Baixe o app para aproveitar ainda mais
Prévia do material em texto
LGPD O que você precisa saber sobre a lei e como se adaptar a ela LGPD O que você precisa saber sobre a lei e como se adaptar a ela Como a sua empresa usa os dados pessoais e de seus consumidores e empregados? A entrada em vigor da Lei Geral de Proteção de Dados Pessoais está cada vez mais próxima no Brasil e impactará a todos. Também conhecida como LGPD, a lei passará a valer assim que for sancionada pelo Presidente da República, Jair Bolsonaro, e significará uma nova visão jurídica sobre o uso de dados e os direitos dos usuários sobre eles. Pode ser que a sua empresa não colete informações detalhadas como o Facebook, mas é bastante provável que ela possua algum tipo de cadastro – basta um nome e um e-mail para ser enquadrado na nova lei. Até então, quando o assunto era a proteção de dados pessoais, a jurisdição brasileira contava apenas com dispositivos independentes entre si. Com a mudança, o Brasil entrará no grupo de países que possuem uma regulamentação abrangente e sistematizada em relação ao tema. Uma das legislações propulsoras da Lei Geral de Proteção de Dados é a da União Europeia. Conhecida como GPDR (cuidado para não confundir com a sigla brasileira!), a General Data Protection Regulation entrou em vigor em maio de 2018. A sua promulgação pode ter influenciado a criação de uma regulamentação brasileira porque, em tese, o Brasil conseguirá fazer com mais facilidade a transferência de dados a países que seguem a lei europeia. INTRODUÇÃO A LGPD é a responsável por organizar e sistematizar o tratamento de dados pessoais de pessoas físicas. Para isso, existirão de regras específicas sobre a coleta, o tratamento e o armazenamento dessas informações. A existência de uma lei específica não anulará os outros dispositivos encontrados na legislação brasileira, como o Código de Defesa do Consumidor ou Marco Civil da Internet, por exemplo. Seu objetivo é englobar e harmonizar as regras e princípios sobre o tema em uma coisa só. A partir da vigência da LGPD em setembro de 2020, os assuntos abordados aqui estarão sujeitos à interpretação das autoridades, ou seja, este material não é algo acabado e final, mas sim um “work in progress”. LGPD O que você precisa saber sobre a lei e como se adaptar a ela SUMÁRIO APLICAÇÃO PONTOS PRINCIPAIS DA LEGISLAÇÃO COMPARATIVO ENTRE LGPD E GDPR POTENCIAIS IMPACTOS NOS NEGÓCIOS SOBRE O AUTOR 2 4 6 12 15 18 ....................................................................................................................................................... ............................................................................................................................................................................................................. .................................................................................................................................................................................................... ........................................................................................................................................................... ............................................................................................................................................................. .......................................................................................................................................................................................................INTRODUÇÃO O ESCOPO DA LGPD A LGPD define dados pessoais como “toda informação relacionada a pessoa natural identificada ou identificável”. O tratamento, segundo a lei, é “toda operação realizada com dados pessoais”. Em outras palavras, qualquer informação que possa identificar alguém, seja no meio físico ou digital, é considerada um dado pessoal. O tratamento, por sua vez, corresponde a qualquer atividade envolvendo esse tipo de conteúdo, como, por exemplo, a coleta, o armazenamento, a utilização e até mesmo a eliminação dessas informações. Sim, ao eliminar algum contato da sua base de e-mails, você está fazendo um tratamento de dados. Segundo a Lei Geral de Proteção de Dados, as atividades que configuram tratamento são: . LGPD O que você precisa saber sobre a lei e como se adaptar a ela APLICAÇÃO 4 • Coleta • Reprodução • Processamento • Modificação • Comunicação • Eliminação • Controle da informação . • Produção • Transmissão • Arquivamento • Extração • Recepção • Transferência • Avaliação da informação . • Classificação • Distribuição • Utilização • Acesso • Difusão • Armazenamento . A aplicação da LGPD acontece de maneira extraterritorial, ou seja, vale até mesmo para organizações que não se encontrem em território nacional. A legislação valerá nos seguintes casos: • Quando a operação do tratamento acontecer no Brasil • Quando o tratamento de dados incluir a oferta de bens e serviços • Quando o tratamento de dados for relativo a indivíduos que estejam localizados no Brasil • Quando os dados pessoais tenham sidos coletados em território nacional Além de a lei ser bastante abrangente em relação aos casos em que poderá ser aplicada, ela também valerá para casos fora da internet. Isto é, a LGPD também servirá para regulamentar casos em que tratamento seja offline e/ou use meios que não digitais. Por fim, a LGPD não poderá ser aplicada ao tratamento de dados pessoais se este for realizado por pessoas físicas para fins não econômicos. A lei não valerá, por exemplo, caso um indivíduo resolva fazer algum tipo de tratamento para fins pessoais e não lucrativos. Também fica fora da legislação brasileira o tratamento de dados pessoais para fins jornalisticos, artisticos e acadêmicos. TERRITORIALIDADE LGPD O que você precisa saber sobre a lei e como se adaptar a ela A LGPD prevê, ainda, que alguns dados pessoais devem ser administrados com mais cautela e de maneira mais restritiva, utilizando padrões de segurança mais específicos. Se enquadram nessa categoria os dados pessoais sensíveis e aqueles pertencentes a crianças e adolescentes. Dados pessoais sensíveis são aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso e filosófico ou político. Informações referentes à saúde ou à vida sexual, dado genético ou biométrico, quando vinculados a uma pessoa específica, também se encaixam nessa categoria. Para trabalhar com essas informações, o padrão é exigir o consentimento exclusivamente para o tratamento que será feito. Usar aquelas informações para outras atividades não declaradas é, portanto, proibido. No caso de crianças é necessário ainda ter o consentimento dos pais ou responsáveis legais. Dados sobre alguém em particular, mas que não levam à identificação do indivíduo por meios técnicos razoáveis, são considerados anonimizados, desde que não seja possibilitada a associação, direta ou indireta, do indivíduo, e não se enquadram na Lei Geral de Proteção de Dados. Seria o caso, por exemplo, de uma pesquisa anônima, feita por uma empresa, em que não é possível descobrir quem respondeu o quê. . 5 MATERNIDADE 06 TECHWOMEN 2020 Versão resumida LGPD O que você precisa saber sobre a lei e como se adaptar a ela Basicamente, a Lei Geral de Proteção de Dados define os princípios que devem nortear e limitar o tratamento de dados pessoais. Os pontos principais que você deve levar em conta estão abaixo. Finalidade O propósito para usar dados pessoais deve ser legítimo, específico e explícito. É preciso informar ao titular das informações qual é a finalidade do tratamento, sendo proibido o uso posterior de forma incompatível com o contexto e intuito inicial, ou seja, a finalidade anteriormente informada. Adequação Toda e qualquer ação em relação ao tratamento de dados deve ser compatível ao que foi informado ao titular.Necessidade O tratamento deve ser limitado ao mínimo possível. Os dados devem ser pertinentes e proporcionais à finalidade inicial. Isto é, você deve usar apenas as informações necessárias para o seu negócio. Livre acesso Os titulares dos dados pessoais devem ser capazes de consultar de maneira fácil e gratuita como seus dados estão sendo utilizados. A duração e a segurança do tratamento também deve estar à disposição dos envolvidos. Qualidade dos dados Fica garantida, por lei, a clareza, exatidão, relevância e atualização dos dados, para cada necessidade e a finalidade daquele tratamento, ou seja, dentre diversos outros direitos que a lei trouxe aos usuários (titulares de dados) também está a de poder solicitar a atualização cadastral, por exemplo. Transparência Os titulares de dados devem ter acesso de forma clara, precisa e de fácil sobre o tratamento de seus dados, é importante esclarecer que tal acesso não pode violar os segredos comerciais e industriais da organização. Segurança Se faz necessária a utilização de medidas e técnicas para proteger os dados pessoais, impedindo assim, o acesso de pessoas não autorizadas, acidentes ou incidentes de vazamento, ataques cibernéticos, ou até mesmo a perda e destruições ilícitas dos dados. Prevenção A lei obriga que as empresas possuam medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Não discriminação Por mais óbvio que possa parecer, não será permitido o tratamento de dados para fins discriminatórios, ilícitos ou abusivos. É importante, no entanto, esclarecer que esse 6 PONTOS PRINCIPAIS DA LEGISLAÇÃO Abaixo, estão os temas que mais se destacaram nas redes sociais no período estudado. Carreira, representatividade e tecnologia (42%) Educação (5,84%) Gamers (14,2%) Política e Preconceito (1,9%) SOBRE O QUE FALAM LGPD O que você precisa saber sobre a lei e como se adaptar a ela princípio merece uma atenção para que tais episódios não ocorra de maneira incidental. Responsabilização e Prestação de Contas As empresas que de algum modo tratem dados pessoais, sejam eles de seus clientes e/ou empregados deverá estar apto de demonstrar que suas medidas são eficazes no cumprimento das normas de proteção de dados pessoais. Ademais, a lei aborda pontos específicos que regem a forma na qual o tratamento de dados deve se dar para que esteja em conformidade com a nova legislação brasileira. Esses pontos serão expostos a seguir. Bases Legais para o tratamento Para que o tratamento de dados pessoais seja considerado legítimo – e, portanto, permitido – é necessário que tal tratamento se dê dentro das hipóteses previstas pela LGPD, conhecidas como “Bases legais”. Assim, são apresentadas 10 hipóteses que legitimam o tratamento de dados pessoais: 1. mediante consentimento do titular fornecido de forma que seja demonstrada a sua livre manifestação de vontade, podendo o titular revogar seu consentimento a qualquer tempo e de forma gratuita e facilitada; 2. por força de cumprimento de obrigação legal ou regulatória pelo controlador; 3. execução do contrato do qual o titular dos dados pessoais seja parte, ou para procedimentos preliminares de um contrato, desde que tenha sido feito a pedido do titular; 4. execução de políticas públicas; 5. exercício regular de direito em processo judicial, administrativo ou arbitral; 6. proteção da vida; 7. realização de estudos por órgãos de pesquisa; 8. tutela da saúde; 9. legítimo interesse do controlador ou de terceiros, desde que não confronte com direitos e liberdades fundamentais do titular dos dados; 10. proteção ao crédito. Quanto às bases legais, algumas considerações devem ser feitas. Inicialmente, quando o tratamento de dados pessoais se der mediante consentimento, este deve se dar sempre de maneira expressa e inequívoca, sendo importante que a documentação comprobatória esteja em conformidade com a lei, bem como seja mantido um registro das operações a fim de conferir maior segurança ao controlador da operação quanto a observância legal do tratamento de dados pessoais, lembrando, ainda, que o consentimento deve ser coletado de maneira granular, ou seja, o tratamento deve ser feito para o fim específico que o titular consentiu. Caso seja realizado tratamento com finalidade distinta da anteriormente consentida, faz-se necessária a destinação de nova base legal adequada à nova finalidade e, caso o consentimento venha a ser a base legal utilizada para a nova finalidade, é necessário que seja fornecido novamente. Quando o tratamento se der mediante interesse legítimo, é importante que o tratamento se dê com maior transparência possível a fim de 7 LGPD O que você precisa saber sobre a lei e como se adaptar a ela conferir segurança e accountability ao titular quanto ao tratamento de seus dados pessoais. Por fim, o tratamento de dados pessoais está embasado em direitos fundamentais de liberdade, intimidade e privacidade, que devem sempre ser observados com os demais princípios norteadores da LGPD, quando do tratamento de dados pessoais. Já quando o tratamento de dados pessoais se embasar no cumprimento de obrigação legal ou regulatória o referido tratamento deve-se limitar a cumprir tal norma, não podendo, em hipótese alguma ser realizado tratamento para finalidade distinta, salvo se para essa nova finalidade for definida uma nova base legal. Em outras palavras cada tratamento possui uma finalidade específica e consequentemente uma base legal, devendo, portanto, a depender do tratamento realizado ser escolhida a base legal adequada. No tocante ao tratamento de dados pessoais embasado na execução de contrato ou procedimento preliminar de contrato é de suma importância que o tratamento seja realmente necessário para a execução do objeto do contrato, ou seja, não se pode de maneira alguma confundir previsão ou cláusula contratual com a execução do objeto contratual em si. Vale ressaltar, ainda, que para o procedimento preliminar de contrato é necessário que tal tratamento seja feito a pedido do titular, isso significa que o titular do dado deve estar interessado em firmar futuro contrato. Ainda, quanto ao tratamento de dados pessoais, é de suma importância que além dos princípios e que regem a LGPD, e claro a lei em si, seja observando todo o conjunto de normas que norteiam aquele tratamento Término do Tratamento O artigo 15 da Lei Geral de Proteção de Dados especifica que o término do tratamento de dados pessoais ocorrerá quando: 1. A finalidade para a qual o consentimento foi obtido deixar de ser necessária ou pertinente para o alcance de tal finalidade; 2. O período para tratamento chegar ao fim; 3. O titular dos dados pessoais se manifestar a fim de que o tratamento de seus dados seja finalizado e/ou; 4. Quando houver determinação legal por violação do disposto pela LGPD. Ao término do tratamento, os dados pessoais devem ser eliminados, dentro do âmbito e dos limites técnicos das atividades envolvendo o tratamento. Entretanto, a LGPD aborda algumas hipóteses nas quais os dados podem ser conservados, tais como anonimização ou por cumprimento de obrigação legal ou regulatória pelo controlador, quando a escolha for a anonimização é necessário que seja feita de forma correta. Direitos dos titulares Conforme exposto, é preocupação da LGPD assegurar que os titulares de dados pessoais tenham seus direitos salvaguardados, sendo principal objetivo a proteção de direitos fundamentais de liberdade e privacidade dos indivíduos. Assim, são direitos inerentes ao titular de dados: 8 LGPD O que você precisa saber sobre a lei e como se adaptar a ela 9 Acesso facilitado do titular a informações sobre o tratamento de seus dados, bem como, direito de exigir que seus dados pessoais sejam corrigidos caso contenham informações incompletas, inexatas ou desatualizadas. A LGPD além de facilitar o acesso ao titular dos dados sobre as informações acerca do tratamento que está sendorealizado com seus dados, também exige que tais informações sejam disponibilizadas de forma clara, adequada e ostensiva, respeitando-se o princípio do livre acesso, ou seja, deverá ser demonstrada a finalidade específica, a forma e a duração do tratamento, respeitando-se os segredos comerciais e industriais da organização. O titular do dado, ainda, deverá ter acesso às informações do controlador, informações sobre o compartilhamento de seus dados com terceiros e a finalidade do referido compartilhamento, bem como quais são as responsabilidades dos agentes que trataram seus dados. O titular de dados pode solicitar a anonimização, bloqueio ou eliminação de dados pessoais que sejam considerados excessivos, desnecessários ou que não estejam de acordo com o standard para tratamento de dados imposto pela LGPD. Na hipótese de o tratamento de dados se basear exclusivamente em decisões automatizadas, o titular dos dados tem o direito de solicitar a revisão, inclusive para decisões destinadas à formação de perfis (“profiling”). É direito do titular solicitar que sejam disponibilizadas informações claras e adequadas quanto aos critérios adotados quando da decisão automatizada. Caso deseje, o titular pode, mediante requisição expressa, solicitar a transferência de seus dados pessoais, na modalidade de portabilidade, nesses casos, serão resguardados os direitos de segredos comercial e industrial. O titular de dados poderá revogar seu consentimento previamente dado para o tratamento de seus dados pessoais a qualquer momento. Nesses casos, o tratamento que acontece com base no consentimento deverá ser interrompido. Caso verifique que há descumprimento das disposições da LGPD, o titular de dados pessoais tem o direito de se opor ao tratamento de seus dados, caso tal tratamento se dê com base em uma das hipóteses de dispensa de consentimento. A qualquer momento, o titular de dados pessoais tem o direito de obter confirmação da existência de tratamento e acesso aos seus dados pessoais. Transferência Internacional de dados É permitida a transferência internacional de dados, desde que observadas as condições impostas pelo art. 33 da LGPD: Para países ou organismos internacionais aptos a proporcionar um grau de proteção adequado no tratamento de dados pessoais, isto é, conforme o padrão mínimo da LGPD; Ainda, poderá realizar a transferência internacional, quando o controlador oferecer e comprovar as devidas garantias de cumprimento • Coleta • Reprodução • Processamento • Modificação • Comunicação • Eliminação • Controle da informação . • Classificação • Distribuição • Utilização • Acesso • Difusão • Armazenamento . LGPD O que você precisa saber sobre a lei e como se adaptar a ela 10 dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, na forma de: • cláusulas contratuais específicas para a transferência internacional; • a adoção de cláusulas-padrões nos contratos; • que atendam as normas corporativas globais; • que possuam selos, certificados e códigos de condutas regularmente emitidos; Além disso, também, as empresas poderão realizar a transferência internacional quando: • a autoridade nacional autorizar a referida transferência; • quando a transferência resultar de compromisso assumido em acordo de cooperação internacional; • se a transferência for necessária para a execução de políticas públicas ou atribuição legal do serviço público; • o titular do dado tiver provido o seu consentimento de maneira destacada e específica para aquela transferência internacional; • necessário para cumprimento de obrigação legal ou regulatória pelo controlador; • necessário para a execução de contrato, ou procedimentos preliminares ao contrato, desde que, a solicitação tenha sido feita pelo titular; • for necessária a transferência para o exercício regular de direito em processo judicial, administrativo ou arbitral. Assim, de maneira geral, é possível notar que a transferência internacional de dados será permitida desde que seja mantido o mesmo padrão mínimo adotado pela LGPD para o tratamento de dados pessoais e para a proteção dos direitos do titular. Ainda, existem indefinições de sobre certos padrões, tais como quando a autoridade nacional autorizar, assim, será realizado a análise de caso a caso para que a transferência internacional possa ser realizada de maneira segura, minimizando os riscos para a empresa. Agentes para o tratamento Responsáveis para que o tratamento de dados se dê em conformidade com o disposto pela LGPD, os agentes para o tratamento podem se dividir em: • Controlador: pessoa natural ou jurídica, seja ela de direito público ou privado, que decide sobre o tratamento de dados pessoais; • Operador: pessoa física ou jurídica responsável pelo tratamento de dados pessoais estritamente na medida em que realize as obrigações e finalidades previamente definidas pelo operador, em nome do controlador. Para definirmos os papéis de cada parte, deverá ser avaliado o contexto ao qual se inserem. Inicialmente, cabe ao controlador manter registros das operações envolvendo o tratamento de dados pessoais (especialmente aqueles que tiveram como base legal o legítimo interesse do controlador), bem como conservar e atender aos requisitos impostos pela Lei e pela autoridade competente, que pode vir a determinar que o controlador elabore um relatório de impacto à proteção de dados pessoais a fim de observar se a organização está atuando em conformidaden ou não com a LGPD O que você precisa saber sobre a lei e como se adaptar a ela legislação geral de proteção de dados pertinente. Recai sobre o Controlador, também, o dever de comunicar a autoridade nacional e o titular de dados pessoais imediatamente, na hipótese de a segurança no tratamento de dados pessoais ser violada e ter potencial de acarretar risco ou dano relevante aos seus titulares. O Controlador e o Operador respondem solidariamente por quaisquer danos causados ao titular de dados pessoais em decorrência de violação da LGPD, sejam de cunho patrimonial moral, individual ou coletivo. Eles só não serão responsabilizados nas hipóteses se comprovado que: (I) não realizaram o tratamento de dados que lhes é atribuído; (II) embora tenham realizado o tratamento que lhes é atribuído, não houve violação à LGPD ou; (III) que o dano decorre de culpa excessiva do titular dos dados ou de terceiros. Vale notar que aquele que reparar o dano ao titular tem o direito de regresso contra os demais responsáveis, na medida da participação de cada. Nesse sentido é importante frisar que, apesar de não existir explicitamente nenhuma determinação na LGPD para que, as partes determinem suas funções atrav;es de contratos nas relações envolvendo proteção de dados, é prudente que tais funções , limites, direitos e obrigações sejam pactuadas de um contrato, muito embora os papéis sejam definidos pela realidade fática, o contrato poderá trazer uma maior segurança e mitigar riscos, inclusive, limitando que os tratamentos envolvendo dados pessoais pelo operador sejam aqueles intimamente ligados ao objeto do contrato e as determinações do controlador. A figura do encarregado ou “DPO” Já o “encarregado”, corresponde à figura do Data Protection Officer (ou como é comumente chamado, “DPO”) mencionados pela Lei geral europeia. É também considerado um dos agentes no tratamento de dados. O Encarregado será o responsável por orientar os indivíduos da organização quanto às práticas que estão de acordo com a proteção e o tratamento dos dados coletados, bem como por prestar esclarecimentos aos titulares de dados e tomar providências que sejam necessárias. As seguintes atividades correspondem ao encarregado: 1) Aceitar reclamações dos titulares, prestar esclarecimentos e adotar providências; 2) Receber comunicações da autoridade nacional e dos titulares, Adotando as providências cabíveis; 3) Orientar osfuncionários e contratados da organização quanto às práticas a serem tomadas em relação à proteção de 11 LGPD O que você precisa saber sobre a lei e como se adaptar a ela Como é de conhecimento, a entrada em vigor da GDPR (Regulamento Geral sobre a Proteção de Dados) foi grande propulsora para o avanço legislativo da LGPD, além disso, considerando que o GDPR em muito inspirou conceitos e disposições trazidas pela LGPD, ambas compartilham similitudes incontestáveis, mas existem algumas distinções relevantes, as quais merecem atenção. Inicialmente, destaca-se a necessidade de que para um tratamento ocorrer é necessária a escolha de uma base legal, sendo certo que, enquanto a LGPD nos fornece 10 (dez) hipóteses de fundamentação legal para tratamento de dados, conforme exposto acima, a GDPR mostra-se mais restritiva, fornecendo somente 6 (seis) hipóteses. Nesse sentido: • GDPR: (i) consentimento; (ii) obrigação legal; (iii) proteção da vida; (iv) interesse público; (v) execução de contrato; (vi) e interesse legítimo. • LGPD: (i) consentimento; (ii) cumprimento de obrigação legal; (iii) implementação de políticas públicas pela administração pública; (iv) pesquisa por entidades de estudo público; (v) execução de contrato; (vi) exercício de direitos em processos judiciais, administrativos ou arbitrais; (vii) proteção da vida; (viii) tutela da saúde; (ix) interesse legítimo; e (x) proteção ao crédito. Vale ressaltar que o consentimento é a apenas uma das bases legais, ao contrário do que muitos pensam, o consentimento nem de longe é a base legal principal. dados pessoais; 3) Orientar os funcionários e contratados da organização quanto às práticas a serem tomadas em relação à proteção de dadospessoais; 4) Executar atribuições determinadas pelo controlador ou em normas complementares, que podem ser estabelecidas pela Autoridade nacional. Por fim, a definição e as atribuições do encarregado podem ser estabelecidas pela autoridade nacional, inclusive hipóteses de dispensa de sua indicação tendo em vista a natureza, o tamanho da organização ou volume de operações de tratamento de dados. 12 COMPARATIVO ENTRE LGPD E GDPR LGPD O que você precisa saber sobre a lei e como se adaptar a ela Atribuições do Data Protection Officer (“DPO”) Embora a função do encarregado seja apontada em ambas as legislações, a GDPR aborda de maneira mais clara quando um “DPO” deve ser indicado para atividades específicas dentro da organização no que diz respeito às atividades que exijam a sua atuação. A LGPD, por sua vez, aborda o tema de maneira um tanto quanto geral e faz apenas menção que para qualquer tratamento de dados, um encarregado deve ser indicado. Este ponto deverá ser objeto de regulamentação futura pela Autoridade Nacional de Proteção de Dados. Vale esclarecer que a função do DPO entre a Europa e o Brasil possui diferença, sendo certo que na Europa o DPO tem a sua atuação delineada de forma muito mais robusta, podendo, ser considerado até como um aliado da autoridade de proteção de dados. Já no Brasil a LGPD limitou o DPO a função de intermediar comunicações entre o titular de dados, as empresas e a autoridade. Decisões individuais automatizadas As decisões individuais automatizadas consistem em decisões tomadas exclusivamente por meios tecnológicos, excluindo-se qualquer envolvimento humano durante o processo de tratamento dos dados pessoais em questão. A GDPR garante aos titulares de dados pessoais que estes não fiquem sujeitos a decisões tomadas exclusivamente por meios automatizados, salvo nas hipóteses nas quais o tratamento automatizado for imprescindível para execução de um contrato ou autorizado pelo Estado. A LGPD, por ora, não impõe restrições ao direito do titular de dados em ter seus dados revisados quando estes forem tratados por meios automatizados. Pois, independentemente da base legal utilizada para legitimar o tratamento de dados pessoais, os titulares podem requerer a revisão de decisões exclusivamente automatizadas. Anteriormente, a LGPD previa que os titulares de dados poderiam solicitar a revisão de decisões automatizadas a ser realizada por pessoa natural. Ocorre que, através da Lei n.º 13.853 de 2019 tal obrigação fora excluída através de veto presidencial, restando somente a obrigação da revisão acerca da decisão automatizada. Desta forma, a Lei brasileira é menos protetiva do que a GDPR pois, confere, em tese, um leque mais amplo de proteção aos titulares de dados na hipótese de decisões exclusivamente automatizadas. Penalidades Administrativas No tocante às penalidades a GDPR tem a sua multa estabelecida em até 4% do faturamento global do grupo, enquanto a LGPD trata como 2% do faturamento no Brasil, limitando-se a 50 milhões, por infração. Requisições de acesso pelos titulares Requisições de acesso previstas pelos direitos dos titulares também possuem diferenças, a GDPR trata como prazo 30 dias e a gratuidade é opcional. Por sua vez, a LGPD trata que os direitos de acesso dos titulares devem ser atendidos em até 15 dias e a gratuidade é obrigatória. Tanto a GDPR como a LGPD proporcionam que os titulares de dados tenham acesso a informações sobre seus dados que estejam sendo 13 LGPD O que você precisa saber sobre a lei e como se adaptar a ela informações que se fizerem necessárias para demonstrar que a organização cumpre com a GDPR; (iv) a definição de exclusão dos dados após o término do tratamento; (v) a obrigação do Operador notificar o Controlador em caso de violação de dados pessoais, tão logo tenha conhecimento; e, (vi) a nomeação do DPO, a depender da situação. Destaca-se que, essa obrigação é advinda da GDPR. A LGPD não prevê tal necessidade, obrigando somente que o controlador e o operador mantenham seus registros acerca das operações de tratamento, em especial quando baseado no legítimo interesse. Contudo, é extremamente recomendável que tais pontos sejam pactuados através de contrato, assim é possível que seja demonstrado e acordado sobre os direitos e as obrigações de cada uma das partes. tratados, o direito de correção, eliminação, portabilidade, entre outros. Por sua vez, a GDPR no próprio capítulo sobre os direitos dos titulares, concede a estes o direito de acesso, incluindo, o prazo de conservação dos dados, ou dos critérios usados para fixar tal prazo; determina que sejam claras as informações atinentes a transferência internacional de dados, a demonstração da origem da coleta dos dados pessoais; quando da divulgação de seus dados com terceiros a imediata comunicação sobre o compartilhamento tão logo ele ocorra. Nesse sentido a GDPR é rica em detalhes e tende a realizar mais comunicados aos titulares, visando a clareza e transparência em busca do amplo conhecimento pelo titular de seus direitos. Instrumento contratual A GPDR prevê explicitamente que a relação entre o Controlador e o Operador seja estabelecida através de um contrato ou outro instrumento jurídico, sendo essencial que tal documento conste as instruções necessárias para o tratamento, tais como: as definições sobre a finalidade e duração do tratamento, os tipos de dados pessoais a serem tratados, as obrigações e direitos de cada uma das partes, a definição necessárias visando a segurança do processamento. Além disso é de suma importância que esse contrato determine que o Operador auxilie o Controlador: (i) nas medidas técnicas e organizacionais para o cumprimento de suas obrigações de responder a solicitações advindas dos titulares; (ii) na confecção de Relatórios de Impactos à Proteção de Dados (DPIA); (iii) com a disponibilização de todas as 14 LGPD O que você precisa saber sobre a lei e como se adaptar a ela comunicação com esses titulares a fim de efetivar o exercício dos direitos a estes correspondentes. Outro aspecto consiste na estrutura da organização, que deve adequar sua estrutura operacional e técnica a fim de implementar um programa interno que viabilize que osseus negócios sejam regidos em conformidade com o integral cumprimento do exposto pela LGPD. Para tanto, é importante que tanto as políticas internas quanto as políticas referentes à terceiros, sejam revisadas, bem como, os contratos celebrados pela organização e os procedimentos inerentes à atividade exercida pela organização que requer o tratamento de dados pessoais, a fim de que estas também estejam em conformidade com a Lei brasileira e reflitam a realidade dos fatos. A fim de coibir a prática de atos e omissões que ensejem em riscos ao tratamento de dados pessoais, é importante que as políticas internas das organizações estejam alinhadas à estrutura e ao escopo das operações envolvendo o tratamento de dados pessoais. Isto pois a sinergia na estrutura da organização permite que esta desenvolva planos de ação mais eficazes e adequados na mitigação de riscos e de danos causados pelo eventual vazamento de dados. O comprometimento da organização em disseminar e implantar a nova cultura de proteção de dados consiste no fator primordial para que esta esteja em conformidade com a lei brasileira e assim, possa se destacar no mercado. Além disso, é de suma importância que os direitos dos titulares sejam sempre informados e que as organizações busquem agir com maior ¹https://gblogs.cisco.com/br/seguranca/gdreibi2/privacidade-de-dados-sinonimo-de-credibilidade-e-roi/ (acesso em 06/09/2020) Com a entrada em vigor da LGPD, o maior desafio consiste em implementar uma nova cultura acerca do tema. Até mesmo porque a violação da LGPD está sujeita desde advertência até a imposição de sanções de natureza pecuniária que podem chegar ao montante de até R$ 50 milhões por infração. Sem contar que a violação à LGPD também acarreta danos reputacionais à empresa que pode ter sua imagem ligada ao tratamento irregular de dados e seu consequente risco aos dados dos titulares. Some-se a isso, estudos recentes demonstrarem que ROI – Return on Investiment – que para cada dólar gasto com privacidade as organizações recebem em média US$ 2,70 em benefícios, sendo que aproximadamente 40% das organizações recebem pelo menos o dobro de ROI.¹ Assim visado uma minimização dos impactos negativos e visando nas inúmeras possibilidades de crescimento, será necessário que haja implementação de uma política interna de proteção de dados apta a desenvolver uma conscientização não só do corpo diretivo da organização, como também na disseminação da cultura de proteção de dados entre seus colaboradores, clientes, fornecedores e consumidores. Deste modo, é importante que a organização desenvolva mecanismos que atuem na disseminação de um conteúdo informativo claro e adequado, a fim de informar os titulares de dados quanto ao tratamento de seus dados pessoais, bem como desenvolver mecanismos que facilitem a 15 POTENCIAIS IMPACTOS NOS NEGÓCIOS https://gblogs.cisco.com/br/seguranca/gdreibi2/privacidade-de-dados-sinonimo-de-credibilidade-e-roi/ transparência possível, a fim de permitir que se desenvolva maior confiança dos titulares e responsividade da organização na eficácia da implementação de um novo programa interno de proteção de dados. Por onde devo começar? O que fazer? Com base em nossa experiência, o tema da proteção de dados deve ser um projeto de longo prazo. Como tal, recomendamos que seja dividido em fases de implementação. As fases poderão (e deverão) variar conforme cada organização, pois há organizações em diferentes níveis em relação ao tema: (i) aquelas que desconhecem o assunto e estão começando “do zero”; (ii) aquelas que contam com algum grau de preocupação e procedimentos; (iii) aquelas que já passaram pela GDPR e, como tal, costumam ter mais conhecimento do assunto, para implementar a LGPD etc. Observado que a tabela abaixo não é exaustiva e que cada organização possui as suas peculiaridades, apetite de risco, entre outros, o programa de adequação deverá ser adaptado conforme o caso concreto e a realidade prática de cada organização, podemos estimar as seguintes principais fases para a implementação do referido programa de proteção de dados pessoais: FASE I - Workshop/Kick-off Meeting para conscientização. - Mapeamento de processos aplicados pela organização e verificação de quais processos envolvem dados pessoais. . LGPD O que você precisa saber sobre a lei e como se adaptar a ela - Questionários às áreas realizando uma coleta primária de informações envolvendo o tratamento de dados pessoais. - Entrevistas de Mapeamento. - Rodada de Saneamento, complementação das entrevistas, envolve a solicitação de documentos e subsídios. Tendo assim, como resultado da Fase I o Mapeamento de Dados Pessoais capaz de reproduzir a realidade da organização, demonstrando de maneira clara e objetiva quais são os processos analisados, as operações de tratamento, sistemas utilizados, os dados pessoais envolvidos, suas fontes, entre outros. Destaca-se que, o mapeamento de dados pessoais não podes ser um inventário dos dados pessoais e dos sistemas utilizados, mas é necessário que ele faça a identificação das finalidades de cada tratamento envolvendo os dados pessoais, sendo de suma importância a sua identificação para a devida adequação à LGPD. FASE II - Identificação das bases legais adequadas para cada tratamento de dados pessoais. - Análise da adequação do tratamento de dados pessoais aos 16 LGPD O que você precisa saber sobre a lei e como se adaptar a ela princípios relacionados à LGPD. - Análise de riscos. - Medidas de adequação. Nessa fase é importante saber priorizar as medidas de adequação com base na análise de riscos, ou seja, avaliando a criticidade e as prioridades, bem como a viabilidade e realidade prática da organização. FASE III - Elaboração de Políticas Internas e adequações ao Dever de Informar. - Vendor Assessment procedimentos para análise do nível de conformidade de fornecedores e parceiros. - Elaboração e Revisão de Contratos. - Elaboração e revisão de Cláusulas Contratuais Padrão referentes à proteção de dados pessoais. - Elaboração e revisão de procedimentos para transferência internacional de dados. - Orientações legais referentes a direitos dos titulares. - Procedimentos para o atendimento de Direitos de titulares. - Elaboração de padrão de notificação de Incidente de Segurança. - Diretrizes gerais acerca de Procedimento em caso de Incidente. - Privacy by Design. Elaboração de LIAs – Legitimate Interests Assessment – necessários para quando a base legal utilizada for o legítimo interesse. Impact Assessment com a elaboração de Análises de Impacto à Privacidade (PIA) e Relatórios de Impacto à Proteção de Dados Pessoas (DPIA). Por fim, vale destacar que o programa de adequação a proteção de dados deve ser constantemente monitorado e fazendo-se ajustes e melhorias, pois trata-se de um processo vivo dentro das organizações. 17 LGPD O que você precisa saber sobre a lei e como se adaptar a ela ESCRITO POR . Essa é uma publicação realizada pelo escritório de advocacia CMT, Carvalho, Machado e Timm Advogados. Foi redigida pelos líderes da área de Proteção de Dados do CMT: Renato Caovilla rcaovilla@cmtlaw.com.br Rodrigo Dufloth rdufloth@cmtlaw.com.br 18 SOBRE O AUTOR LGPD O que você precisa saber sobre a lei e como se adaptar a ela REVISADO POR . Carvalho, Machado e Timm Advogados www.cmtlaw.com.br +55 11 2872-4760 Viviane Emy Mendes vemy@cmtlaw.com.br Matheus Noronha Sturari msturari@cmtlaw.com.br 19 OBRIGADO POR BAIXAR ESSE EBOOK MANDA UM ALÔ PRA GENTE! QUER DECOLAR OS RESULTADOS DAS SUAS REDES SOCIAIS? O Scup foi projetada para revolucionar a experiência entre marca-consumidor. É a ferramenta certa para Monitoramento, SAC 2.0, gerenciamento de redes sociais e relatórios com os insights que a sua empresa precisa para crescer: tudo isso em um mesmo lugar e com quem entende do que está fazendo. Empresas e agências usam a nossa tecnologia para ampliar a sua performancee realizar o atendimento ao cliente de forma ágil e descomplicada. @scupbrasil fb.com/ScupBrasil www.scup.com.br https://www.scup.com/social/pt/contact/ https://www.instagram.com/scupbrasil/ https://www.facebook.com/ScupBrasil https://www.scup.com/social/pt/
Compartilhar