Baixe o app para aproveitar ainda mais
Prévia do material em texto
LEI GERAL DE PROTEÇÃO DE DADOS M A R I A N A D E T O L E D O P O R G U I A C O M P L E T O SOBRE A AUTORA MARIANA DE TOLEDO Olá, eu sou a Mariana de Toledo. Sou advogada por formação e empreendedora por propósito. Sou co- fundadora e diretora de conteúdo do Empreendedorismo Legal, e tenho como propósito de carreira levar educação jurídica para micro e pequenos empreendedores. Acredito que empreender transforma e que segurança jurídica é necessária nessa jornada. Acredito também em uma nova forma de exercer o direito! Uma forma mais leve, criativa, e fora dos padrões. Escolhi ser uma profissional multidisciplinar e utilizar o direito como meio e não como fim. Por isso utilizo minhas principais especialidades em privacidade e proteção de dados, gestão jurídica e direito empresarial, para fomentar o desenvolvimento de uma consciência empreendedora unindo sempre carreira à propósito. 1. Introdução: Eu acredito que este e-book será útil para muita gente. Proteção de dados pessoais e a Lei Geral de Proteção de Dados (“LGPD”) são assuntos que afetam todos nós e você, aqui, vai descobrir como. Por um lado, ele serve para quem é empreendedor e está preocupado com a aplicabilidade da LGPD em seu negócio. Por outro, ele serve para os advogados e demais profissionais que querem atuar na área de proteção de dados como consultores ou Data Protection Officer (“DPO"), ou almejam crescer dentro da empresa em que trabalham. Além disso, as estratégias que vou apresentar servem para uma infinidade de tipos de empreendimentos, tais como saúde, marketing, customer success, educação, advocacia, finanças, recursos humanos, contabilidade, e-commerce, varejo, e muitos outros. Vou ficar muito feliz se você terminar este e-book conseguindo enxergar as múltiplas oportunidades que a LGPD apresenta para o mercado, e sabendo por onde começar a criar um programa de conformidade. 2. Porque precisamos falar sobre proteção de dados pessoais? Você deve estar se perguntando, porque uma Lei Geral sobre Proteção de Dados? E porque minha empresa deve se preocupar com ela? Para que você realmente absorva a importância desse tema, eu preciso que você se esqueça de tudo que você ouviu falar sobre essa lei e foque seu olhar, agora, no que eu vou te falar aqui. Você consegue se lembrar de todos os locais que você distribuiu dados no mês passado? Você consegue pensar em um só momento em que seus dados não estão sendo coletados? Já te pediram CPF em farmácias, lojas ou restaurantes? Você se preocupou em perguntar o porquê da exigência daquele dado e qual era a finalidade da coleta? E se eu te contar que algumas farmácias utilizam esses dados para para desenvolver um mapeamento das suas doenças e vender para planos de saúde para que esses possam aumentar o valor do seu plano? E se eu te contar que algumas empresas verificam qual é o modelo do seu computador para a partir de tal informação exercer precificação dinâmica, colocando preços maiores para pessoas que têm computadores de marcas mais caras. E se eu te contar que foi criada uma indústria de venda de mailing de clientes, e que seus dados podem estar nessas listas. E se eu e contar que o wi-fi público grátis não tem nada de grátis, que você troca internet por dados pessoais utilizados para finalidades bem diversas à de te entregar acesso à internet. Com certeza você já foi perseguido por uma publicidade? Onde você entra está lá, aquela publicidade te seduzindo e te perseguindo até que você de fato resolve ceder e comprar determinado produto. Você gosta disso? Dados pessoais são rastros da nossa personalidade e, além de nos identificar, podem manipular nossas escolhas, podem afetar, inclusive, a democracia. Não sei se você conhece, mas não posso deixar de falar do caso do Facebook e Cambridge Analytica. Esse é um dos principais casos, se não for o principal, que demonstra como a coleta de nossos dados pode levar à manipulação de nossas escolhas, inclusive da escolha do nosso voto. Ao mesmo tempo, dados pessoais são ativos de extrema importância para as empresas. Tais dados são necessários porque correspondem ao quanto a empresa sabe sobre aquele consumidor, e quanto mais ela sabe, maior ela fica, mais ela vende, e mais lucrativa ela se torna. É através da coleta de dados que a empresa proporciona ao seu cliente uma melhor experiência, e hoje as empresas não vendem mais produtos ou serviços, elas vendem experiência. E o cliente quer isso, ele gosta disso, porque ter serviços personalizados nos poupam o nosso principal ativo, TEMPO. Só que ao mesmo tempo que existem empresas sérias que valorizam os dados, existem empresas que querem fazer com eles o que bem entenderem; e é aí que mora o perigo. Além disso estamos vivendo a “era dos vazamentos de dados”. Toda semana nos deparamos com a notícia “Empresa tem incidente de vazamento de dados”. Se o cenário legislativo permanecesse da forma como estava, sem uma legislação específica visando realmente a proteção de dados, e se de fato não parássemos para discutir o tema, as pessoas iriam buscar meios de não mais distribuir seus dados, e o mercado perderia sua principal matéria prima. Nesse sentido, falar de proteção de dados pessoais é falar de inovação, de empreendedorismo, e de desenvolvimento econômico. E é nessa perspectiva que entra a LGPD, estabelecendo as regras do jogo, para que os controladores possam continuar usando os dados como sua principal matéria prima, mas priorizando a proteção dos direitos dos titulares, gerando confiança, mais eficiência, e transparência no tratamento de dados. 3. Conhecendo a LGPD. A Lei Geral de Proteção de Dados, Lei nº13.709/2018, legislação brasileira que regula as atividades de tratamento de dados pessoais, foi sancionada em agosto de 2018 e entra em vigor (ou seja passa a ser obrigatória) a partir de 14 de agosto de 2020. Por tratamento entende-se todas as ações que são feitas com os dados pessoais desde a sua coleta até a sua exclusão, tais como: coleta, processamento, arquivamento, eliminação, avaliação, acesso, transferência, etc. A LGPD possui uma função dupla: 1.Fomentar o desenvolvimento econômico e tecnológico; 2. Proteger direitos e liberdades fundamentais. A Lei se aplica a qualquer operação de tratamento de dados pessoais realizada tanto por pessoa natural quanto por pessoa jurídica (independente do porte da empresa); seja realizada em território brasileiro, ou com dados coletados no território nacional, ou ainda que tenha como titular pessoa localizada em território nacional, tanto no ambiente online quanto no offline . 1 Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de 1 direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: I - a operação de tratamento seja realizada no território nacional; II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou (Redação dada pela Lei nº 13.853, de 2019) III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional. A lei não se aplica ao tratamento de dados pessoais : 2 1 - realizado por pessoa natural para fins exclusivamente particulares e não econômicos; 2 - realizado para fins exclusivamente jornalístico e artísticos ou acadêmicos; 3 - realizado para fins exclusivos de segurança pública; defesa nacional; segurança do Estado; atividades de investigação e repressão de infrações penais; 4- provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dadoscom outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na Lei. Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:2 I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos; II - realizado para fins exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei; III - realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais; ou IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei. 4. O que são dados pessoais? Dados pessoais são todas as informações que identificam ou possam identificar uma pessoa natural . 3 Entenda por dados que identificam uma pessoa, aqueles convencionais, tais como: nome, cpf, identidade, titulo de eleitor, e-mail, etc. Quando falamos de dados que possam identificar você deve pensar em um mosaico, em que um dado sozinho não é capaz de identificar uma pessoa, mas se for agrupado com algum outro dado pode identificar a pessoa. Por exemplo: Aposto que você logo pensou: Faustão. Percebe que mesmo eu não te dando o nome dele, nem identidade, nem CPF, com apenas três dados você consegue identificar de Art. 5º Para os fins desta Lei, considera-se:3 I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável; quem eu estou falando? Então esses dados são considerados identificáveis e logo são considerados dados pessoais. O conceito de dados pessoais também compreende dados que possam sujeitar uma pessoa individualizada a determinada atitude, ação, comportamento, sem que seja necessário saber quem é aquela pessoa, mas de algum modo interferir nas suas escolhas. Dentro do gênero “dados pessoais”, temos a classe “dados pessoais sensíveis”, que são dados que devido a sua sensibilidade natural, podem levar à atitudes discriminatórias contra seus titulares, e por tal motivo precisam de uma atenção especial. São considerados dados sensíveis : raça, etnia, opinião política, filiação a sindicatos, 4 orientação sexual, e os dados referentes à saúde ou à vida sexual, dados biométricos ou genéticos. Dados de criança e adolescente: tais dados também requerem uma atenção especial, sendo necessário a coleta de consentimento específico do responsável. Dados anonimizados: são dados que não permitem a identificação do titular através da utilização de meio técnicos razoáveis. Tais dados não são considerados dados pessoais. II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a 4 sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; 5. Conhecendo os Atores da Lei Titular: Pessoa natural a quem se referem os dados objeto de tratamento. Controlador: Pessoa física ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais. Operador: pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador. Autoridade Nacional de Proteção de Dados (“ANPD”): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD. Data Protection Officer ("DPO"), ou Encarregado de Dados: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados, ou seja, ele será a interface da organização no tocante ao tema de privacidade e proteção de dados. A Lei não faz qualquer exigência sobre formação acadêmica, nem certificação para ocupação desse cargo, sendo uma grande oportunidade de carreira para aqueles que desejam atua na área. Destaco que é muito importante que aquele que deseje exercer esse cargo conheça muito sobre a empresa, sobre a LGPD e a legislação sobre o tema ao redor do mundo. 6. Um novo Mindset - introduzindo novos princípios à cultura da organização Um dos pontos mais relevantes da lei são seus princípios. Eles funcionam como base para todo o desenvolvimento normativo e devem ser utilizados como parâmetro em qualquer interpretação da norma. No direito, os princípios dão a cara da legislação; eles que vão mostrar qual é a intenção da norma. Os princípios são a base fundante do ordenamento jurídico e qualquer leitura da lei deve se dar tendo por base os princípios por ela estabelecidos. O acolhimento desses princípios como valores da empresa fazem com que de fato surja a cultura de proteção de dados e com isso o olhar saia da lei e passe para o usuário, criando assim um novo estágio de sucesso e experiência do cliente. Os princípios são : 5 FINALIDADE NECESSIDADE TRANSPARÊNCIA QUALIDADE DOS DADOS NÃO DISCRIMINAÇÃO SEGURANÇA ADEQUAÇÃO LIVRE ACESSO PREVENÇÃO PRESTAÇÃO DE CONTAS Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: 5 I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. Finalidade: É essencial que o tratamento de dados pessoais tenha uma finalidade específica que deve ser informada para o titular;, e o tratamento daquele dado deve se restringir a tal finalidade. Necessidade: A coleta daquele dado deve ser necessária para a finalidade ao qual ele se destina. É uma questão de minimização, sempre coletar o mínimo de dados necessários, ou seja, coletar apenas aqueles efetivamente necessários. Transparência: Assegurar aos titulares informações claras, precisas e de fácil acesso a seus dados. Trata-se de criar uma relação de confiança entre empresa e titular, em que este sabe exatamente o que a organizaçãofará com seus dados. Segurança: É a utilização de medidas técnicas para garantir a segurança dos dados pessoais evitando situações de incidentes de segurança. Prevenção: A necessidade de adoção de medidas para prevenir a ocorrência de danos aos titulares dos dados pessoais. Adequação: O tratamento dos dados pessoais tem que ser compatível com a finalidade para qual eles foram coletados. Livre Acesso: Permitir de forma simples e gratuita o acesso dos titulares aos dados coletados, bem como a todas as informações sobre o tratamento de tais dados. Qualidade dos dados: Garantir aos titulares a exatidão dos dados, mantendo esses sempre atualizados e verídicos. Não discriminação: Garantir que o tratamento dos dados pessoais não terá finalidade discriminatória, abusiva ou ilícita. Prestação de contas: Buscar todos os meios disponíveis para demonstrar a adoção de medidas para mitigação dos riscos e cumprimento das normas de privacidade e proteção de dados. 7. O que me legitima a tratar dados pessoais? A LGPD não tem como objetivo acabar com nenhum modelo de negócio. Muito pelo contrário. Ela visa desenvolver o empreendedorismo e a inovação através de uma autodeterminação informada do titular em relação ao que de fato é feito com seus dados. Nesse sentido, a lei estabelece 10 (dez) hipóteses que autorizam o tratamento dos dados pessoais. Ou seja, toda vez que houver o tratamento de dados pessoais, tal tratamento deve estar legitimado e pautado em uma dessas dez hipóteses denominadas BASES LEGAIS. Para cada finalidade de tratamento dos dados o controlador deverá indicar uma base legal como fundamento que legitima tal tratamento. Cumpre destacar que em regra uma base legal não se sobrepõe a outra. São as bases legais : 6 CONSENTIMENTO OBRIGAÇÃO LEGAL EXERCÍCIO REGULAR DO DIREITO EM PROCESSO EXECUÇÃO DE CONTRATO TUTELA DA SAÚDE PROTEÇÃO DA VIDA POLÍTICAS PÚBLICAS PROTEÇÃO AO CRÉDITO PESQUISA LEGÍTIMO INTERESSE Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I - mediante o 6 fornecimento de consentimento pelo titular; II - para o cumprimento de obrigação legal ou regulatória pelo controlador; III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. Consentimento: É a coleta de permissão do titular de forma informada, livre, inequívoca e específica, para a coleta de determinados dados pessoais. O conceito de consentimento trazido pela lei ultrapassa aquele modelo atualmente utilizado de “li e concordo”, de cashbox já marcados, e “coletamos dados para melhorar sua experiência”. As empresas terão que fazer mais, ser mais eficientes e transparentes ao buscar o consentimento, utilizar da criatividade para gerar eficiência e estar em conformidade com a legislação. Obrigação legal : É quando o tratamento de dados pessoais é necessário para o cumprimento de uma obrigação legal ou regulatória pelo controlador, ou seja, existe uma lei ou regulação que obriga o controlador a tratar aquele dado pessoal. Processo Judicial ou exercício regular do direito: A lei autoriza o tratamento de dados pessoais para atuação em processos judiciais, administrativos ou arbitrais. Execução de contrato: É permitido o tratamento de dados pessoais para garantir a eficácia de um contrato, ou seja para cumprir uma obrigação oriunda de um contrato, do qual seja parte o titular, a pedido do titular dos dados. Ex: Aplicativo de entrega de alimentos, para ele entregar o seu pedido, precisa compartilhar alguns dados seus com o restaurante, para que esse possa preparar o pedido, bem como tem que compartilhar com o entregador, para que este de fato possa te entregar aquilo que você contratou. Pesquisa: Dados pessoais poderão ser tratados para realização de pesquisas, mas somente por órgãos de pesquisa. A lei determina, ainda, que nesses casos a anonimização deverá ser utilizada sempre que possível. Políticas Públicas: Base legal destinada à administração pública que legitima o tratamento de dados pessoais para execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. Proteção da vida: É legitimo o tratamento de dados pessoais quando identificado estado de perigo ou risco de vida do titular ou de terceiro, para que seja prestado socorro. Tutela da saúde: Legitima o tratamento de dados pessoais essenciais para prestação de serviços ligados à saúde em procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária. Proteção ao crédito: Permite o tratamento de dados visando a proteção do crédito, ou seja com o objetivo de diminuir o risco de inadimplência em casos de concessão de crédito por instituições financeiras. Vale destacar que essa base legal é exclusiva da legislação brasileira, devendo ser aplicada com cautela devido à falta de parâmetro jurídico internacional equivalente. Legitimo interesse: Poderá ocorrer o tratamento dos dados pessoais para atender interesses legítimos do controlador ou de terceiros. Por interesse legitimo entende-se apoio à promoção das atividades do controlador. Vale destacar que o legítimo interesse não pode ser considerado uma carta coringa para coleta de dados, ele deve ser usado somente para tratar os dados pessoais estritamente necessários para a finalidade pretendida, bem como tem que ser realizada a validação de sua utilização através do Legitimate Interests Assessment (LIA). O LIA possui 4 fases, sendo elas: 1. Teste de legitimidade do interesse: verificar se o interesse de fato é legitimo; constatar a existência de uma situação concreta, especificar o seu propósito com aquela coleta e certificar se ele é de fato legítimo. 2. Teste de necessidade: verificar se não há outra base legal que você possa se valer, bem como se aquele tipo de tratamento desejado é necessário para atingir a finalidade almejada. 3. Teste de balanceamento: verificar se existe uma legítima expectativa do titular do dado acerca da finalidade do seu tratamento; verificar se não há a possibilidade de um impacto negativo, bem como se aquele tratamento não viola de alguma forma direitos e liberdades fundamentais do titular que se sobreponham ao interesse legítimo ali tratado. 4. Salvaguardas: Devem ser estabelecidos mecanismos de oposição ao titular para que ele possa se opor àquele tratamento. Devem ser estabelecidos, também, mecanismos para mitigação dos riscos, bem como deve haver o máximo de transparênciapossível para o titular. Quando se trata de dados sensíveis as bases legais se restringem, podendo ser apenas : 7 Consentimento - obrigação legal - pesquisa - políticas púbicas - exercício regular do direito em processo - proteção da vida - tutela da saúde - garantia de prevenção à fraude e segurança do titular. Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: 7 I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; e) proteção da vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Além disso, para a categoria geral de dados pessoais, a LGPD estabeleceu o mesmo peso, logo nenhuma base legal tem sobreposição à outra, sendo necessário verificar qual a base legal mais adequada para aquela finalidade de tratamento. Já para os dados sensíveis, a Lei deu mais importância ao consentimento, sendo esta a base legal “mãe”, estabelecendo que a aplicação das demais deve se dar de forma subsidiária, fundamentando um tratamento em caráter excepcional, somente para os casos em que a coleta dos dados for indispensável à utilização daquela base legal. Como definir qual a base legal adequada? Você precisa verificar 3 (três) coisas: 1. Origem do dado 2. Categoria do dado (geral, sensível, de criança ou adolescente) 3. Finalidade para a qual o dado pessoal será usado. 8. Direitos dos titulares Os titulares de dados pessoais poderão, a qualquer tempo, solicitar do controlador, mediante requisição: 1. Explicação: confirmação da existência de tratamento dos seus dados pessoais; 2. Acesso: acesso aos dados pessoais, resguardados os segredos comerciais do controlador; 3. Retificação: correção de dados incompletos, inexatos ou desatualizados; 4. Cancelamento: engloba a situação em que a base legal utilizada para o tratamento foi o consentimento e que o titular deseja revogar tal consentimento, e a hipótese em que o titular solicita anonimização, bloqueio ou eliminação de dados; 5. Portabilidade: solicitação para que o controlador transfira os dados para um novo controlador; 6. Revisão de decisões automatizadas: Revisão de processos totalmente automatizados; 7. Oposição: mecanismo utilizado quando a base legal utilizada não foi o consentimento. Consiste no titular se opor ao tratamento daqueles dados. 9- Como adequar a minha empresa à LGPD? A resposta para essa pergunta com certeza não é mudar política de privacidade e termos de uso do site. Colocar uma organização em conformidade com a LGPD é criar uma cultura de proteção de dados através de um programa efetivo de Governança em Proteção de Dados. O programa de governança em proteção de dados terá como objetivo estabelecer a confiança entre organização e titular de dados, demonstrar comprometimento, transparência, e elevar o nível de satisfação do cliente proporcionando a esse, de fato, uma melhor experiência. Mas por onde começar? O ideal é estabelecer um projeto de conformidade em proteção de dados. Esse projeto deverá ter, no mínimo, seis fases, podendo haver adaptações pelo porte da organização e suas especificidades. Vale destacar que esse projeto não é uma receita de bolo, e que cada empresa terá um programa diferente, pois o programa deve ser pensado nas necessidades da empresa, seus desafios e propósitos. As fases do projeto consistem em: Mas antes de adentrar de fato nas fases do projeto é necessário verificar o porte da sua empresa, para detectar se será necessário criar um comitê interno de privacidade. Quando se trata de empresa pequena, com poucos funcionários, o meu entendimento é que a criação desse comitê é desnecessária, sendo importante apenas indicar quem será o DPO. Caso o porte da organização justifique a criação do comitê, indico que esse seja multidisciplinar, com representação de todas as áreas da empresa, para que o comitê possa ter uma visão global da organização e de seus processos ligados a dados pessoais. Aí sim, após definir o seu time, você adentrará nas etapas do projeto de conformidade. Fase 1 | Conscientização: O objetivo dessa fase é mostrar a importância da lei e sua aplicabilidade prática, tanto na vida dos colaboradores, como consumidores e titulares de dados, quanto na vida da empresa, sua rotina e seus processos. Realizar treinamentos e workshops, para todas as áreas da empresa e todos os funcionários, desde a diretoria até o chão de fábrica. Para disseminar uma cultura, TODOS, sem exceção devem entender a sua importância. E a minha dica é: conquiste pelo amor, mostre que a LGPD pode ser bem mais que uma obrigação legal, mas sim uma oportunidade para toda a empresa. Crie muito bem sua estratégia de comunicação, encontre a melhor forma de persuasão e de conexão com os colaboradores. Veja o que de fato desperta a atenção deles e em quais temas a curiosidade e as dúvidas mais apareceram, e lembre-se de sempre estimular a participação. Caso você esteja atuando em consultoria externa, nessa fase você também deverá gastar todo tempo que for necessário para conhecer a organização. Então, não se restrinja ao mínimo de ler um e-mail com apresentação institucional. Converse com os funcionários, acompanhe o dia-a-dia da empresa, entenda seu modelo de negócio, seus desafios, propósito, missão, visão e valores. Fase 2 | Mapeamento: O objetivo dessa fase é mapear os dados para que seja possível identificar as principais exposições e contingências da empresa. Nessa fase a empresa deverá descrever todo o seu fluxo de dados, respondendo perguntas como: De onde vem o dado, ou seja, qual é a sua fonte? Qual a categoria daquele dado? Qual a finalidade de tratamento daquele dado? Ele é compartilhado com alguém? Se sim, quem? Porque ? Qual o tempo de vida daquele dado, ou seja, qual o período de retenção? Qual a base legal para tratamento daquele dado? Qual a categoria do dado (comum, sensível, de criança ou adolescente)? Onde o dado fica armazenado? Quais colaboradores tem acesso àquele dado? Porque eles tem acesso? Dentre outras perguntas que a empresa pode estabelecer. Nessa fase é extremamente importante o contato e a entrevista com todos os funcionários, para que o mapa fique o mais real e fidedigno possível. Fase 3 | Gap Analysis: O objetivo dessa fase é identificar os principais pontos de desconformidade com a legislação, através do mapeamento de dados feito na fase anterior, e apontar as soluções para mitigar ou minimizar os riscos. Uma grande dica nessa fase: seja criativo no momento de indicar as soluções, pense em soluções que não inviabilizem o modelo de negócio, mas que possibilitemà empresa sair de uma situação de desconformidade para uma de legalidade. Nessa fase você pode identificar a necessidade de fazer um relatório de impacto à proteção de dados pessoais, que tem a finalidade de mensurar os riscos existentes no tratamento de dados pessoais, e indicar as providências tomadas pelo controlador, as salvaguardas e mecanismos para mitigação dos riscos. Esse relatório está previsto no art.38 da lei e pode ser solicitado pela ANPD. A princípio, 8 pela leitura literal do artigo, entende-se que este não é obrigatório. Contudo, a Autoridade Nacional de Proteção de Dados deverá editar regulamentos e procedimentos sobre a produção desse relatório. De acordo com a LGPD, deve constar no relatório, no mínimo: 1- descrição dos tipos de dados coletados; 2 - a metodologia utilizada para a coleta de dados; 3 - as medidas de segurança da informação adotada (ou das informações adotadas); 4- análise do controlador com relação às medidas, salvaguardas e mecanismos de mitigação de risco adotados. Fase 4 | Planejamento: O objetivo dessa fase é planejar a forma de execução das soluções propostas na fase anterior, criando um plano de ação e um cronograma de execução, priorizando as áreas que contém um maior risco. Nessa fase é importante fazer o relatório do projeto de Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados 8 pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. conformidade, detalhando as fases anteriores e os próximos passos para implementação do programa de governança em proteção de dados. Fase 5 | Implementação: O objetivo dessa fase é colocar em prática o plano de ação estabelecido na fase anterior, incluindo a elaboração de todos os documentos que se fizerem necessários. Trata-se de fase de extrema relevância pois é neste momento que formatado o código de conduta em proteção de dados, os aditivos contratuais, os novos modelos de cláusulas contratuais, nova política de privacidade, restrição de acesso de funcionários a determinados dados, cartilhas de boas práticas, revisão de processos automatizados, revisão na coleta de lead no setor de marketing, dentre outras várias medidas que deverão ser colocadas em prática. Fase 6 | Monitoramento: Essa fase tem o objetivo de manter um monitoramento constante do cumprimento das diretrizes estabelecidas no programa de governança em proteção de dados, fazer as atualizações que se fizerem necessárias, e garantir que a organização se mantenha em conformidade. Aqueles que não quiserem fazer só o mínimo podem se utilizar do projeto de conformidade como um meio de rever seu modelo de negócio, vislumbrar novas oportunidades de mercado, inovar, gerar valor para o seu cliente, além de poder criar uma campanha de marketing voltada para os diferenciais que a organização oferece por estar em conformidade. Um programa efetivo de governança em proteção de dados não garante que sua empresa não terá um incidente de segurança, pois é impossível garantir 100% que nada irá ocorrer. Contudo, se o programa for efetivo e a organização tiver tomado todas as providências, o gerenciamento de crise será muito mais eficaz, pois já estará estabelecido dentro do programa. Além disso, a existência do programa e a presença de uma cultura de proteção de dados é levada em consideração pela ANPD no momento da aplicação de uma eventual sanção. Desta forma, não é que o programa irá evitar a ocorrência de um incidente, mas o risco da organização passa a ser controlado, gerando maior eficiência para a empresa. 10 - O que fazer em caso de incidentes? Caso ocorra um incidente ligado a dados pessoais é necessário que o controlador tome medidas para minimizar os danos. Além disso, é importante que seja feito o Data Breach Notification, que consiste em informar tanto à Autoridade Nacional de Proteção de Dados, quanto aos titulares, o ocorrido, os possíveis danos e as providências que estão sendo tomadas para mitigar tais danos. Neste documento deverá ser informado : 9 1 - a descrição da natureza dos dados pessoais afetados; 2 - as informações sobre os titulares envolvidos; 3 - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; 4 - os riscos relacionados ao incidente; 5 - os motivos da demora, no caso de a comunicação não ter sido imediata; e 6 - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. Você pode notificar o titular através do meio mais fácil de contato, e deve ser o mais transparente possível, além de demonstrar a ele que todas as providências estão sendo tomadas. Isso gera confiança, mostra que você está de fato preocupado em solucionar o problema e não escondê-lo. Isso é cultura de proteção de dados. Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que 9 possa acarretar risco ou dano relevante aos titulares. § 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo: I - a descrição da natureza dos dados pessoais afetados; II - as informações sobre os titulares envolvidos; III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; IV - os riscos relacionados ao incidente; V - os motivos da demora, no caso de a comunicação não ter sido imediata; e VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. 11. Privacy By Design Entender e introduzir na organização o conceito de privacy by design é de extrema importância como mecanismo de minimização de riscos e prevenção da ocorrência de danos. Privacy By Design nada mais é que uma metodologia na qual proteção de dados pessoais é pensada desde a concepção do desenvolvimento dos produtos, serviços, sistemas, projetos, ou qualquer outra solução que envolva tratamento de dados pessoais . 10 O objetivo é prever situações que possam comprometer a privacidade e proteção de dados, com o objetivo de minimizar os riscos, e adotar uma abordagem focada na experiência do usuário e em sua segurança. É uma ação totalmente preventiva e que gera muita eficiência para a empresa pois evita a ocorrência de incidentes desde a concepção, gerando vantagem competitiva para a empresa perante o mercado e aumentando a relação de confiança com o titular. Nesse contexto, devem ser levadas em consideração a segurança da informação, com utilização de mecanismos de segurança tais como a criptografia, a minimização na coleta de dados, a utilização de anonimização sempre que possível, as políticas de descarte do dado (tempo de vida útil), os direitos e liberdades dos titulares, o momento da coleta, a transparência para com o usuário, e o foco no titular, na sua privacidade e proteção de seus dados. Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger 10 os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. § 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução. 12. Penalidades O descumprimentodas estipulações legais levará a aplicações das seguintes sanções: 1 - advertência, com indicação de prazo para adoção de medidas corretivas; 2 - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; 3 - multa diária, observado o limite total de R$50.000.000,00 (cinquenta milhões de reais); 4 - publicização da infração após devidamente apurada e confirmada a sua ocorrência; 5 - bloqueio dos dados pessoais a que se refere a infração até a sua regularização; 6 - eliminação dos dados pessoais a que se refere a infração; Para aplicação das sanções será levado em conta: 1 - a gravidade e a natureza das infrações e dos direitos pessoais afetados; 2 - a boa-fé do infrator; 3 - a vantagem auferida ou pretendida pelo infrator; 4 - a condição econômica do infrator; 5 - a reincidência; 6 - o grau do dano; 7 - a cooperação do infrator; 8 - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; 9 - a adoção de política de boas práticas e governança; 10- a pronta adoção de medidas corretivas; e 11- a proporcionalidade entre a gravidade da falta e a intensidade da sanção. 13. Conclusão Como diria aquele ditado: enquanto alguns choram outros vendem lenço. Tem muita gente reclamando da LGPD e a vendo como um problema. Contudo, conforme demonstrei aqui para vocês, ela pode ser muito mais que uma obrigação legal; ela pode se tornar uma vantagem competitiva para sua empresa. Se você conseguiu adquirir esse mindset, parabéns, você faz parte de um seleto time de pessoas que sabem aproveitar as oportunidades, e vender lenços enquanto alguns resolvem ficar só chorando e se lamentando. O mantra agora é: Menos dados, mais transparência; não faça só o mínimo faça a diferença. E vamos juntos propagar uma cultura de proteção de dados pessoais. Todos os direitos reservados à Empreendedorismo Legal CNPJ: 33.869.342/0001-00 Belo Horizonte - MG comercial@oempreendedorismolegal.com
Compartilhar