Programa de Adequação -LGPD (incompleto)

Prévia do material em texto

PROGRAMA DE 
ADEQUAÇÃO À 
LGPD 
Elaborado por Richard Gomes. 
OAB 224.480/RJ 
 
A Lei Geral de Proteção de Dados vai afetar todo o país, e para se adequar será necessário 
fazer muito mais do que contratar um software ou um antivírus. Muitas mudanças 
estruturais serão necessárias, no sentido de criarmos uma cultura organizacional na qual a 
segurança de dados seja prioridade. 
 
Visando orientar esse novo tipo de conduta, o presente material tenta traçar estratégias 
práticas para a implementação da lei. De forma dinâmica e efetiva, objetiva deixar todos a 
par dos principais aspectos da legislação e, a partir disso, contribuir para o 
desenvolvimento de um plano de adequação à LGPD. 
 
O QUE É A LGPD? 
A Lei n. 13.709, de 14 de agosto de 2018, é conhecida como Lei Geral de Proteção de 
Dados Pessoais – LGPD, e que dispõe sobre a proteção de dados pessoais e altera o Marco 
Civil da Internet. 
 Quais setores serão impactados pela LGPD? 
Todos os setores da economia brasileira, bastando que disponha sobre o tratamento de 
dados pessoais, inclusive nos meios digitais. 
 
Quem é o titular dos dados tutelados? 
O titular dos dados pessoais é toda pessoa natural (pessoa física) a quem se referem os 
dados pessoais que são objeto de tratamento. 
 
A LGPD protegerá os dados das pessoas jurídicas? 
Não. A LGPD somente protegerá os dados das pessoas naturais (pessoas físicas). Os dados 
de pessoas jurídicas, como os números de CNPJs não serão protegidos pela legislação. 
 
O que é dado pessoal? 
A LGPD dispõe de um conceito abrangente de dado pessoal, definindo-o como TODA 
INFOFRMAÇÃO relacionada a pessoa natural (pessoa física) identificada ou identificável. 
Por exemplo, nome, RG, filiação, CPF, data de nascimento, endereço etc. 
 
Quando a lei terá sua vigência? 
Agosto/2020 
 
 
 
 
 
Alguns conceitos Indispensáveis trazidos pela LGPD 
É importante destacar alguns conceitos indispensáveis para compreensão da LGPD: 
BANCO DE DADOS - conjunto estruturado de dados pessoais, estabelecido em um ou em 
vários locais, em suporte eletrônico ou físico. Contém informações em locais de 
armazenamento que possam conter dados pessoais de titulares. 
CONTROLADOR - pessoa física ou jurídica de direito público ou privado, responsável pelas 
decisões referentes ao tratamento de dados pessoais. 
OPERADOR- pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome 
do controlador. 
AGENTE DE TRATAMENTO - São o controlador e o operador. 
ENCARREGADO - pessoa indicada pelo controlador e operador para atuar como canal de 
comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de 
Proteção de Dados. É o responsável pelo recebimento de reclamações e comunicações dos 
titulares, devendo prestar esclarecimentos e adotar boas práticas. 
ANONIMIZAÇÃO - utilização de meios técnicos e disponíveis no momento do tratamento, 
por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um 
indivíduo. 
ELIMINAÇÃO - exclusão de dado ou de conjunto de dados armazenados em banco de dados, 
independentemente do procedimento empregado. 
TRATAMENTO - É toda a operação realizada com o dado pessoal. Por exemplo: coleta, 
produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição 
etc. 
RELATORIO DE IMPACTO À PROTEÇÃO DE DADOS - É uma documentação do controlador 
que contém a descrição dos processos de tratamento de dados pessoais, descrevendo 
medidas contra riscos às liberdades civis e aos direitos fundamentais, bem como 
procedimentos e mecanismos de mitigação de risco. 
 
Âmbito de aplicação da LGPD 
A LGPD aplica-se a todas as operações de tratamento realizadas no Brasil, com o 
objetivo de ofertar bens, serviços ou tratar dados de indivíduos localizados no país ou 
ainda, que tenham sido coletados no território nacional. 
 
 
PRINCÍPIOS 
 
Os princípios estabelecidos na LGPD impõem diretrizes e limitações, orientando como os 
dados pessoais deverão ser tratados. São eles: 
 
 
FINALIDADE: Orienta que o tratamento de dados pessoais deve ser realizado para propósitos 
legítimos, específicos, e que serão informados ao titular, observadas as finalidades 
originárias; 
 
ADEQUAÇÃO: dispõe que o tratamento de dados pessoais deve ser compatível com as 
finalidades informadas ao titular; 
 
 
NECESSIDADE: O tratamento de dados pessoais deve abranger apenas dados pertinentes, 
proporcionais e não excessivos em relação às finalidades do tratamento de dados; 
 
LIVRE ACESSO: princípio que significa a necessidade de ser garantido aos titulares a consulta 
facilitada e gratuita sobre a forma e a duração do tratamento de seus dados, bem como 
sobre a integralidade dos dados; 
QUALIDADE DOS DADOS: tal princípio busca garantir aos titulares que seus dados sejam 
exatos, atualizados, de acordo com a necessidade e para o cumprimento da finalidade de 
seu tratamento; 
TRANSPARÊNCIA: Princípio que busca garantir aos titulares o direito de acesso, garantia de 
que serão facilmente acessíveis, observados os segredos comercial e industrial; 
SEGURANÇA: Segundo tal princípio, devem ser utilizadas medidas técnicas e administrativas 
para proteger os dados pessoais de acessos não autorizados e de situações acidentais; 
 
PREVENÇÃO: Tal princípio significa que devem ser adotadas medidas para prevenir a 
ocorrência de danos em virtude do tratamento de dados pessoais. 
 
NÃO DISCRIMINAÇÃO: Significa a impossibilidade de realização do tratamento para fins 
discriminatórios; 
 
RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: Esse princípio dispõe da necessidade do 
agente demonstrar que adotou medidas eficazes e capazes de comprovar a observância e o 
cumprimento das normas de proteção de dados pessoais e, inclusive, explicitar a eficácia 
dessas medidas. 
 
 
 
 
 
 
 
PARA A CORRETA APLICAÇÃO DA LGPF é preciso considerar o seguinte: não é 
qualquer dado que será objeto de regulação pela lei, mas apenas os dados 
definidos e denominados DADOS PESSOAIS, que é toda informação relacionada 
a pessoa natural identificada ou identificável. (Art. 5º, I). 
Adicionalmente, será necessário proteger o que a LGPD chama de DADOS QUALIFICADOS, 
denominados de Dados Pessoais Sensíveis, como os de origem racial, étnica, convicção 
religiosa, filiação a sindicato ou a organização religiosa, posição filosófica ou política, dado 
referente à vida sexual, dado genético ou biométrico etc. (Art. 5º, II). 
OBJETO DA LGPD 
TODA INFORMAÇÃO RELACIONADA A PESSOA NATURAL IDENTIFICADA OU IDENTIFICÁVEL 
 
NÃO SERÁ APLICÁVEL A LGPD caso os dados sejam anônimos, isto é, caso a pessoa não seja 
identificada ou identificável, e se os dados não forem relacionados a pessoa natural 
(Art. 5º, III). 
 
 
POR ONDE COMEÇAR? 
 
A LGPD traz um conceito bastante amplo de tratamento de dados, entendendo como toda 
operação realizada com dados pessoais, como as que se referem a coleta, produção, 
recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, 
processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da 
informação, modificação, comunicação, transferência, difusão ou extração (art. 5 º, inciso X, 
LGPD). 
 
Sabendo que a LGPD se aplica a qualquer atividade que envolva utilização de dados pessoais, 
inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de 
liberdade e de privacidade, o primeiro passo é começarmos por desenvolver uma atuação 
integrada e coordenada com toda a equipe, para que possamos proteger dados pessoais e 
informações privadas como um todo. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Criar mecanismos 
para o titular solicitar 
a correção dos seus 
dados pessoais 
Criar meios para 
o titular 
ter acesso aos seus 
dados pessoais 
 
Elaborar formas de 
Portabilidade 
de dados 
 
Dispor de uma forma 
de Anonimização,Eliminação e 
Bloqueio de dados 
 
 
Criar procedimento 
que permita o titular 
solicitar a 
eliminação 
de dados 
Permitir que o 
titular dos dados 
possa pedir a 
Revogação do 
consentimento 
dado 
 
 
 
 
Um atuação que proteja a privacidade e os dados pessoais é extremamente complexa e demanda esforços 
conjuntos das diversas partes interessadas. Por conta dessa alta complexidade é que o caráter 
multidisciplinar da equipe será considerado um aliado. 
 
 
 AS EQUIPES PRECISARÃO: 
ARQUITETURA E 
URBANISMO 
OPERAÇÕES 
OPERAÇÕES 
DESENVOLVIMENTO 
 INSTITUCIONAL 
ARTICULAÇÕES 
CORPORATIVAS 
 
A lei geral de proteção de dados pessoais (LGPD) tutela aspectos que não estão restritos a um conhecimento técnico 
específico, restando claro que para implementá-la será necessário um esforço conjunto de TODA A EQUIPE, 
diferentes profissionais que se complementarão. 
A construção de uma cultura de privacidade é essencial para a implementação da LGPD, e o bom 
desenvolvimento dessa implementação exige a conscientização da equipe. Para isso, importante difundir alguns 
conceitos da lei aos colaboradores, já que a coleta de dados está presente desde um simples cadastro na entrada 
até a celebração de um Termo de Concessão de uso, por exemplo. 
 
COMUNICAÇÃO 
E 
IMPRENSA 
 
ADMINISTRATIVA 
E 
FINANCEIRA 
 
JURÍDICO 
 
 EQUIPE 
 
 
O QUE É NECESSÁRIO PARA REALIZAR A ADEQUAÇÃO? 
 Orientar-se pelos princípios dispostos na LGPD; 
 Manter registros das operações de tratamento de dados que realizar, art. 37, caput, 
LGPD; 
 Formular regras de boas práticas e governança sobre proteção de dados, art. 50, LGPD; 
 Nomear um encarregado para tratamento dos dados pessoais, art. 41 c/c art. 5º, VIII, 
art. 23, III da LGPD; 
 Elaborar relatório referente às operações de tratamento, art. 38, LGPD; 
 Elaborar formulários e métodos para conceder ao titular o direito de acesso, retificação, 
cancelamento e portabilidade dos dados, artigo 8 c/c Art. 5º, XII da LGPD; 
 Criar e manter procedimentos para coleta e uso de dados pessoais sensíveis (incluindo 
dados biométricos), artigo 11 c/c art. 5º, II da LGPD; 
 Ter uma política de privacidade e termos de uso para o tratamento de dados pessoais, 
artigos 6, 14, 15, 50 da LGPD; 
 Elaborar e revisar contratos, cláusulas, códigos, normas e documentos que coletam ou 
tratam dados pessoais; 
 Elaborar políticas de guarda de documentos internos, conservando um inventário de 
dados pessoais, artigo 37 da LGPD; 
 Treinar a equipe sobre boas práticas e medidas de proteção de dados; artigo 41, III c/c 
art. 50 da LGPD; 
 Criar materiais educativos para os colaboradores, com foco em assunto de privacidade, 
proteção de dados e segurança da informação; 
 Desenvolver medidas de prevenção relativas a incidentes de segurança, incorporando o 
risco de privacidade de dados em avaliações de risco de segurança, art. 50 da LGPD; 
 Criação de processos internos para responde adequadamente as solicitações de titulares; 
 Desenvolver medidas para solucionar incidentes de vazamento de dados; 
 Atribuir à Assessoria Jurídica a interação com autoridades reguladoras e fiscalizadoras, na 
defesa de imposição de sanções por descumprimento da LGPD; 
 
 
 
 
PRIMEIROS PASSOS PARA A EQUIPE 
Para iniciar o processo de implementação, cada equipe precisará: 
 
 
 
Esse primeiro passo pode iniciar-se com a elaboração de materiais educativos para funcionários, 
prestadores de serviço e demais colaboradores, com foco em assuntos de privacidade, 
proteção de dados e segurança da informação. 
 
 
 
A LGPD afirma que tratamento de dados pessoais é toda operação realizada com dados 
pessoais, como as que se referem à coleta, utilização, acesso, armazenamento etc. Assim, 
cada equipe deverá Identificar os dados (pessoal, sensível, público, anonimizado) que possui, 
e os meios (físico ou digital), o que nos permitirá mensurar a exposição da empresa à LGPD. 
 
Nessa etapa cada equipe realizará uma espécie de raio-x, identificando quais dados pessoais 
são coletados, onde e por quanto tempo esses dados ficam armazenados, com quem são 
compartilhados etc. É a fase de elaboração de um inventário completo dos dados, seja em 
meio digital ou físico. 
Essa primeira atividade é um diagnóstico para implementação da LGPD, e deve ser 
desempenhada com muita atenção, porque seu resultado será determinante para os 
próximos passos e direcionará todo o processo de implementação. 
 
 
O Relatório deverá conter 
1. Existência de documentos internos e externos; 
2. Forma atual de gerenciamento dos pedidos pelos titulares e órgãos; 
3. Método de guarda de documentos (contratos, termos, políticas) para uso interno e 
externo; 
4. Processo de acesso aos dados pelo titular (formulários, requerimentos etc.); 
1 II. Mapear a entrada de dados pessoais 
1 
III. Elaborar um Relatório de dados 
1 I. Realizar treinamentos da equipe sobre boas práticas e medidas de proteção de dados 
 
5. Guarda e controle dos consentimentos e solicitações pelos titulares dos dados; 
6. Existência ou inexistência de banco de dados para controlar pedidos pelo titular; 
7. Medidas de segurança e proteção de dados; 
8. Métodos de prevenção contra situações acidentais ou ilícitas; 
9. Existência de procedimentos ou ações educativas no tratamento de dados; 
10. Adoção de providências na conservação dos dados; 
11. Capacitação de membros no tratamento de dados 
 
 
 
Cada equipe deverá identificar o método de coleta de dados utilizado em sua atividade 
diária, elaborando um relatório que explicite como os dados pessoais são utilizados em seus 
processos, qual a finalidade da coleta, bem como propor o que acha necessário ser 
diferente. 
Existe uma categoria especial de dados pessoais, que é a denominada dados sensíveis. A 
LGPD afirma que as informações relacionadas à origem racial ou étnica, convicção religiosa, 
opinião política, religiosa ou filosófica, dado referente à vida sexual, todos são dados que 
podem gerar riscos significativos para os direitos e liberdades fundamentais e, por isso, são 
submetidos a um tratamento mais rigoroso. 
Assim, é importante estar atento ao método utilizado nas atividades diárias para 
tratamento desses dados, uma vez que a LGPD impede que o tratamento seja insignificante 
e, por essa razão, exige tratamento especial. Por exemplo, um processo seletivo para um 
novo membro também pode ser um processo considerado para diminuir riscos de utilização 
indevida de dados pessoais. 
 
 
O relatório pode ser elaborado pela gerência ou não, desde que seja por alguém capaz de 
descrever, em detalhes, os dados pessoais tratados, as finalidades, e outras informações de 
acordo com a respectiva atividade desempenhada pela área mapeada. Assim, o relatório 
precisará conter: 
 O tipo de dado pessoal (sensível ou não); 
 Qual o perfil do titular (funcionários, cliente etc); 
 A finalidade da retenção dos dados; 
 O sistema de armazenamento dos dados; 
 Com quem os dados são compartilhados e com qual finalidade; 
1 IV. Identificar o método de coleta de dados em suas atividades diárias 
1 V. Detalhamento 
 
 Existência ou inexistência de transferência internacional dos dados e sua finalidade; 
 Os direitos que são disponibilizados aos titulares; 
 Etc; 
 
As informações exigidas se mostram relevantes para a identificação do atendimento ao 
princípio da adequação, finalidade e necessidade, nos moldes do previsto no art. 6º, I, II e 
III da LGPD. 
 
 
 
 
É preciso um mecanismo em que o titular realize uma manifestação livre, informada e 
inequívoca pela qual concorda com o tratamento de seus dados pessoais para uma 
finalidade determinada. 
 
 
 
Necessário a elaboração e/ou revisão de contratos e documentos que envolvam a 
contratação de prestadores de serviços (pessoas) e que coletam ou tratam desses dados 
pessoais em benefícioda empresa. 
 
 
 
 
 
 
 
R
e
v
i
s
ã
o
 
d
e
 
p
r
o
c
e
d
i
m
e
n
t
o
s
 
i
n
t
e
r
VI. Revisão de procedimentos internos, políticas e fluxos de tratamento de dados 
pessoais para cumprimento da LGPD. 
I. 
R
e
v
i
s
ã
o
 
d
e
 
p
r
o
c
e
d
i
m
e
n
t
o
s
 
i
n
VII. Criar um mecanismo de consentimento 
II. 
R
e
v
i
s
ã
o
 
d
e
 
p
r
o
c
e
d
i
m
e
n
R
e
v
i
s
ã
o
 
d
e
 
p
r
o
c
e
d
i
R
e
v
i
s
ã
o
 
d
e
 
p
r
VIII. Elaboração de política de segurança para documentos corporativos 
III. 
IX. Controle dos dados dos prestadores de serviços 
IV. 
X. Assessoria jurídica em incidentes de vazamento de dados 
 
V. 
 
Para adequação do site à LGPD 
 
O site precisa dispor de um espaço para CONSENTIMENTO, permitindo a autorização 
expressa pelo titular ao controlador para que ele possa tratar os dados da forma desejada. 
 
Para esse consentimento ser válido, o espaço precisa permitir que o titular saiba que 
fornecer os dados é uma escolha livre, ele precisa ser informado da finalidade determinada, 
e o dado precisa ser fornecido por escrito ou outro meio que demonstre a manifestação da 
vontade do titular. Tudo isso precisa ser específico, em cláusula destacada, sem vício de 
consentimento e referir-se aos dados. Ressalta-se que requerimento genérico implicará em 
autorizações genéricas, que são consideradas nulas, com base no artigo 7º, inciso I, da LGPD; 
 
O site precisa ter um mecanismo eficaz para poder ser usado como forma de provar o 
consentimento obtido, uma vez que o ônus da prova é do controlador, conforme teor do 
disposto no §2º do art. 8º da LGPD; 
 
O site precisa ter um canal de atendimento e de comunicação para que o titular entre em 
contato de maneira fácil e simplificada para tirar dúvidas sobre o tratamento de dados 
pessoais e possa revogar o consentimento a qualquer tempo, art. 7º da LGPD; 
 
 O site precisa ter espaço para requisições e atendimento às requisições promovidas pelo 
Titular dos dados. O §3º do artigo 18 estabelece que o exercício dos direitos pelo titular deve 
se dar mediante requerimento expresso, cabendo ao controlador, caso não possa atender 
imediatamente (§4º), informar o seguinte: (i) Que não é o responsável, indicando, se 
possível, o responsável, ou (ii) Indicar as razões de fato ou de direito que impedem a adoção 
imediata das providencia. 
 
9 
 
 
 O site precisa informar a política de privacidade adotada, precisando se atentar à previsão 
do artigo 9º da LGPD. Isso porque são as políticas de privacidade que costumeiramente dão 
sustentação ao direito do titular acessar as informações sobre o tratamento de seus dados, 
devendo ser disponibilizadas de forma clara, e constarem as seguintes características: 
 
o Finalidade específica do tratamento; 
o Forma e duração do tratamento, observados os segredos; 
o Identificação do controlador; 
o Informações de contato do controlador; 
o Informações acerca do uso compartilhado de dados pelo controlador e a finalidade; 
o Responsabilidades dos agentes que realizarão o tratamento; e 
o Direitos do titular. 
 
 
 O site precisa ter um espaço de solicitação, em conformidade com o art. 18 da LGPD. O 
titular poderá solicitar: 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 Confirmação da existência de tratamento; 
 Acesso aos dados; 
 Correção de dados incompletos, inexatos ou desatualizados; 
 Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou 
tratados em desconformidade com o disposto nesta Lei; 
 Portabilidade dos dados; 
 Eliminação dos dados pessoais; 
 Informação das entidades públicas e privadas com os quais o controlador realizou 
uso compartilhado de dados; 
 Informação sobre a possibilidade de não fornecer consentimento e sobre as 
consequências da negativa; e 
 Possibilidade de revogação do consentimento, nos termos do §5º, art. 8º da LGPD. 
 
BASE LEGAL 
 
Como fundamento para a utilização de dados pessoais, o art. 1º da LGPD dispõe que o 
tratamento deverá observar: 
 O respeito à privacidade; 
 A autodeterminação informativa; 
 A liberdade de expressão, de informação, de comunicação e de opinião; 
 A inviolabilidade da intimidade, da honra e da imagem; 
 O desenvolvimento econômico e tecnológico e a inovação; 
 A livre iniciativa, a livre concorrência e a defesa do consumidor; e 
 
O artigo 3º da LGPD dispõe que ela se aplica a qualquer operação de tratamento de dados 
realizada no território nacional, desde que atendidos os seguintes requisitos: (...) a atividade 
de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços (...) 
 
Assim, se um contratado, um candidato, um titular preenche um cadastro, desnecessário o 
consentimento expresso, haja vista tratar-se de um procedimento preliminar na elaboração 
de um contrato do qual o próprio tem ciência. Todavia, NÃO PODERÁ o controlador utilizar 
os referidos dados para outras finalidades, por exemplo, para ações de promoção comercial, 
enviar notícias, divulgar eventos etc. Nesse caso, o adequado é pedir o consentimento em 
apartado. 
 
O artigo 16 da LGPD traz quatro hipóteses em que os dados poderão ser conservados: (i) 
cumprimento de obrigação legal ou regulatória; (ii) estudo por órgão de pesquisa; (iii) 
transferência a terceiro, desde que respeitados os requisitos de tratamento de dados 
dispostos nesta Lei ou (iv) uso exclusivo do controlador, vedado transferir ao terceiro, e 
desde que anonimizados os dados.