Baixe o app para aproveitar ainda mais
Prévia do material em texto
PROGRAMA DE ADEQUAÇÃO À LGPD Elaborado por Richard Gomes. OAB 224.480/RJ A Lei Geral de Proteção de Dados vai afetar todo o país, e para se adequar será necessário fazer muito mais do que contratar um software ou um antivírus. Muitas mudanças estruturais serão necessárias, no sentido de criarmos uma cultura organizacional na qual a segurança de dados seja prioridade. Visando orientar esse novo tipo de conduta, o presente material tenta traçar estratégias práticas para a implementação da lei. De forma dinâmica e efetiva, objetiva deixar todos a par dos principais aspectos da legislação e, a partir disso, contribuir para o desenvolvimento de um plano de adequação à LGPD. O QUE É A LGPD? A Lei n. 13.709, de 14 de agosto de 2018, é conhecida como Lei Geral de Proteção de Dados Pessoais – LGPD, e que dispõe sobre a proteção de dados pessoais e altera o Marco Civil da Internet. Quais setores serão impactados pela LGPD? Todos os setores da economia brasileira, bastando que disponha sobre o tratamento de dados pessoais, inclusive nos meios digitais. Quem é o titular dos dados tutelados? O titular dos dados pessoais é toda pessoa natural (pessoa física) a quem se referem os dados pessoais que são objeto de tratamento. A LGPD protegerá os dados das pessoas jurídicas? Não. A LGPD somente protegerá os dados das pessoas naturais (pessoas físicas). Os dados de pessoas jurídicas, como os números de CNPJs não serão protegidos pela legislação. O que é dado pessoal? A LGPD dispõe de um conceito abrangente de dado pessoal, definindo-o como TODA INFOFRMAÇÃO relacionada a pessoa natural (pessoa física) identificada ou identificável. Por exemplo, nome, RG, filiação, CPF, data de nascimento, endereço etc. Quando a lei terá sua vigência? Agosto/2020 Alguns conceitos Indispensáveis trazidos pela LGPD É importante destacar alguns conceitos indispensáveis para compreensão da LGPD: BANCO DE DADOS - conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. Contém informações em locais de armazenamento que possam conter dados pessoais de titulares. CONTROLADOR - pessoa física ou jurídica de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados pessoais. OPERADOR- pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador. AGENTE DE TRATAMENTO - São o controlador e o operador. ENCARREGADO - pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. É o responsável pelo recebimento de reclamações e comunicações dos titulares, devendo prestar esclarecimentos e adotar boas práticas. ANONIMIZAÇÃO - utilização de meios técnicos e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. ELIMINAÇÃO - exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado. TRATAMENTO - É toda a operação realizada com o dado pessoal. Por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição etc. RELATORIO DE IMPACTO À PROTEÇÃO DE DADOS - É uma documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais, descrevendo medidas contra riscos às liberdades civis e aos direitos fundamentais, bem como procedimentos e mecanismos de mitigação de risco. Âmbito de aplicação da LGPD A LGPD aplica-se a todas as operações de tratamento realizadas no Brasil, com o objetivo de ofertar bens, serviços ou tratar dados de indivíduos localizados no país ou ainda, que tenham sido coletados no território nacional. PRINCÍPIOS Os princípios estabelecidos na LGPD impõem diretrizes e limitações, orientando como os dados pessoais deverão ser tratados. São eles: FINALIDADE: Orienta que o tratamento de dados pessoais deve ser realizado para propósitos legítimos, específicos, e que serão informados ao titular, observadas as finalidades originárias; ADEQUAÇÃO: dispõe que o tratamento de dados pessoais deve ser compatível com as finalidades informadas ao titular; NECESSIDADE: O tratamento de dados pessoais deve abranger apenas dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; LIVRE ACESSO: princípio que significa a necessidade de ser garantido aos titulares a consulta facilitada e gratuita sobre a forma e a duração do tratamento de seus dados, bem como sobre a integralidade dos dados; QUALIDADE DOS DADOS: tal princípio busca garantir aos titulares que seus dados sejam exatos, atualizados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; TRANSPARÊNCIA: Princípio que busca garantir aos titulares o direito de acesso, garantia de que serão facilmente acessíveis, observados os segredos comercial e industrial; SEGURANÇA: Segundo tal princípio, devem ser utilizadas medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações acidentais; PREVENÇÃO: Tal princípio significa que devem ser adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. NÃO DISCRIMINAÇÃO: Significa a impossibilidade de realização do tratamento para fins discriminatórios; RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: Esse princípio dispõe da necessidade do agente demonstrar que adotou medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, explicitar a eficácia dessas medidas. PARA A CORRETA APLICAÇÃO DA LGPF é preciso considerar o seguinte: não é qualquer dado que será objeto de regulação pela lei, mas apenas os dados definidos e denominados DADOS PESSOAIS, que é toda informação relacionada a pessoa natural identificada ou identificável. (Art. 5º, I). Adicionalmente, será necessário proteger o que a LGPD chama de DADOS QUALIFICADOS, denominados de Dados Pessoais Sensíveis, como os de origem racial, étnica, convicção religiosa, filiação a sindicato ou a organização religiosa, posição filosófica ou política, dado referente à vida sexual, dado genético ou biométrico etc. (Art. 5º, II). OBJETO DA LGPD TODA INFORMAÇÃO RELACIONADA A PESSOA NATURAL IDENTIFICADA OU IDENTIFICÁVEL NÃO SERÁ APLICÁVEL A LGPD caso os dados sejam anônimos, isto é, caso a pessoa não seja identificada ou identificável, e se os dados não forem relacionados a pessoa natural (Art. 5º, III). POR ONDE COMEÇAR? A LGPD traz um conceito bastante amplo de tratamento de dados, entendendo como toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (art. 5 º, inciso X, LGPD). Sabendo que a LGPD se aplica a qualquer atividade que envolva utilização de dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, o primeiro passo é começarmos por desenvolver uma atuação integrada e coordenada com toda a equipe, para que possamos proteger dados pessoais e informações privadas como um todo. Criar mecanismos para o titular solicitar a correção dos seus dados pessoais Criar meios para o titular ter acesso aos seus dados pessoais Elaborar formas de Portabilidade de dados Dispor de uma forma de Anonimização,Eliminação e Bloqueio de dados Criar procedimento que permita o titular solicitar a eliminação de dados Permitir que o titular dos dados possa pedir a Revogação do consentimento dado Um atuação que proteja a privacidade e os dados pessoais é extremamente complexa e demanda esforços conjuntos das diversas partes interessadas. Por conta dessa alta complexidade é que o caráter multidisciplinar da equipe será considerado um aliado. AS EQUIPES PRECISARÃO: ARQUITETURA E URBANISMO OPERAÇÕES OPERAÇÕES DESENVOLVIMENTO INSTITUCIONAL ARTICULAÇÕES CORPORATIVAS A lei geral de proteção de dados pessoais (LGPD) tutela aspectos que não estão restritos a um conhecimento técnico específico, restando claro que para implementá-la será necessário um esforço conjunto de TODA A EQUIPE, diferentes profissionais que se complementarão. A construção de uma cultura de privacidade é essencial para a implementação da LGPD, e o bom desenvolvimento dessa implementação exige a conscientização da equipe. Para isso, importante difundir alguns conceitos da lei aos colaboradores, já que a coleta de dados está presente desde um simples cadastro na entrada até a celebração de um Termo de Concessão de uso, por exemplo. COMUNICAÇÃO E IMPRENSA ADMINISTRATIVA E FINANCEIRA JURÍDICO EQUIPE O QUE É NECESSÁRIO PARA REALIZAR A ADEQUAÇÃO? Orientar-se pelos princípios dispostos na LGPD; Manter registros das operações de tratamento de dados que realizar, art. 37, caput, LGPD; Formular regras de boas práticas e governança sobre proteção de dados, art. 50, LGPD; Nomear um encarregado para tratamento dos dados pessoais, art. 41 c/c art. 5º, VIII, art. 23, III da LGPD; Elaborar relatório referente às operações de tratamento, art. 38, LGPD; Elaborar formulários e métodos para conceder ao titular o direito de acesso, retificação, cancelamento e portabilidade dos dados, artigo 8 c/c Art. 5º, XII da LGPD; Criar e manter procedimentos para coleta e uso de dados pessoais sensíveis (incluindo dados biométricos), artigo 11 c/c art. 5º, II da LGPD; Ter uma política de privacidade e termos de uso para o tratamento de dados pessoais, artigos 6, 14, 15, 50 da LGPD; Elaborar e revisar contratos, cláusulas, códigos, normas e documentos que coletam ou tratam dados pessoais; Elaborar políticas de guarda de documentos internos, conservando um inventário de dados pessoais, artigo 37 da LGPD; Treinar a equipe sobre boas práticas e medidas de proteção de dados; artigo 41, III c/c art. 50 da LGPD; Criar materiais educativos para os colaboradores, com foco em assunto de privacidade, proteção de dados e segurança da informação; Desenvolver medidas de prevenção relativas a incidentes de segurança, incorporando o risco de privacidade de dados em avaliações de risco de segurança, art. 50 da LGPD; Criação de processos internos para responde adequadamente as solicitações de titulares; Desenvolver medidas para solucionar incidentes de vazamento de dados; Atribuir à Assessoria Jurídica a interação com autoridades reguladoras e fiscalizadoras, na defesa de imposição de sanções por descumprimento da LGPD; PRIMEIROS PASSOS PARA A EQUIPE Para iniciar o processo de implementação, cada equipe precisará: Esse primeiro passo pode iniciar-se com a elaboração de materiais educativos para funcionários, prestadores de serviço e demais colaboradores, com foco em assuntos de privacidade, proteção de dados e segurança da informação. A LGPD afirma que tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem à coleta, utilização, acesso, armazenamento etc. Assim, cada equipe deverá Identificar os dados (pessoal, sensível, público, anonimizado) que possui, e os meios (físico ou digital), o que nos permitirá mensurar a exposição da empresa à LGPD. Nessa etapa cada equipe realizará uma espécie de raio-x, identificando quais dados pessoais são coletados, onde e por quanto tempo esses dados ficam armazenados, com quem são compartilhados etc. É a fase de elaboração de um inventário completo dos dados, seja em meio digital ou físico. Essa primeira atividade é um diagnóstico para implementação da LGPD, e deve ser desempenhada com muita atenção, porque seu resultado será determinante para os próximos passos e direcionará todo o processo de implementação. O Relatório deverá conter 1. Existência de documentos internos e externos; 2. Forma atual de gerenciamento dos pedidos pelos titulares e órgãos; 3. Método de guarda de documentos (contratos, termos, políticas) para uso interno e externo; 4. Processo de acesso aos dados pelo titular (formulários, requerimentos etc.); 1 II. Mapear a entrada de dados pessoais 1 III. Elaborar um Relatório de dados 1 I. Realizar treinamentos da equipe sobre boas práticas e medidas de proteção de dados 5. Guarda e controle dos consentimentos e solicitações pelos titulares dos dados; 6. Existência ou inexistência de banco de dados para controlar pedidos pelo titular; 7. Medidas de segurança e proteção de dados; 8. Métodos de prevenção contra situações acidentais ou ilícitas; 9. Existência de procedimentos ou ações educativas no tratamento de dados; 10. Adoção de providências na conservação dos dados; 11. Capacitação de membros no tratamento de dados Cada equipe deverá identificar o método de coleta de dados utilizado em sua atividade diária, elaborando um relatório que explicite como os dados pessoais são utilizados em seus processos, qual a finalidade da coleta, bem como propor o que acha necessário ser diferente. Existe uma categoria especial de dados pessoais, que é a denominada dados sensíveis. A LGPD afirma que as informações relacionadas à origem racial ou étnica, convicção religiosa, opinião política, religiosa ou filosófica, dado referente à vida sexual, todos são dados que podem gerar riscos significativos para os direitos e liberdades fundamentais e, por isso, são submetidos a um tratamento mais rigoroso. Assim, é importante estar atento ao método utilizado nas atividades diárias para tratamento desses dados, uma vez que a LGPD impede que o tratamento seja insignificante e, por essa razão, exige tratamento especial. Por exemplo, um processo seletivo para um novo membro também pode ser um processo considerado para diminuir riscos de utilização indevida de dados pessoais. O relatório pode ser elaborado pela gerência ou não, desde que seja por alguém capaz de descrever, em detalhes, os dados pessoais tratados, as finalidades, e outras informações de acordo com a respectiva atividade desempenhada pela área mapeada. Assim, o relatório precisará conter: O tipo de dado pessoal (sensível ou não); Qual o perfil do titular (funcionários, cliente etc); A finalidade da retenção dos dados; O sistema de armazenamento dos dados; Com quem os dados são compartilhados e com qual finalidade; 1 IV. Identificar o método de coleta de dados em suas atividades diárias 1 V. Detalhamento Existência ou inexistência de transferência internacional dos dados e sua finalidade; Os direitos que são disponibilizados aos titulares; Etc; As informações exigidas se mostram relevantes para a identificação do atendimento ao princípio da adequação, finalidade e necessidade, nos moldes do previsto no art. 6º, I, II e III da LGPD. É preciso um mecanismo em que o titular realize uma manifestação livre, informada e inequívoca pela qual concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Necessário a elaboração e/ou revisão de contratos e documentos que envolvam a contratação de prestadores de serviços (pessoas) e que coletam ou tratam desses dados pessoais em benefícioda empresa. R e v i s ã o d e p r o c e d i m e n t o s i n t e r VI. Revisão de procedimentos internos, políticas e fluxos de tratamento de dados pessoais para cumprimento da LGPD. I. R e v i s ã o d e p r o c e d i m e n t o s i n VII. Criar um mecanismo de consentimento II. R e v i s ã o d e p r o c e d i m e n R e v i s ã o d e p r o c e d i R e v i s ã o d e p r VIII. Elaboração de política de segurança para documentos corporativos III. IX. Controle dos dados dos prestadores de serviços IV. X. Assessoria jurídica em incidentes de vazamento de dados V. Para adequação do site à LGPD O site precisa dispor de um espaço para CONSENTIMENTO, permitindo a autorização expressa pelo titular ao controlador para que ele possa tratar os dados da forma desejada. Para esse consentimento ser válido, o espaço precisa permitir que o titular saiba que fornecer os dados é uma escolha livre, ele precisa ser informado da finalidade determinada, e o dado precisa ser fornecido por escrito ou outro meio que demonstre a manifestação da vontade do titular. Tudo isso precisa ser específico, em cláusula destacada, sem vício de consentimento e referir-se aos dados. Ressalta-se que requerimento genérico implicará em autorizações genéricas, que são consideradas nulas, com base no artigo 7º, inciso I, da LGPD; O site precisa ter um mecanismo eficaz para poder ser usado como forma de provar o consentimento obtido, uma vez que o ônus da prova é do controlador, conforme teor do disposto no §2º do art. 8º da LGPD; O site precisa ter um canal de atendimento e de comunicação para que o titular entre em contato de maneira fácil e simplificada para tirar dúvidas sobre o tratamento de dados pessoais e possa revogar o consentimento a qualquer tempo, art. 7º da LGPD; O site precisa ter espaço para requisições e atendimento às requisições promovidas pelo Titular dos dados. O §3º do artigo 18 estabelece que o exercício dos direitos pelo titular deve se dar mediante requerimento expresso, cabendo ao controlador, caso não possa atender imediatamente (§4º), informar o seguinte: (i) Que não é o responsável, indicando, se possível, o responsável, ou (ii) Indicar as razões de fato ou de direito que impedem a adoção imediata das providencia. 9 O site precisa informar a política de privacidade adotada, precisando se atentar à previsão do artigo 9º da LGPD. Isso porque são as políticas de privacidade que costumeiramente dão sustentação ao direito do titular acessar as informações sobre o tratamento de seus dados, devendo ser disponibilizadas de forma clara, e constarem as seguintes características: o Finalidade específica do tratamento; o Forma e duração do tratamento, observados os segredos; o Identificação do controlador; o Informações de contato do controlador; o Informações acerca do uso compartilhado de dados pelo controlador e a finalidade; o Responsabilidades dos agentes que realizarão o tratamento; e o Direitos do titular. O site precisa ter um espaço de solicitação, em conformidade com o art. 18 da LGPD. O titular poderá solicitar: Confirmação da existência de tratamento; Acesso aos dados; Correção de dados incompletos, inexatos ou desatualizados; Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; Portabilidade dos dados; Eliminação dos dados pessoais; Informação das entidades públicas e privadas com os quais o controlador realizou uso compartilhado de dados; Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e Possibilidade de revogação do consentimento, nos termos do §5º, art. 8º da LGPD. BASE LEGAL Como fundamento para a utilização de dados pessoais, o art. 1º da LGPD dispõe que o tratamento deverá observar: O respeito à privacidade; A autodeterminação informativa; A liberdade de expressão, de informação, de comunicação e de opinião; A inviolabilidade da intimidade, da honra e da imagem; O desenvolvimento econômico e tecnológico e a inovação; A livre iniciativa, a livre concorrência e a defesa do consumidor; e O artigo 3º da LGPD dispõe que ela se aplica a qualquer operação de tratamento de dados realizada no território nacional, desde que atendidos os seguintes requisitos: (...) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços (...) Assim, se um contratado, um candidato, um titular preenche um cadastro, desnecessário o consentimento expresso, haja vista tratar-se de um procedimento preliminar na elaboração de um contrato do qual o próprio tem ciência. Todavia, NÃO PODERÁ o controlador utilizar os referidos dados para outras finalidades, por exemplo, para ações de promoção comercial, enviar notícias, divulgar eventos etc. Nesse caso, o adequado é pedir o consentimento em apartado. O artigo 16 da LGPD traz quatro hipóteses em que os dados poderão ser conservados: (i) cumprimento de obrigação legal ou regulatória; (ii) estudo por órgão de pesquisa; (iii) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei ou (iv) uso exclusivo do controlador, vedado transferir ao terceiro, e desde que anonimizados os dados.
Compartilhar