinião. Portanto, para garantir o mínimo de transparência dessas ações, a LGPD determina que a organização controladora dos dados deverá fornecer, sempre que solicitadas pelo titular, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial. Saiba mais... Clique aqui e saiba mais como os algoritmos funcionam na internet. Violação de direitos Se algum dos direitos que a Lei assegura for descumprido total ou parcialmente, ou se você estiver desconfortável com alguma situação, você deve contatar, primeiramente, a organização que violou seus direitos. Caso a reclamação não seja solucionada no prazo estabelecido em regulamentação, você pode, então, acionar a Autoridade Nacional de Proteção de Dados (ANPD) para a defesa dos seus direitos. De acordo com o artigo 55-J, inciso V, compete à ANPD: “apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação; Saiba mais... Clique aqui e conheça a ANPD. Proteção de dados de crianças e adolescentes O direito à privacidade é fundamental para a manutenção das relações sociais e proteger esse direito dos mais vulneráveis, como as crianças e os adolescentes, é responsabilidade de todos. O Estatuto da Criança e do Adolescente (ECA) considera que crianças são as pessoas até 12 anos de idade incompletos, e adolescentes são aquelas entre 12 e 18 anos de idade. E, para estes casos, a LGPD define que o tratamento deverá ser realizado em seu melhor interesse e com o consentimento específico, no caso de crianças, de pelo menos um dos pais ou responsável legal. A importância desse cuidado é assegurar que os dados pessoais dos menores estejam amparados por todas as leis aplicáveis neste país. Aqui, cabe observar a importância de se atentar para o acesso a jogos e aplicativos, que solicitam informações para o cadastro e acesso a serviços. Como tutor e responsável, é muito importante estar atento ao fornecimento desses dados, pois muitas dessas organizações que atuam no mercado digital não possuem sede operacional no Brasil e, como o acesso a domínios estrangeiros é irrestrito, elas podem não estar adequadas à nossa legislação. Assim, o direito sobre o tratamento das informações das crianças e adolescentes pode ficar comprometido pela restrição de alcance da lei nacional. Saiba mais... Clique aqui e entenda o tratamento de dados de crianças e adolescentes. Clique aqui para ler a cartilha “Adolescentes e o risco de vazamento de imagens íntimas na internet”. Infração aos direitos garantidos pela LGPD A LGPD visa proteger os direitos do cidadão em relação à privacidade dos seus dados. As situações mencionadas a seguir podem tipificar infração a esses direitos, a partir de sua vigência. Contatos suspeitos Ao receber um telefonema, mensagem ou qualquer outro tipo de contato por parte de algumas organizações, devemos questionar: Esse tipo de situação mostra como nossos dados e informações circulavam pela rede entre as organizações de forma irrestrita, até agora. Você já deve ter ouvido falar no termo SPAM, sigla de Sending and Posting Advertisement in Mass, que em português significa Envio e Postagem de Publicidade em Massa. O envio dessas publicidades ocorre desrespeitando a privacidade da pessoa e pode causar prejuízos e muito incômodo. Requisição de dados Outra situação é nos depararmos com a requisição dedados pessoais, como nome, telefone, endereço, sem termos finalizado a contratação ou compra de determinado serviço. Neste caso, também devemos questionar: É como se, ao entrar em um restaurante, você fosse impedido de escolher o prato sem antes fornecer alguns de seus dados pessoais. A partir da vigência da Lei, os casos de não cumprimento da Legislação serão muito comuns, pois o processo de adequação exige que a organização reveja suas estratégias de mercado, processos e procedimentos internos. É fundamental que os profissionais das organizações estejam alinhados às políticas, aos códigos de ética e treinados para que atuem na defesa dos interesses da pessoa, evitando a abertura de prerrogativas nos interesses pessoais. Saiba mais... Há vários casos na mídia que ferem os direitos assegurados pela LGPD. Clique aqui e observe como uma operadora de telefonia foi impedida, em 2014, de exigir cadastro para então disponibilizar informações sobre serviços. Clique aqui e conheça o caso de farmácia que compartilhou uma receita, pela internet, contendo informações de segredo profissional, no tratamento e uso de medicamentos no combate ao COVID-19, contendo informações pessoais sensíveis, de extremo sigilo. Clique aqui e entenda mais sobre os tipos e como é realizada a prática de Spam. GLOSSÁRIO Exercícios Questão 1 Toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, entre outros, corresponde a: A. SPAM Ops! SPAM é sigla de Sending and Posting Advertisement in Mass, que em português significa Envio e Postagem de Publicidade em Massa. B. Tratamento de dados checkParabéns! Resposta Correta. Tratamento de dados pessoais significa praticar alguma atividade que envolva os dados de uma pessoa. C. ANPD Ops! ANPD é sigla de Autoridade Nacional de Proteção de Dados. D. Uso dos cookies Ops! Os cookies são pequenos arquivos que são salvos no computador do usuário, por meio do navegador. E. ISO 27002 Ops! A ISO 27002 é a norma de boas práticas para gestão de segurança da informação. Questão 2 Em relação aos direitos dos indivíduos, selecione a opção correta para cada afirmação. 1. Consiste em conhecer quais dados foram coletados e estão sendo tratados pela organização. Selecione a alternativa correta Acesso aos dados checkParabéns! Resposta correta. 2. Tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Selecione a alternativa correta Pseudonimização checkParabéns! Resposta correta. 3. Permite o arrependimento da autorização emitida incialmente. Selecione a alternativa correta Revogação do consentimento checkParabéns! Resposta correta. 4. Possibilita a transferência de seus dados pessoais para outra organização. Selecione a alternativa correta Portabilidade checkParabéns! Resposta correta. Questão 3 João tem um filho, Gabriel, de 11 anos, que adora assistir a vídeos na internet e jogar games de aplicativos. Ele concedeu à Gabriel a total liberdade de acessar qualquer conteúdo e baixar o aplicativo que quiser no celular, pois já conversou com o filho sobre esse assunto e apresentou quais cuidados deverá tomar em relação à navegação pela internet. A ação de João é considerada: A. Correta, pois seu filho já tem a maturidade de escolher os aplicativos que são considerados compatíveis com a idade dele. Ops! Resposta incorreta. A resposta correta é a alternativa “c”. De acordo com o Estatuto da Criança e do Adolescente (ECA), Gabriel ainda é considerado uma criança por ter 11 anos. Por isso, João deve sempre acompanhar o que seu filho está acessando e baixando, pois ele é o responsável. B. Correta, pois João já conversou com Gabriel sobre os cuidados a serem tomados na internet. Ops! Resposta incorreta. A resposta correta é a alternativa “c”. De acordo com o Estatuto da Criança e do Adolescente (ECA), Gabriel ainda é considerado uma criança por ter 11 anos. Por isso, João deve sempre acompanhar o que seu filho está acessando e baixando, pois ele é o responsável. C. Errada, João deve sempre acompanhar o que seu filho está acessando e baixando, pois ele é responsável por Gabriel, que é considerado vulnerável por ainda ser uma criança. checkParabéns! Resposta correta. De acordo com o Estatuto da Criança e do Adolescente (ECA), Gabriel ainda é considerado uma criança por ainda ter 11 anos. D. Errada, pois é João quem deve baixar os aplicativos para seu filho. Ops! Resposta incorreta. A resposta correta é a alternativa “c”. De acordo com o Estatuto da Criança e do Adolescente (ECA), Gabriel ainda é considerado uma criança por ter 11 anos. Por isso, João deve sempre acompanhar o que seu filho está acessando e baixando, pois ele é o responsável. E. Correta, pois João não tem muita familiaridade com tecnologias e Gabriel tem facilidade em utilizar esses recursos. Ops! Resposta incorreta. A resposta correta é a alternativa “c”. De acordo com o Estatuto da Criança e do Adolescente (ECA), Gabriel ainda é considerado uma criança por ter 11 anos. Por isso, João deve sempre acompanhar o que seu filho está acessando e baixando, pois ele é o responsável. Questão 4 Escolha verdadeiro ou falso para as afirmações a seguir, considerando os direitos assegurados pela LGPD aos titulares dos dados: A. Ana realizou a compra de uma televisão em uma loja física de comércio eletrônico. No momento de preencher o cadastro, o vendedor solicitou sua autorização para compartilhar suas informações com a empresa de seguros, para que ela tivesse o benefício de garantia estendida com valor reduzido. Neste caso, Ana tem o direito de autorizar o compartilhamento de seus dados pessoais. Falso Verdadeiro checkParabéns! Resposta correta. Ao conhecer o tratamento que a empresa realizará em seus dados, a lei permite que Ana decida se deseja ou não autorizar o tratamento deles. B. Júlia, ao matricular sua filha Carolina de 8 anos na escola, autorizou o compartilhamento dos dados da menina. Algum tempo depois, leu na internet sobre o vazamento de dados dos alunos de uma escola, por isso solicitou a revogação total do compartilhamento com qualquer tipo de organização pública ou privada. Nesta situação, Júlia tem razão, pois está amparada pelo Estatuto da Criança e do Adolescente (ECA). Falso Verdadeiro clearOps! Resposta incorreta. A afirmação é falsa. Júlia pode revogar parcialmente o tratamento dos dados da filha, pois informações, como rendimentos, presenças etc., precisam ser compartilhadas com o Governo, por comporem a base nacional de gestão educacional. C. Pedro possui um cadastro em plataforma de vídeos há 3 anos. Recentemente, ele solicitou o acesso aos dados que essa empresa possui sobre ele, bem como o tipo de tratamento aplicado. A empresa lhe informou que se tratam de informações estratégicas e sigilosas, por isso não poderia atendê-lo. Neste caso, a empresa está amparada pela LGPD, pois trata-se de um segredo comercial. Falso Verdadeiro checkParabéns! Resposta correta. Pedro, como titular dos dados, tem o direito de conhecer quais dados foram coletados e estão sendo tratados pela empresa. D. Maria fez uma compra pela internet em uma loja virtual de roupas. O produto solicitado chegou atrasado e com defeito. Além disso, ela não foi bem atendida no pós-venda, pois enviava vários e-mails e não obtinha resposta. Diante do descontentamento, ela solicitou a eliminação de seu cadastro, porque não deseja receber nenhum tipo de anúncio. Neste caso, a empresa deve eliminar as informações, atendendo ao determinado na Lei Geral de Proteção de Dados Pessoais (LGPD). Falso Verdadeiro checkParabéns! Resposta correta. Como não deseja mais que seus dados sejam tratados pela empresa, Maria tem o direito de solicitara eliminação deles da base de dados da empresa. Resumindo Nesta unidade, você viu que reconhecer os direitos garantidos pela LGPD é um passo muito importante para a proteção da nossa privacidade. Mas exercer esse direito vai além da proteção e permite a regulamentação do mercado, forçando a adequação das organizações e a transformação da realidade digital ou não. Além disso, esse reconhecimento nos traz uma outra perspectiva que será apresentada na próxima unidade. Ao entendermos os nossos direitos como cidadãos, deveremos estar atentos às nossas responsabilidades enquanto partes de uma organização, na proteção da privacidade das outras pessoas a quem, de alguma forma, atendemos na oferta de nossos produtos e/ou serviços. Avance para a unidade 3 e conheça os deveres e as responsabilidades que a LGPD determina às empresas. DEVERES E RESPONSABILIDADES Nesta unidade, você conhecerá os deveres e as responsabilidades que as organizações devem cumprir ao tratarem os dados de seus clientes, parceiros, funcionários e de todas as pessoas a que elas tiverem acesso. Para começar Nas unidades anteriores, você viu os direitos que a LGPD assegura a todo cidadão, perante a privacidade e a titularidade dos seus dados nas relações com as empresas, instituições, associações, órgãos públicos, ONGs (Organizações Não Governamentais), entre outros. Dessa forma, é importante lembrar que a Lei não visa interromper o tratamento de dados, que já ocorre por parte dessas organizações. Seu objetivo é regular e proteger os nossos interesses, de forma que sejam criados mecanismos de controle para uma relação saudável e equilibrada entre elas (organizações) e as pessoas. É importante ressaltar que os direitos que, por um lado, são assegurados aos cidadãos, por outro, se tornam parte dos deveres e das responsabilidades das organizações, ao tratarem os dados pessoais de seus clientes, parceiros, funcionários e de todas as pessoas que, por ventura, a elas tiverem acesso. Em linhas gerais, os deveres de toda organização são zelar pela nossa privacidade e respeitar os nossos interesses. Requisitos para a realização do tratamento de dados As organizações devem analisar e enquadrar o tratamento de dados que já realizam ou pretendem realizar dentro de ao menos uma das bases legais previstas na LGPD, como, por exemplo: mediante o consentimento do titular; para cumprimento de obrigação legal; pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis; para a proteção da vida ou da segurança física do titular ou de terceiro; para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária, entre outros. Saiba mais... O artigo 7º da LGPD determina as hipóteses para o tratamento de dados pessoais e o artigo 11º traz as hipóteses para o tratamento de dados pessoais sensíveis. Clique aqui e conheça todas as hipóteses na íntegra. Deveres das organizações perante os direitos dos titulares dos dados Para assegurar os nossos direitos, as organizações precisam mapeá-los e traduzi-los na perspectiva da LGPD. Elas devem avaliar toda a estrutura de dados, de forma que seja feita uma adequação no modelo atual de negócio para comportar a nova realidade sobre a privacidade do indivíduo. É como se o atual modelo de negócio fosse comparado com a proposta da Lei, na utilização de um checklist, por exemplo. A Lei consolida alguns princípios, estabelecendo um direcionamento e uma padronização das responsabilidades das organizações perante os interesses e direitos dos titulares dos dados a serem atendidos. A imagem abaixo mostra cada um deles. Clique nela para ampliá-la. Finalidade A finalidade é uma condição que determina o motivo pelo qual os dados pessoais serão tratados pelas organizações. Dela deriva os dados mínimos necessários para se alcançar determinado objetivo. É preciso que o tratamento a ser realizado com o dado pessoal tenha propósitos legítimos, específicos, explícitos e informados ao indivíduo, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Pense o tipo de tratamento de dados que sua empresa precisa fazer e faça as seguintes perguntas: Qual a finalidade de coletar dados pessoais e armazená‐los? Há alguma conexão direta entre os dados pessoais e/ou pessoais sensíveis na execução da atividade? Se tiver que coletar dados pessoais e/ou pessoais sensíveis, qual será a finalidade? Exemplo: Uma organização escolar que solicita os dados dos alunos e de seus pais para uma matrícula, por exemplo, não pode utilizá-los para enviar publicidade ou ofertas de produtos, se não tiver descrito que esta é uma das finalidades no tratamento dos dados pessoais. Fonte: Pixabay Adequação Deverá haver, obrigatoriamente, uma exata correspondência entre o que foi informado com o que de fato é executado. Não basta apenas informar ao titular sobre os possíveis tratamentos. Assim, ao iniciar o tratamento dos dados, com a sua coleta, a empresa deverá respeitar a decisão do indivíduo. Pensando na finalidade, deve ser feita uma adequação visando o alinhamento do tratamento com o propósito. Exemplo: Uma organização escolar precisa coletar e armazenar dados sobre a saúde de seus alunos. Já uma empresa de e-commerce de produtos alimentícios não precisa conhecer esse tipo de dado, que é caracterizado como um dado sensível pela LGPD. Fonte: Pixabay Necessidade Essa responsabilidade de atender à necessidade de finalidade e adequação busca determinar que a empresa não realize o tratamento dos dados além do necessário. Esse necessário é relativo ao desempenho da atividade de tratamento do dado almejado pela organização. Portanto, o mapeamento adequado dos processos internos é fundamental para assegurar maturidade nas estratégias e nas suas adequações. Fonte: Pixabay Exemplo: Uma loja de calçados solicita que você preencha uma ficha extensa com seus dados pessoais e pessoais sensíveis e, entre os campos de preenchimento, quer saber qual a sua convicção religiosa. A pergunta que deve ser feita é: Qual a necessidade de uma loja de calçados saber a sua convicção religiosa? ATENÇÃO! Tratar mais dados do que o necessário cria riscos que podem prejudicar o indivíduo e tornar a empresa suscetível às sanções previstas na LGPD, como advertência e multas. Livre acesso A empresa deve assegurar livre acesso aos dados do titular. Essa postura estabelece uma relação transparente e responsável, pois permite que o indivíduo audite, de certa forma, as suas próprias informações e seja parceiro da empresa na sinalização de sua insatisfação com algum tratamento realizado. E isso tem impacto direto na experiência do usuário como um todo e pode impactar positivamente na imagem que o cliente ou usuário constrói da instituição. Exemplo: O projeto do Google citado na unidade 1 (takeout.google.com) permite que usuários de produtos, como YouTube e Gmail, façam download dos seus dados, permitindo seu livre acesso. Qualidade dos dados É fundamental que os dados estejam corretos e atualizados de forma que erros não gerem prejuízos aos titulares. É importante que existam mecanismos de validação das informações, desde o momento de sua coleta, para que um número de CPF não seja coletado e armazenado incorretamente, por exemplo. O processo de desenvolvimento da qualidade dos dados vai além da relação organização x pessoa x dados pessoais. Ela determina mudança e aprimoramento dos processos internos e no fluxo dos dados e informações que circulam no ciclo do negócio. Segurança Considerando que a organização se torna portadora das informações, a partir de sua coleta, deve atentar-se à utilização de medidas técnicas e administrativas aptas a proteger os dados pessoaisde acessos não autorizados e de situações acidentais ou ilícitas. De nada adianta assegurar a finalidade, garantir transparência, livre acesso e não ter políticas internas, processos, procedimentos e tecnologias atuais para efetivar a adequação aos preceitos da LGPD, protegendo a segurança dos dados. Segurança da Informação (dados) X Privacidade Segurança da Informação (dados) e Privacidade são conceitos complementares. Clique nos itens a seguir e conheça cada um deles: SEGURANÇA DE DADOS PRIVACIDADE A segurança da informação não se limita a proteger os dados pessoais na privacidade do indivíduo. Ela vai além e engloba toda a segurança das informações que circulam pela organização. Saiba mais... Clique aqui e conheça um estudo divulgado pela IBM, em que ela compartilha que 96% dos brasileiros acreditam que as empresas não protegem seus dados pessoais. Prevenção É preciso desenvolver uma nova perspectiva conjunta de prevenção e proteção dos dados que estão ou estarão sob responsabilidade direta e indireta de todos. A prevenção exige uma mudança na estrutura de pensamento das pessoas e na forma como participam dos processos, até então executados. O desenvolvimento de políticas internas, treinamentos, atualizações de conhecimento e também uso de sistemas e tecnologias modernas compreendem detalhes que, somados, ampliam a capacidade de prevenção a incidentes relativos à privacidade dos indivíduos. Não discriminação A discriminação é vedada e combatida em todos os âmbitos da relação social, como no caso de você ter seu cadastro ou acesso a um determinado serviço suspenso por questões religiosas, políticas ou de saúde, por exemplo. O tratamento dos dados pessoais deve criar oportunidades que atendam aos interesses dos titulares e das empresas, mas nunca será utilizado em caráter discriminatório, de forma que possa segregar a humanidade em suas características íntimas. Responsabilização e prestação de contas O princípio da responsabilização não deve transmitir a ideia punitiva perante o texto da Lei e sim a postura de responsabilidade e diligência na tratativa dos dados. Essa responsabilização deve coexistir na missão, na visão e na oferta dos produtos e serviços da organização. Essa demonstração de medidas eficazes e capazes de comprovar a observância da LGPD deve coexistir com as demais obrigações da organização. Nesse caso, o uso de tecnologias modernas, treinamentos e capacitações também colaboram para demonstrar a responsabilidade e a prestação de contas de parte das ações tomadas pelas organizações. Transparência Ser transparente, informando claramente o tratamento realizado com dados pessoais diferencia a organização que respeita o interesse das pessoas. Se antes o tratamento de dados era realizado sem fiscalização, a palavra de ordem passa a ser confiança. Para isso, é necessário que a ética e a responsabilidade estejam presentes em todas as ações de uma organização. A transparência é uma conduta que, de certa forma, engloba todos os outros princípios já citados. Fonte: Pixabay Exemplo: Um site informa e solicita a você autorização para utilizar cookies, conforme orienta a LGPD. Você não autoriza, mas mesmo assim, o site executa essa ação, ferindo o dever da transparência. E, nesse contexto de transparência, cabe ressaltar que o uso de uma linguagem simples e didática oferece ao cidadão maior oportunidade de compreensão das informações referentes ao tratamento de seus dados. Assim, é fundamental evitar termos jurídicos e fazer uso da proposta do legal design (visual law em inglês) que busca traduzir os termos para uma linguagem mais acessível à toda população. Saiba mais... Clique aqui e conheça mais sobre legal design e visual law. Todos esses princípios representam a responsabilidade das organizações em relação ao escopo de atividades por elas desenvolvidas, no que se refere ao mapeamento detalhado dos fluxos e processos que envolvem a utilização de dados pessoais. Essas atitudes visam proteger a privacidade do indivíduo. Dessa forma, asseguramos o protagonismo das pessoas nas suas próprias histórias, sem invadirmos os seus espaços e respeitando suas privacidades, de forma que, ao mesmo tempo, possibilite que as organizações continuem realizando os seus trabalhos. Exercícios Questão 1 Ao olharmos para os deveres que uma organização tem sobre a proteção dos dados e a privacidade do indivíduo, identifique a alternativa correta: A. Ao definir tais deveres, a LGPD tem o objetivo de dificultar o tratamento de dados pessoais. Ops! Resposta incorreta. A LGPD não tem o objetivo de dificultar o tratamento de dados e, sim, regular as relações entre as pessoas e as organizações. B. As organizações não precisam se preocupar com a privacidade do indivíduo, pois esta responsabilidade é da própria pessoa. Ops! Resposta incorreta. A partir do momento em que as organizações tratam dados pessoais, elas devem se preocupar com a privacidade do indivíduo. C. As organizações devem enquadrar o tratamento de dados que já realizam ou pretendem realizar dentro de, ao menos, uma das bases legais previstas na LGPD. checkParabéns, resposta correta! Os artigos 7º e 11º da LGPD determinam as hipóteses para o tratamento de dados pessoais e dados pessoais sensíveis, nas quais as organizações devem justificar o tratamento de dados. D. A organização não precisa informar sobre o tratamento dos dados pessoais, apenas dos dados pessoais sensíveis. Ops! Resposta incorreta. Segundo o princípio relacionado à transparência, a organização deve informar claramente o tratamento realizado com os dados pessoais e os dados pessoais sensíveis. Questão 2 A loja virtual Elektra, de móveis e eletrodomésticos, ao realizar a venda de seus produtos, coleta algumas informações de seus clientes, como nome, RG, CPF, telefone, endereço e gênero. Identifique a alternativa correta: A. A loja pode coletar a informação que quiser, desde que exclua os dados posteriormente. Ops! Resposta incorreta. A coleta como um tratamento de dados também deve ser informada e consentida, a menos que atenda alguma exigência legal. B. A loja pode coletar tais informações desde que tenha propósitos legítimos, específicos, explícitos e informados ao indivíduo. checkParabéns! Resposta correta. Ao coletar dados pertinentes à execução de sua atividade, a empresa está respeitando o princípio da finalidade. C. A loja pode coletar a informação que quiser e não precisa informar o titular. Ops! Resposta incorreta. A organização precisa informar o titular. D. A loja deve sempre coletar todas as informações possíveis sobre o indivíduo. Ops! Resposta incorreta. A organização deve sempre coletar somente os dados necessários para o desenvolvimento da atividade, lembrando dos riscos de tratar dados além do necessário. E. Segundo a LGPD, as organizações não podem mais coletar dados dos titulares. Ops! Resposta incorreta. A LGPD veio para regulamentar e não impedir ou prejudicar o desenvolvimento das atividades por parte das empresas. Questão 3 Uma empresa de RH coletou, por meio de um formulário digital, dados pessoais dos candidatos, como nome, idade, endereço, formação educacional e estado de saúde. Durante a análise dos dados, os recrutadores fizeram uso dessas informações para determinar a seleção dos participantes, justificando a aderência dos perfis à vaga oferecida. Diante desse contexto, preencha as afirmações a seguir com verdadeiro ou falso, de acordo com as premissas da LGPD: A. A empresa pode coletar todos esses dados desde que os utilize somente para a finalidade de recrutamento. Falso Verdadeiro B. A empresa pode coletar todos esses dados desde que informe o candidato. Falso Verdadeiro C. O estado de saúde do candidato é um dado sensível desnecessário para a finalidade de recrutamento. FalsoVerdadeiro D. A empresa pode coletar todos esses dados desde que não utilize tais informações para discriminar o candidato. Falso Verdadeiro VERIFICAR RESPOSTA Questão 4 Uma escola coleta e armazena dados pessoais e pessoais sensíveis de seus alunos, que são menores de idade. Esses dados ficam arquivados em pastas dentro de um armário na secretaria da escola, que fica próxima ao portão de entrada e à rua. Muitas pessoas passam pelo local e não há câmeras de segurança, controles de acesso e nenhum mecanismo de proteção deste armário, que contém uma simples tranca. Identifique a alternativa que indica quais princípios da LGPD estão sendo desrespeitados neste caso: A. Finalidade e adequação. Ops! Resposta incorreta. A resposta correta é a alternativa D. Ao deixar os dados dos alunos suscetíveis à exposição, a escola não está atendendo aos princípios de prevenção e segurança, no que se refere a adequação de processos, procedimentos e tecnologias para proteger os dados que estão sob sua responsabilidade. B. Livre acesso e qualidade dos dados. Ops! Resposta incorreta. A resposta correta é a alternativa D. Ao deixar os dados dos alunos suscetíveis à exposição, a escola não está atendendo aos princípios de prevenção e segurança, no que se refere a adequação de processos, procedimentos e tecnologias para proteger os dados que estão sob sua responsabilidade. C. Não discriminação e transparência. Ops! Resposta incorreta. A resposta correta é a alternativa D. Ao deixar os dados dos alunos suscetíveis à exposição, a escola não está atendendo aos princípios de prevenção e segurança, no que se refere a adequação de processos, procedimentos e tecnologias para proteger os dados que estão sob sua responsabilidade. D. Prevenção e Segurança. checkParabéns! Resposta correta. Ao deixar os dados dos alunos suscetíveis à exposição, a escola não está atendendo aos princípios de prevenção e segurança, no que se refere a adequação de processos, procedimentos e tecnologias para proteger os dados que estão sob sua responsabilidade. Resumindo Nessa unidade, você viu que as organizações não são proprietárias dos dados das pessoas. Portanto, para assegurarem os direitos dos titulares e a proteção desses dados, é imprescindível que avaliem todo o processo de tratamento de dados pessoais que já realizam ou pretendem realizar, justificando-o em, ao menos, uma das bases legais previstas na LGPD e respeitem todos os princípios estabelecidos, como finalidade, adequação, necessidade, livre acesso do titular às suas informações, entre outros, para que a relação com as pessoas seja feita com clareza, transparência e responsabilidade, evitando, assim, riscos que podem prejudicar o indivíduo e tornar a empresa suscetível a sanções e multas altíssimas. Você viu também que é fundamental que as organizações ajam de forma preventiva, garantindo a segurança das informações, mapeando e tratando todos os riscos inerentes aos tratamentos a que fizerem uso. Avance para a unidade 4 e conheça as boas práticas de governança, a fim de garantir os padrões de segurança e privacidade. GOVERNANÇA PARA PROTEÇÃO DA PRIVACIDADE Nesta unidade, você conhecerá as boas práticas de governança de dados, a fim de garantir os padrões de segurança e privacidade. Para começar Até aqui, você viu que a LGPD trouxe grandes mudanças na proteção da privacidade dos dados, estabelecendo novos direitos para as pessoas, bem como responsabilidades para as organizações. Por isso, esse novo momento exige delas (organizações) a reavaliação dos processos internos, além do mapeamento das atividades que, de alguma forma, tratam dados pessoais. Essa adequação é um processo constante e contínuo que deve conectar o propósito de todas as áreas e departamentos, no que chamamos aqui de Governança de dados. Pode-se dizer que a governança envolve a implementação de regras, práticas, processos, procedimentos e controles, visando o crescimento de uma organização de forma organizada e sustentável, respeitando a legislação e a sociedade como um todo. No contexto da administração de empresas, esse entendimento é conhecido como governança corporativa. Segundo o Instituto Brasileiro de Governança Corporativa (IBGC, 2019), essa expressão significa: Sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas. As boas práticas de governança corporativa convertem princípios básicos em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor econômico de longo prazo da organização, facilitando seu acesso a recursos e contribuindo para a qualidade da gestão da organização, sua longevidade e o bem comum. Nesse sentido, a governança corporativa abarca também a governança de dados que, de acordo com o DAMA - Data Maturity Body of Knowledge (2017, p. 67), trata-se de: exercício de autoridade e controle (planejamento, monitoramento e execução) sobre o gerenciamento de ativos de dados. A LGPD determina que as organizações implementem regras e boas práticas de governança, com procedimentos específicos para todas as pessoas envolvidas no tratamento de dados pessoais e que seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta. Saiba mais... Clique aqui e saiba mais sobre governança corporativa. Siga em frente e conheça alguns princípios e práticas de segurança e governança que contribuem para proteção da privacidade. Governança de dados Uma das características da governança de dados, no contexto da LGPD, é a ideia do Privacy by Design ou Privacidade no Design, em português. Tal ideia envolve os seguintes preceitos ou princípios. Clique nos ícones abaixo para conhecer cada um deles. A soma desses sete preceitos determina um outro conceito conhecido por Privacy by Default ou Privacidade por Padrão, em português, que resume a importância de a privacidade ser incorporada no desenvolvimento de todas atividades, sempre como um padrão a ser seguido e mantido. Agentes de tratamento de dados Para que a governança de dados cumpra sua função, é fundamental que todas as pessoas da organização estejam alinhadas e em sintonia com o propósito da LGPD. Além disso, devem existir e coexistir, dentre elas, duas figuras importantes nesse contexto: controlador e operador. Clique nos itens a seguir para conhecer o papel de cada um deles. CONTROLADOR OPERADOR Segundo a Lei, o controlador é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Encarregado A LGPD também determina que seja nomeado um responsável, conhecido como encarregado, que é a pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Esse profissional também pode ser denominado DPO (Data Protection Officer) ou Oficial de Proteção de Dados, em português. Ele também deve orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e executar as demais atribuições determinadas pelo controlador ou estabelecidas em outras normas. Importante! De acordo com a LGPD, agentes de tratamento são os controladores e os operadores, responsáveis pelo cumprimento da lei, e serão os responsabilizados no caso de descumprimento dela. O encarregado não é agente de tratamento, mas cumpre um papel fundamental para os agentes de tratamento na avaliação constante de conformidade para a respectiva organização que ele atende. Acompanhe o exemplo prático a seguir para entender
Compartilhar