Baixe o app para aproveitar ainda mais
Prévia do material em texto
Consultoria e Advocacia IMPACTOS PARA AS EMPRESAS E A IMPORTÂNCIA DA ADEQUAÇÃOIMPACTOS PARA AS EMPRESAS E A IMPORTÂNCIA DA ADEQUAÇÃO Segundo o artigo 5º, X, tratamento é toda operação realizada com dados pessoais que envolva a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. o modo pelo qual é realizado; o resultado e os riscos que razoavelmente dele se esperam; as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado. Os agentes de tratamento de dados - controlador e operador - podem ser solidariamente responsabilizados pelo uso indevido e não autorizado dos dados, por incidente de segurança da informação, por atuar em desconformidade à lei, ou por dar causa a dano patrimonial ou moral, individual ou coletivo, ficando obrigados a repará-lo. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança esperada pelo titular, entre as quais (art. 44): Pessoas Jurídicas de Direito Privado que realizem operação de tratamento com dados pessoais. Logo, não é exclusiva às empresas que operam em meio digital (ex. e- commerce). Profissionais Autônomos e Liberais que realizem operação de tratamento de dados pessoais com fins econômicos. Pessoas Jurídicas de Direito Público A lei se aplica ao tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural (art. 1º). A P L I C A Ç Ã O , O B J E T I V O S E T R A T A M E N T O D E D A D O S P . 0 2 A P L I C A Ç Ã O E O B J E T I V O S D A L G P D :A P L I C A Ç Ã O E O B J E T I V O S D A L G P D : Além do tratamento em meios digitais, a lei também se aplica ao tratamento de dados em meio físico, por exemplo, dados armazenados em arquivo físico, coletados de forma impressa, por documento escrito, etc. O Q U E É T R A T A M E N T O D E D A D O S P E S S O A I S ?O Q U E É T R A T A M E N T O D E D A D O S P E S S O A I S ? Q U E M D E V E O B S E R V A R A L E I ?Q U E M D E V E O B S E R V A R A L E I ? R E S P O N S A B I L I D A D E S D O S A G E N T E SR E S P O N S A B I L I D A D E S D O S A G E N T E S D E T R A T A M E N T O D E D A D O S ( A R T . 4 2D E T R A T A M E N T O D E D A D O S ( A R T . 4 2 E S E G U I N T E S )E S E G U I N T E S ) MP Com a LGPD o tratamento de dados pessoais somente poderá serCom a LGPD o tratamento de dados pessoais somente poderá ser realizado quando tiver fundamento em alguma das bases legais abaixo:realizado quando tiver fundamento em alguma das bases legais abaixo: Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural art. 5º, II). Dado pessoal: informação relacionada a pessoa natural identificada ou identificável (art. 5º, I); D A D O P E S S O A L E B A S E S L E G A I S P . 0 3 Consentimento fornecido pelo titular;Consentimento fornecido pelo titular; Cumprimento de obrigação legal ouCumprimento de obrigação legal ou regulatória pelo controlador;regulatória pelo controlador; Pela Administração Pública, para o tratamentoPela Administração Pública, para o tratamento e uso compartilhado de dados necessários àe uso compartilhado de dados necessários à execução de políticas públicas;execução de políticas públicas; Realização de estudos por órgão de pesquisa;Realização de estudos por órgão de pesquisa; Execução de contrato ou de procedimentosExecução de contrato ou de procedimentos preliminares relacionados a contrato do qualpreliminares relacionados a contrato do qual seja parte o titular;seja parte o titular; Exercício regular de direitos em processoExercício regular de direitos em processo judicial, administrativo ou arbitral;judicial, administrativo ou arbitral; Proteção da vida ou da incolumidade física doProteção da vida ou da incolumidade física do titular ou de terceiro;titular ou de terceiro; Tutela da saúde (em procedimento realizado porTutela da saúde (em procedimento realizado por profissionais de saúde, serviços de saúde ouprofissionais de saúde, serviços de saúde ou autoridade sanitária);autoridade sanitária); Legítimo interesse do controlador ou deLegítimo interesse do controlador ou de terceiro (exceto quando prevalecerem direitosterceiro (exceto quando prevalecerem direitos e liberdades fundamentais do titular);e liberdades fundamentais do titular); Para a proteção do crédito;Para a proteção do crédito; Em se tratando de dados pessoais sensíveis, as bases legais do legítimo interesse, da proteção ao crédito e da execução contratual não poderão ser utilizadas para fundamentar o tratamento. MP A operação de tratamento deverá ter fundamento em alguma das outras bases (art. 11). E X E R C Í C I O D O D I R E I T OE X E R C Í C I O D O D I R E I T O P E L O T I T U L A RP E L O T I T U L A R MP REGISTRO DAS ATIVIDADES DE TRATAMENTO E DATA MAPPING O controlador e o operador devem O controlador e o operador devem manter registromanter registro das operações de tratamentodas operações de tratamento de dados pessoais de dados pessoais que realizarem, especialmente quando baseado noque realizarem, especialmente quando baseado no legítimo interesse legítimo interesse (art. 37).(art. 37). É necessário o registro de toda atividade deÉ necessário o registro de toda atividade de tratamento de dados pessoas, desde a coleta atétratamento de dados pessoas, desde a coleta até sua exclusão, com a sua exclusão, com a indicação da base legal indicação da base legal parapara o tratamento,o tratamento, finalidades finalidades, , usosusos, , tempo detempo de retençãoretenção, , práticas de segurança da informaçãopráticas de segurança da informação adotadas para assegurar a confidencialidade,adotadas para assegurar a confidencialidade, integridade e disponibilidade dos dados, bem comointegridade e disponibilidade dos dados, bem como sobre eventual sobre eventual compartilhamento compartilhamento a terceiro.a terceiro. D I R E I T O S D O S T I T U L A R E S D E D A D O S ( A R T . 1 8 ) Confirmação daConfirmação da existência deexistência de tratamento de seustratamento de seus dados pessoaisdados pessoais Acesso aosAcesso aos dadosdados Correção de dadosCorreção de dados incompletos,incompletos, inexatos ouinexatos ou desatualizadodesatualizado Anonimização,Anonimização, bloqueio oubloqueio ou eliminação deeliminação de dadosdados Portabilidade dosPortabilidade dos dados a outrodados a outro fornecedor defornecedor de serviço ou produtoserviço ou produto Eliminação Eliminação dosdos dados pessoaisdados pessoais tratados com basetratados com base nono consentimento consentimento do titulardo titular Informação sobre oInformação sobre o compartilhamentocompartilhamento de dados pessoaisde dados pessoais com terceirocom terceiro Informação sobre aInformação sobre a possibilidade depossibilidade de não fornecimentonão fornecimento do consentimento edo consentimento e suassuas consequênciasconsequências Revogação Revogação dodo consentimentoconsentimento fornecidofornecido Oposição aoOposição ao tratamento detratamento de seus dadosseus dados pessoaispessoais O titular dos dados pessoais tem o direito a peticionar contra o controlador (empresa) perante a Autoridade Nacional (ANPD) e aos organismos de Defesa do Consumidor (art. 18, §§1º e 8º). O titular poderá oferecer requerimento diretamente ao agente de tratamentoe deverá ser atendido sem custos, observando os prazos e termos previstos em regulamento. P . 0 4 OO consentimento consentimento deve ser fornecido pordeve ser fornecido por escrito (com cláusula destacada) ou por outroescrito (com cláusula destacada) ou por outro meio que demonstre a manifestação demeio que demonstre a manifestação de vontade do titular (art. 8).vontade do titular (art. 8). O consentimento pode ser O consentimento pode ser revogado arevogado a qualquer momentoqualquer momento, mediante manifestação, mediante manifestação expressa do titular, por procedimento gratuito eexpressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizadosfacilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormentesob amparo do consentimento anteriormente manifestado enquanto não houvermanifestado enquanto não houver requerimento de eliminação.requerimento de eliminação. Cabe ao controlador o Cabe ao controlador o ônus da provaônus da prova de que de que o consentimento foi obtido em conformidadeo consentimento foi obtido em conformidade (art. 8, §2).(art. 8, §2). MP A LGDP é uma lei que envolve Governança, Riscos, Compliance e Boas Práticas. O processo de adequação não se resume a documentos formais, mas a adoção de medidas práticas, organizacionais e comportamentais efetivas que demonstrem o cumprimento da legislação. Envolve comprometimento da Alta Direção (e stakeholders), treinamento e conscientização de funcionários, colaboradores e parceiros, due diligence, avaliação, monitoramento e auditoria do progama de conformidade, etc. C O M O S E A D E Q U A R À L G P D ? P . 0 5 Mapeamento dos dados,Mapeamento dos dados, identificação das operaçõesidentificação das operações de tratamento, indicação dasde tratamento, indicação das bases legais e aderência aosbases legais e aderência aos princípios do art. 6º, criação deprincípios do art. 6º, criação de documentos (contratos,documentos (contratos, políticas, termos, aviso depolíticas, termos, aviso de privacidade) para uso interno eprivacidade) para uso interno e externo.externo. Criação de canal deCriação de canal de comunicação com o titularcomunicação com o titular para pedidos sobre seuspara pedidos sobre seus dados: confirmação, acesso,dados: confirmação, acesso, anonimização, revogação doanonimização, revogação do consentimento, eliminação,consentimento, eliminação, etc. (art. 18).etc. (art. 18). Controle e gestão doControle e gestão do consentimento do titular,consentimento do titular, que deve ser obtido deque deve ser obtido de forma clara e inequívoca,forma clara e inequívoca, com transparência e paracom transparência e para finalidades específicas, sobfinalidades específicas, sob pena de nulidade dopena de nulidade do consentimento prestado.consentimento prestado. Indicação do encarregadoIndicação do encarregado de proteção de dadosde proteção de dados (pessoa física ou jurídica),(pessoa física ou jurídica), responsável peloresponsável pelo gerenciamento dogerenciamento do programa de proteção deprograma de proteção de dados pessoais (art. 41).dados pessoais (art. 41). Treinamento e conscientizaçãoTreinamento e conscientização dede funcionários, colaboradoresfuncionários, colaboradores e parceiros sobre a importânciae parceiros sobre a importância da proteção de dados eda proteção de dados e dada adoção dos procedimentosadoção dos procedimentos estabelecidos no programa deestabelecidos no programa de conformidade.conformidade. Adoção de medidas deAdoção de medidas de segurança da informaçãosegurança da informação suficientes para proteção dossuficientes para proteção dos dados pessoais, a garantir suadados pessoais, a garantir sua confidencialidade, integridadeconfidencialidade, integridade e disponibilidade, inclusivee disponibilidade, inclusive em operações que envolvamem operações que envolvam compartilhamento de dados.compartilhamento de dados. Procedimento deProcedimento de comunicação à Autoridadecomunicação à Autoridade Nacional (ANPD) e ao titular,Nacional (ANPD) e ao titular, quando da ocorrência dequando da ocorrência de incidente de segurança queincidente de segurança que possa acarretar risco oupossa acarretar risco ou dano relevante ao titular (art.dano relevante ao titular (art. 48).48). Realizar Relatório deRealizar Relatório de Impacto à Proteção deImpacto à Proteção de Dados Pessoais quandoDados Pessoais quando o tratamento tiver comoo tratamento tiver como fundamento o legítimofundamento o legítimo interesse dointeresse do controlador (art. 10, §3º).controlador (art. 10, §3º). MP F I S C A L I Z A Ç Ã O E P E N A L I D A D E S P . 0 6 No tocante às penalidades previstas na LGPD (art. 52 e ss.), essas passarão a valer aNo tocante às penalidades previstas na LGPD (art. 52 e ss.), essas passarão a valer a partir de partir de Agosto de 2021 (Lei 14.010/2020)Agosto de 2021 (Lei 14.010/2020) ;; o que não impede, todavia, estando ao que não impede, todavia, estando a lei em vigência, essa possa ser utilizada por outros órgãos de fiscalização ou peloslei em vigência, essa possa ser utilizada por outros órgãos de fiscalização ou pelos próprios titulares de dado pessoal, com o ajuizamento de ações judiciais,próprios titulares de dado pessoal, com o ajuizamento de ações judiciais, individuais ou coletivas, em caso de violação à Lei Geral de Proteção de Dados.individuais ou coletivas, em caso de violação à Lei Geral de Proteção de Dados. MP A L E I G E R A L D E P R O T E Ç Ã O D E D A D O S É U M A L E I D EA L E I G E R A L D E P R O T E Ç Ã O D E D A D O S É U M A L E I D E O P O R T U N I D A D E S !O P O R T U N I D A D E S ! Ajuizamento de ações pelosAju izamento de ações pelos t i tu lares de dado pessoal ,t i tu lares de dado pessoal , inclus ive com pedido deinclus ive com pedido de indenização;indenização; Em um mundo cada vez mais conectado e em que dados pessoais representamEm um mundo cada vez mais conectado e em que dados pessoais representam grande at ivo econômico, saber grande at ivo econômico, saber protegê-losprotegê-los e e gerenciá-losgerenciá-los de forma adequada é, de forma adequada é, acima de tudo, acima de tudo, diferencial competit ivo e estratégicodiferencial competit ivo e estratégico que ditará as relações que ditará as relações econômicas daqui pra frente. Não se trata “apenas” de cumprir a le i para evitareconômicas daqui pra frente. Não se trata “apenas” de cumprir a le i para evitar sanções (que por s i só podem causar alto impacto negativo) , mas, sobretudo, passarsanções (que por s i só podem causar alto impacto negativo) , mas, sobretudo, passar imagem de credibi l idade, conf iança e segurança aos t i tulares de dado pessoal . Paraimagem de credibi l idade, conf iança e segurança aos t i tulares de dado pessoal . Para além das penal idades o dano reputacional pode ser i rreversível . É essencialalém das penal idades o dano reputacional pode ser i rreversível . É essencial entender esse novo momento e viabi l izar a cont inuidade da at iv idade empresar ial .entender esse novo momento e viabi l izar a cont inuidade da at iv idade empresar ial . A implementação do programa de A implementação do programa de conformidadeconformidade envolve toda uma anál ise do f luxo informacionalenvolve toda uma anál ise do f luxo informacional real izado pela empresa, seja interno ( funcionár iosreal izado pela empresa, seja interno ( funcionár ios e colaboradores) , ou externo (consumidores,e colaboradores) , ou externo (consumidores, parceiros, fornecedores, Poder Públ ico) .parceiros, fornecedores, Poder Públ ico) . Por se tratar antes de tudo de uma lei dePor se tratar antes de tudo de uma lei de governança, r iscos e boas prát icas, permite aosgovernança, r iscos e boas prát icas, permite aos gestores a oportunidade de revis i tar seusgestores a oportunidade de revis i tar seus processosinternos, processos internos, readequá-losreadequá-los e e otimizá-losotimizá-los .. Conhecer o modelo de negócio e a estrutura da organização é fundamental , assimConhecer o modelo de negócio e a estrutura da organização é fundamental , assim como aval iar os r iscos inerentes ao negócio e à at iv idade, a f im de reduzir seuscomo aval iar os r iscos inerentes ao negócio e à at iv idade, a f im de reduzir seus impactos; apr imorar processos internos; dar segurança jur ídica às relaçõesimpactos; apr imorar processos internos; dar segurança jur ídica às relações envolvendo dados pessoais ; adotar medidas de segurança da informação; e difundirenvolvendo dados pessoais ; adotar medidas de segurança da informação; e difundir a conscient ização da importância da proteção de dados pessoais .a conscient ização da importância da proteção de dados pessoais . C O N S I D E R A Ç Õ E S F I N A I S P . 0 7 O processo de adequação e conformidade à LGPDO processo de adequação e conformidade à LGPD é uma grande oportunidade para o Setor Pr ivado!é uma grande oportunidade para o Setor Pr ivado! Dano reputacional e perda deDano reputacional e perda de conf iança e credib i l idade pelosconf iança e credib i l idade pelos consumidores e o mercado.consumidores e o mercado. F iscal izações pela ANPD e outrasFiscal izações pela ANPD e outras ent idades (Min istér io Públ ico,ent idades (Min istér io Públ ico, Procon, Senacon, S indicatos , etc) ;Procon, Senacon, S indicatos , etc) ; Multas e penal idades;Multas e penal idades; Ganho reputacional , conf iança eGanho reputacional , conf iança e credib i l idade por consumidorescredib i l idade por consumidores e pelo mercado.e pelo mercado. Revisão e ot imização deRevisão e ot imização de processos internos e aval iaçõesprocessos internos e aval iações externas ;externas ; Conscient ização e engajamentoConscient ização e engajamento de funcionár ios , colaboradoresde funcionár ios , colaboradores e parcei ros ;e parcei ros ; D i ferencial compet i t ivo eDiferencial compet i t ivo e estratégico;estratégico; Aval iação de r iscos, adoção deAval iação de r iscos, adoção de medidas de controle ,medidas de controle , antecipação aos impactos eantecipação aos impactos e plano de cont inuidade deplano de cont inuidade de negócio .negócio . " D A D O S S à O O N O V O P E T R Ó L E O "" D A D O S S à O O N O V O P E T R Ó L E O " - C L I V E H U M B Y- C L I V E H U M B Y Mater ia l produzido e elaborado por Mater ia l produzido e elaborado por Marcelo Carvalho PergentinoMarcelo Carvalho Pergentino , em 31/08/2020., em 31/08/2020. Advogado inscr i to na OAB/BA.Advogado inscr i to na OAB/BA. Pós-graduado em Dire i to Tr ibutár io e em Ciências Cr iminais .Pós-graduado em Dire i to Tr ibutár io e em Ciências Cr iminais . Pós-graduando em Dire i to Dig i ta l e Pós-graduando em Dire i to Dig i ta l e Compl ianceCompl iance .. Pr ivacy & Data Protect ion Essent ia ls cert i f icado pela EXIN.Pr ivacy & Data Protect ion Essent ia ls cert i f icado pela EXIN. Membro da Associação Nacional de Advogados do Dire i to Dig i ta l - ANADD.Membro da Associação Nacional de Advogados do Dire i to Dig i ta l - ANADD. Membro da Comunidade Bras i le i ra de Tecnologia e Segurança da Informação - CBTSi .Membro da Comunidade Bras i le i ra de Tecnologia e Segurança da Informação - CBTSi . L inkedin : L inkedin : l inkedin .com/in/marcelopergent inol inkedin .com/in/marcelopergent ino IG @marcelopergent ino .advIG @marcelopergent ino .adv E-mail : marcelopergentino.adv@gmail .comE-mail : marcelopergentino.adv@gmail .com Marcelo Pergentino Consultoria e AdvocaciaConsultoria e Advocacia http://linkedin.com/in/marcelopergentino https://app.exeed.pro/holder/badge/63803
Compartilhar