No dia 09 de julho de 2019, foi publicada a Lei nº 13.853/2019, que cria a Autoridade Nacional de Proteção de Dados no Brasil, ou ANPD. 

A ANPD entra para a lista das diversas siglas de órgãos governamentais (ANCINE, ANVISA, ANATEL, etc.) e será a responsável por fiscalizar a correta adoção da coleta, tratamento e compartilhamento de dados pessoais – essencial para o bom andamento e a correta implementação da LGPD no país.

Seu objetivo, portanto, é fiscalizar, controlar e, se for o caso, multar as empresas que lidam com dados pessoais e privacidade.

Ela é o grau máximo, hierarquicamente, na esfera administrativa da Lei Geral de Proteção de Dados. Este fator não elimina o poder de fiscalização de outros órgãos, apenas define a limitação de suas competências.

Dentre as principais atribuições da ANPD, temos: 

1. Estabelecer os padrões técnicos para o cumprimento da lei; 
2. Determinar os requisitos necessários para a elaboração dos Relatórios de Impacto;
3. Fiscalização e aplicação de advertências, multas e demais sanções;
4. Celebrar compromissos com as empresas;
5. Comunicar às autoridades competentes as infrações penais das quais obtiver o conhecimento;
6. Receber e processar toda e qualquer reclamação de pessoa física titular de dados;
7. Atividades para difundir e educar a população sobre a LGPD.

A cargo dessas atribuições, teremos um conjunto de profissionais distribuídos por diferentes setores.

A estrutura da ANPD

A Autoridade Nacional de Proteção de Dados foi criada com uma estrutura que se organiza em 6 setores:

Conselho Diretor

Será formado por 5 membros, responsáveis por administrar, planejar e tomar decisões pertinentes ao bom funcionamento da LGDP. Um Diretor-Presidente será designado para encabeçar o Conselho.

Conselho Nacional de Proteção de Dados Pessoais e da Privacidade 

Possuindo uma formação de diversos nichos, será composto por 23 membros da sociedade, sem direito a voto nas tomadas de decisões da ANPD. Conforme o Artigo 58 da lei, desses 23, serão: 

• 5 (cinco) do Poder Executivo federal;
• 1 (um) do Senado Federal; 
• 1 (um) da Câmara dos Deputados; 
• 1 (um) do Conselho Nacional de Justiça;
• 1 (um) do Conselho Nacional do Ministério Público;
• 1 (um) do Comitê Gestor da Internet no Brasil; 
• 3 (três) de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais;
• 3 (três) de instituições científicas, tecnológicas e de inovação; 
• 3 (três) de confederações sindicais representativas das categorias econômicas do setor produtivo;
• 2 (dois) de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e 
• 2 (dois) de entidades representativas do setor laboral.

Corregedoria

Setor especializado na apuração de erros ou práticas que não estejam em conformidade com a lei. Em caso de erros dos agentes públicos, o setor será o responsável por aplicar as penalidades necessárias.

Ouvidoria

Especializado em atender a população, é a ponte entre os titulares dos dados e a ANPD, responsável por atender a reclamações, dúvidas e mensagens, em geral.

Órgão de assessoramento jurídico próprio 

É o setor especializado em consultoria e assistência jurídica na aplicação da LGPD, para pessoas físicas e jurídicas. É quem vai apoiar a implementação da lei esclarecendo as principais dificuldades que possam ser apresentadas durante os projetos de compliance.

Unidades administrativas e especializadas

Setor formado por diversos órgãos, que serão os responsáveis diretos pela aplicação do que dispõe a Lei Geral de Proteção de Dados.

Competências da ANPD

Segundo o Artigo 55 da Lei Geral de Proteção de Dados, compete à ANPD:

• I – zelar pela proteção dos dados pessoais, nos termos da legislação; 
• II – zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei; 
• III – elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;                   
• IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso; 
• V – apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
• VI – promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
• VII – promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;  
• VIII – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis; 
• IX – promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;  
• X – dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial; 
• XI – solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei; 
• XII – elaborar relatórios de gestão anuais acerca de suas atividades; 
• XIII – editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;   
• XIV – ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento; 
• XV – arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;  
• XVI – realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
• XVII – celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942; 
• XVIII – editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei; 
• XIX – garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso); 
• XX – deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos; 
• XXI – comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;  
• XXII – comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
• XXIII – articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e 
• XXIV – implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei. 
  

Sanções da LGPD

Ao sancionar a Lei Geral de Proteção de Dados, o governo brasileiro espera que todas as empresas façam cumprir a força da lei e sigam seus requisitos. Porém, em caso de organizações infratoras, existem punições previstas no texto que vão desde uma advertência até uma multa de até 50 milhões de reais.

O intuito da lei é criar uma cultura de privacidade no ambiente de negócios brasileiro. Por essa razão, as penalidades sempre seguirão critérios objetivos, de modo que a valorização da cultura de proteção de dados seja incentivada, enquanto a de displicência, punida.

Se o controlador (empresas e organizações) não cumprir com o exigido, a ANPD é a responsável por aplicar advertências, penalidades e, dependendo da gravidade do caso, multas, como veremos a seguir:

Advertência

A ANPD pode advertir formalmente uma organização a fim de permitir que ela corrija as infrações sem maiores consequências. Será fornecido um prazo para adoção das medidas corretivas determinadas pelo órgão. 

Multa simples

O valor da multa será de até 2% do faturamento da pessoa jurídica no seu último exercício. O teto será de R$ 50 milhões por infração e os valores das multas arrecadadas com a fiscalização da ANPD em conformidade com a Lei Geral de Proteção de dados serão destinados ao Fundo de Defesa de Direitos Difusos.

Multa diária 

Além da multa simples, poderá ser instituída uma multa diária. O limite continua sendo de R$ 50 milhões por infração.

Publicitação da Infração

Divulgação pública da infração da empresa, nos meios de comunicação pertinentes, explicitando os delitos cometidos em toda a sua extensão.

Bloqueio dos Dados Pessoais

Os dados a que se referirem à infração serão bloqueados até que as autoridades competentes solucionem o caso. Impossibilitando o manejo e, por consequência, qualquer tipo de atividade ligados a eles.

Eliminação de Dados Pessoais

Os dados que caracterizaram a infração deverão ser apagados do sistema da empresa, ocasionando na perda de todo investimento efetuado na captação de tratamento desses dados.

Conclusão

Como foi criada muito recentemente, a real atuação da ANPD será revelada de forma fracionada. Nem por isso devemos subestimá-la. Você não vai querer descobrir seus efeitos na prática, certo?

A Compugraf conta com soluções de conformidade para sua empresa se adequar à LGPD o quanto antes! Clique aqui e converse com um dos especialistas em privacidade de dados para saber mais.

A lei número 13.709/2018, também conhecida como Lei Geral de Proteção de Dados, ou LGPD, é a lei que dispõe sobre a proteção dos dados pessoais de todas as pessoas naturais em território brasileiro. Foi decretada pelo Congresso Nacional em 14 de agosto de 2018 e entrará em vigor em agosto de 2020. 

A lei acompanha um movimento internacional em prol da proteção de dados pessoais dos cidadãos de todo o mundo. Baseada diretamente na General Data Protection Rules da União Europeia, a regulamentação visa inibir que sejam coletados “dados em excesso”, bem como limita seu uso para fins com os quais seus titulares não tenham explicitamente concordado.

Isso significa que é o interesse dos titulares dos dados é que vai ditar quais dados serão coletados e como eles serão operados. Além disso, o titular é livre para solicitar qualquer informação a respeito do processo de tratamento, bem como solicitar a eliminação de seus dados da base de pessoas ou organizações que estejam em posse deles, se assim lhe convir.

Assim, a transparência e a garantia de privacidade se tornam os pilares de toda empresa que deseje se posicionar com credibilidade no mercado e de toda organização que preze por uma boa imagem junto ao público. 

Neste artigo, detalhamos as nuances de um tratamento de dados em conformidade com os requisitos da lei, para que você possa orientar seus colaboradores de acordo. Confira:

Como fazer a coleta de dados

A finalidade, a necessidade e o consentimento são os princípios que permeiam uma coleta de dados em compliance com a LGPD.

Sendo assim, será necessário que o titular esteja explicitamente de acordo em ceder os dados que a empresa determinar como imprescindíveis para que ela alcance determinado objetivo. Isso poderá ser feito por meio de formulários específicos, personalizados conforme a necessidade.

Por exemplo: você está para contratar um prestador de serviços e precisará coletar os seus dados a fim de elaborar o contrato. Na hora de criar uma ficha ou formulário para solicitar os dados, eles devem seguir a lógica:

• Finalidade: identificação do indivíduo para contrato de prestação de serviços;
• Necessidade: os dados sem os quais não é possível fazer a identificação contratual (nome, RG, CPF, endereço, telefone, etc.)
• Consentimento: deve haver uma cláusula no contrato que esclareça que o indivíduo concordou em ceder os dados para o fim disposto no contrato.

Todos esses pontos devem estar claros para o titular dos dados e, se algum não estiver, ele deve ter condições de solicitar o esclarecimento junto à empresa.

O modelo se aplica a todo tipo de coleta, variando apenas os detalhes conforme a finalidade e a necessidade para cada caso. 

Como fazer o mapeamento de dados

O mapeamento dos dados pessoais é a principal ação a ser tomada na sua gestão de riscos. Ele envolve tanto os dados de clientes quanto os de colaboradores e é o que vai garantir que a sua empresa está em conformidade com a lei. 

Esse processo tem como objetivo identificar quais dados estão em posse da empresa e assegurar sua privacidade dos dados, salvaguardando empresas que porventura possam vir a enfrentar problemas como vazamentos, denúncias e afins. 

A adequação pode ser um processo demorado, dependendo do estágio de aderência da empresa à Lei Geral de Proteção de Dados, mas é imprescindível.

Algumas etapas simples a serem seguidas:

Mapear e inventariar os dados que já são tratados pela empresa

Com que dados sua empresa lida? Onde estão armazenados? Como foram adquiridos? Qual a finalidade de cada dado? 

Respondendo a essas perguntas, você já tem um bom norte. Depois, é importante identificar qual o fluxo dos dados, isto é, como eles entram, quem os coleta, onde são guardados, como serão eliminados, dentre outros processos comuns. 

Lembrando que isso inclui tanto os dados online – oriundos de ERPs, CRMs e afins – quanto os dados offline. Sabe aquela ficha cadastral que o cliente preencheu e assinou pro Financeiro e tá guardado dentro de uma pasta dentro de um arquivo dentro de uma sala isolada? Então. Isso também deve ser mapeado. 

Mapear os agentes envolvidos em todo o processo do controle de dados

Quem serão os operadores dos dados? Quem vai gerir o fluxo dos dados? Quem vai supervisionar a equipe? É importante poder identificar os agentes envolvidos na garantia de privacidade. 

Também é fundamental, no caso de haver compartilhamento de dados com terceiros, detalhar como ele é feito e quem são os responsáveis pelo tratamento desses dados também do lado de lá, na empresa receptora. 

Conheça o perfil de todos os usuários envolvidos e entenda os níveis hierárquicos de acesso, para garantir que ele seja feito somente por pessoal autorizado em todas as etapas do tratamento.

Mapear as ferramentas e processos envolvidos no tratamento dos dados

Outro aspecto fundamental do mapeamento é entender quais são os sistemas que a sua empresa utiliza para armazenar os dados pessoais. 

É preciso incluir desde aplicativos, serviços e programas do dia a dia que de alguma forma armazenem dados – como Whatsapp, Google Drive, Gmail, etc. – a sistemas de suporte ao marketing, vendas, recursos humanos e todos os setores cabíveis – como Salesforce, RD Station, ERPs, dentre outros.

Finalmente, após mapeá-los, é válido incluir que tipos de dados cada sistema identificado armazena.

Definir processos de coleta e eliminação de dados

É importante entender como a empresa funciona em todas as suas esferas e identificar as áreas com maior acesso a dados pessoais em suas operações. Departamentos de Marketing, Vendas, Recursos Humanos e Comercial são alguns exemplos. Busque compreender como o compliance à lei vai afetar o trabalho de seus colaboradores e o que pode ser feito para facilitar o tratamento dos dados em conformidade à LGPD.

Para isso, vale realizar um trabalho em conjunto com as áreas de gerenciamento de riscos, visando a identificação de algum controle interno que possa dificultar o cumprimento de alguns princípios estabelecidos na LGPD. A partir de seus resultados, compreenda quais são os objetivos e finalidades da empresa, a fim de analisar os dados que efetivamente são necessários para atingir esses objetivos.

O próximo passo é definir, junto de todas as áreas envolvidas, o fluxo de operação desses dados, especialmente no que se refere à sua eliminação. Aqui, é preciso estar atento a alguns pontos:

• Em quais situações os dados serão descartados?
• Como os dados serão descartados?
• Quem é o responsável pelo descarte?
• Qual o processo de formalização do descarte?

Vale ter sempre em mente que se o titular solicitar a eliminação dos dados ou quaisquer informações concernentes ao seu tratamento, bem como na eventualidade de uma visita da fiscalização, a equipe responsável deverá estar preparada para fornecê-las de forma clara.

Logo, todo o processo de mapeamento deve considerar, também, o pressuposto de que ambas as hipóteses podem acontecer a qualquer momento. 

Como fazer a transferência de dados conforme a LGPD

A lei de proteção de dados irá impactar basicamente em dois tipos de transferências: a transferência de dados a terceiros e a transferência internacional de dados. 

Transferência de dados a terceiros

A transferência de dados a terceiros ocorre quando enviamos ou compartilhamos os dados pessoais com qualquer outra empresa ou entidade parceira. Pode ser o caso de um fornecedor, um consultor ou prestador de serviços.

Nesse caso, é importante entender que as prerrogativas da proteção de dados devem continuar sendo seguidas à risca, fazendo-se necessário o consentimento do titular e a transparência em relação à finalidade também na hora de fazer a transferência. 

Outro ponto importante é quando falamos sobre a flexibilização em relação ao tratamento de dados pessoais sensíveis, como ocorre no setor de saúde, por exemplo. A MP 869/2018 acrescentou à LGPD a proibição da comunicação ou uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde, com o objetivo de obter qualquer vantagem econômica. 

Em outras palavras, ela inibe que os dados pessoais sejam utilizados para a obtenção de lucros, na área da saúde. A exceção aparece apenas quando existe a necessidade de comunicação para a adequada prestação de serviços.  

Já as práticas de estudos em saúde pública terão o tratamento de dados limitados exclusivamente dentro do órgão (sem possibilidade de transferência) e estritamente para o objetivo do estudo. O poder público que tiver acesso a dados pessoais sensíveis, que não deveriam ser compartilhados, pode ser impedido de tratá-los, conforme regulamentação da autoridade nacional.

Transferências internacional de dados

A LGPD não vale apenas para empresas brasileiras. Empresas estrangeiras que atuem em território nacional também deverão respeitar as diretrizes da LGPD.

Isso significa que, mesmo que a matriz de uma multinacional, por exemplo, esteja situada em outro país, se atuar no Brasil, a empresa deve seguir os procedimentos impostos pela legislação. 

Porém, em caso de necessidade, existe a possibilidade de realizar transferência de dados para uma filial ou sede estrangeira, contanto que exista uma única condição: leis abrangentes de proteção de dados no país de destino. Em outras palavras, a transferência só será permitida para países que garantam um tratamento de dados equivalente aos exigidos no Brasil pela Lei Geral de Proteção de Dados. 

Quando ocorrer o término da necessidade efetiva, os dados devem ser excluídos como dita a LGPD. Exceções ocorrem apenas por força de lei.

Agora que você já sabe o que é necessário para estar em compliance com a lei, que tal conhecer soluções que podem ajudar a sua empresa a adequar seus processos?

Clique aqui e converse com um dos especialistas em privacidade de dados da Compugraf. Nós vamos te ajudar a ficar em conformidade com a lei o quanto antes!

A lei número 13.709/2018, também conhecida como Lei Geral de Proteção de Dados, ou LGPD, é a lei que dispõe sobre a proteção dos dados pessoais de todas as pessoas naturais em território brasileiro. Foi decretada pelo Congresso Nacional em 14 de agosto de 2018 e entrará em vigor em agosto de 2020. 

A lei acompanha um movimento internacional em prol da proteção de dados pessoais dos cidadãos de todo o mundo. Baseada diretamente na General Data Protection Rules da União Europeia, a regulamentação visa inibir que sejam coletados “dados em excesso”, bem como limita seu uso para fins com os quais seus titulares não tenham explicitamente concordado. 

Fundamentos da LGPD

A lei foi escrita em base de 7 fundamentos. São eles que delimitam o que é legal e o que é ilegal no que tange à proteção de dados, permeando os princípios e as bases legais da lei.

De acordo com o Artigo 2º da LGPD, são eles:

• I – o respeito à privacidade;
• II – a autodeterminação informativa;
• III – a liberdade de expressão, de informação, de comunicação e de opinião;
• IV – a inviolabilidade da intimidade, da honra e da imagem;
• V – o desenvolvimento econômico e tecnológico e a inovação;
• VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
• VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Mas o que isso significa?

O interesse dos titulares dos dados é que vai ditar quais dados serão coletados e como eles serão operados. Além disso, o titular é livre para solicitar qualquer informação a respeito do processo de tratamento, bem como solicitar a eliminação de seus dados da base de pessoas ou organizações que estejam em posse deles, se assim lhe convir.

Assim, a transparência e a garantia de privacidade se tornam os pilares de toda empresa que deseje se posicionar com credibilidade no mercado e de toda organização que preze por uma boa imagem junto ao público. 

Trata-se de um compromisso incontestável com a segurança e o respeito aos dados dos cidadãos brasileiros.

As diretrizes da LGPD

A lei elenca 10 princípios para o tratamento de dados pessoais. É com base nessas diretrizes que você deve realizar qualquer operação concernente aos dados, da coleta à sua utilização conforme os propósitos da empresa. 

Finalidade

Com a implantação da LGPD, todo e qualquer tratamento de dados pessoais deve ter um fim específico, explícito e claramente informado a seu titular. Isso significa que, além de informar quais dados deseja-se coletar, será necessário explicar para o que cada dado coletado será utilizado. 

O objetivo é assegurar que sejam coletados apenas os dados indispensáveis para o fim explicitado pela organização. Por exemplo, se uma organização precisa dos dados de um cliente para gerar um contrato de prestação de serviços, ela deve deixar bem claro que dados são esses (nome, telefone, RG, CPF, endereço, etc.) e o porquê de sua necessidade (identificação contratual). 

Com a lei, fica também vedada a modificação da finalidade durante o tratamento.

Adequação

Todos os dados pessoais devem estar de acordo com a finalidade informada. A razão pela qual a coleta será feita deve ter relação com o tipo de dado solicitado. Retomando o exemplo do contrato de prestação de serviços, não teria, a princípio, razão para se solicitar a data de nascimento do titular, certo? Mas, se no contrato consta que são prestados serviços personalizados na ocasião de aniversário, essa coleta pode ser justificada.

Necessidade

Deve-se utilizar os dados estritamente para alcançar as necessidades apresentadas pela empresa (identificação do indivíduo para geração do contrato de prestação de serviços, ainda conforme o exemplo). Qualquer desvio de conduta será punido.

Livre-acesso

Toda e qualquer pessoa física tem o direito de consultar, junto à organização, de forma simplificada e gratuita, todos os dados dos quais seja titular e que tenham sido coletados por dita organização. O que foi e o que será feito com esses dados, bem como por quanto tempo eles serão tratados, deve ser explicitado ao titular.

Qualidade dos Dados

Garante, aos titulares dos dados, a exatidão, a clareza, a relevância e a atualização constante dos dados, de acordo com a necessidade da organização e para o cumprimento da finalidade de seu tratamento, previamente informada ao titular. 

O nível de detalhamento e exatidão vai variar de acordo com a necessidade e finalidade do tratamento de dados.

Transparência

Os titulares dos dados têm direito a informações claras, precisas e facilmente acessíveis quanto aos responsáveis pelo tratamento de dados e à realização do tratamento de dados, observados os segredos comercial e industrial – isto é, respeitando as informações que as organizações mantêm como confidenciais junto às legislações pertinentes. 

Em caso de transferência de dados a terceiros, como fornecedores, por exemplo, o titular deve ser informado.

Segurança

É responsabilidade da organização buscar os meios, processos e a tecnologia necessária para garantir a proteção de dados pessoais. Deve-se impedir o acesso por terceiros não-autorizados, assim como tomar medidas preventivas para solucionar acidentes que possam vir a ocorrer.

Prevenção

As organizações devem tomar precauções para evitar danos em virtude do tratamento de dados, ou seja, impedir seu vazamento ou que sejam utilizados para fins que possam prejudicar seus titulares.

Não-Discriminação

De acordo com a lei, fica proibida a utilização de dados pessoais para discriminar ou promover qualquer forma de abuso contra seus titulares. Este princípio trata sobre dados pessoais sensíveis, como origem racial, étnica, religião, posicionamento político, saúde e similares.

Responsabilidade e Prestação de Contas

As organizações devem comprovar que estão seguindo todas as prerrogativas da LGPD, a fim de demonstrar boa-fé e diligência.

Bases legais da LGPD

Toda coleta e processamento de dados deverá se atentar à base jurídica imposta pela Lei Geral de Proteção de Dados, onde estão previstas hipóteses que poderiam tornar ilegais o tratamento de dados pessoais pelas organizações. As duas principais são:

Consentimento

Para a obtenção dos dados, é necessário e irrevogável o consentimento do titular destes dados. Em outras palavras, toda a informação coletada deve ser fornecida livremente pelos titulares, estando estes livres para escolher entre permitir ou negar a coleta de dados e solicitar sua exclusão da base de dados da organização quando conveniente.

Legítimo Interesse

Organizações e empresas poderão promover o tratamento de dados pessoais caso possuam finalidades legítimas, transparentes e partindo de situações concretas.

Como ressalva, apenas os dados pessoais estritamente necessários para a finalidade pretendida podem ser tratados, conforme explicamos anteriormente nos itens Finalidade e Adequação.

Atores, papéis e agentes da LGPD

A LGPD detalha em seu texto quatro agentes envolvidos nos processos de privacidade de dados:

Titular

A pessoa física proprietária dos dados pessoais.

Controlador

Quem coleta os dados pessoais e toma as decisões em relação a todo o processo de tratamento dos dados, razão de sua utilização e o tempo de armazenamento.

Operador

A organização ou pessoa física que vai realizar todo o processo de tratamento e processamentos dos dados pessoais coletados. O operador irá seguir as orientações do controlador.

Encarregado

A pessoa física, indicada pelo controlador, responsável pela comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados, que realizará a fiscalização do tratamento de dados. Também é responsável por orientar o controlador (seja organização ou pessoa física) sobre as melhores práticas em relação ao tratamento de dados.

Exceções da LGPD

A LGPD possui algumas exceções em sua atuação. Conforme elucidado pelo Artigo 4º da lei, elas incidem sobre:

Fins particulares e não-econômicos

Trata-se da coleta de dados realizada por pessoa natural para fins particulares e que não incida em qualquer tipo de ganho econômico. Observe que essa exceção se limita a pessoa natural; logo, isso significa que empresas sem fins lucrativos também respondem à LGPD.

Fins exclusivos

Faz referência a atividades às quais a lei não se aplica devido à natureza de sua finalidade, como:

• Jornalísticas e artísticas;
• Acadêmicas;
• De segurança pública;
• De defesa nacional;
• De segurança do Estado;
• Investigação e repressão de infrações penais.

Provenientes de fora do território nacional

Todos os dados coletados fora do território nacional que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamentos brasileiros ou transferência internacional de dados com outro país, desde que ele tenha algum tipo de legislação voltada à proteção de dados.

Além disso, todo e qualquer tratamento de dados deve ter um término e descarte previstos pela organização. Via de regra, os dados devem sempre ser excluídos pelos controladores. 

No entanto, existem 4 exceções admitidas pela lei, registradas no artigo 16:

Cumprimento legal ou mandato

Quando mantidos por força de lei – isto é, em casos determinados judicialmente -, os dados não devem ser descartados mesmo após o término do tratamento. 

Órgãos de pesquisa

Refere-se aos órgãos de pesquisa, determinando que os dados coletados podem ser mantidos. A exigência para isto é que os órgãos forneçam garantia de anonimização (quando dado perde a possibilidade de associação, direta ou indireta, a um indivíduo).

Transferência de dados a terceiros

Quando os dados forem transferidos a terceiros, existe a possibilidade de não-encerramento, uma vez que os dados estão sujeitos à necessidade de um mediador a mais. Não obstante, todas as diretrizes de tratamento de dados devem ser cumpridas.

Dados para uso exclusivo do controlador

Por outro lado, quando os dados são para uso exclusivo do controlador, é vedado qualquer acesso a terceiros, a não ser que os dados sejam anonimizados.

Conclusão

A adequação aos requisitos da lei pode ser desafiadora para a maioria das empresas. Mas é necessária e, se bem feita, trará benefícios à empresa, na medida em que demonstra seu compromisso com os direitos de seus clientes e potenciais clientes.

Quer conhecer soluções que vão te ajudar a estar em compliance com a lei? 

Clique aqui e converse com um dos especialistas em privacidade de dados da Compugraf. Nós vamos te ajudar a se adequar à lei o quanto antes!

Negócios são feitos de dados. 

Quem são seus consumidores? Como eles consomem? Onde consomem? Por que consomem? Como entrar em contato com eles? Como fazer com que consumam mais? O que oferecer? Quais são seus interesses? E suas necessidades? E seus hábitos?

Coletando dados pessoais, é possível responder a todas essas perguntas e muitas outras. Eles se tornaram tão valiosos para as empresas que receberam a alcunha de “moeda do século XXI”.

A contrapartida de terem se tornado tão valiosos é que começaram a ser coletados e utilizados indiscriminadamente. A polêmica recente envolvendo a Cambridge Analytica lançou alguma luz sobre o tema e atentou para a necessidade de um controle mais rígido sobre quais dados podem ou não ser aproveitados pelo mercado – e como.

Afinal, mais do que bens, dados pessoais são indicadores de individualidade, únicos e intransponíveis. É justo que sua individualidade seja comercializada?

A esse questionamento, a reação é o surgimento de uma série de leis e normas que visam proteger os direitos fundamentais de liberdade e privacidade dos indivíduos e inibir o uso desenfreado de suas informações pessoais.. 

Um dos destaques desse movimento é a General Data Protection Rules, criada na União Europeia e mais conhecida como GDPR. Da data da sua promulgação até agora, o impacto já foi sentido por gigantes como Google e Facebook, que estão sendo processadas em base das diretrizes da lei e, se condenadas, deverão desembolsar aproximadamente 8 bilhões de euros em reparações.

No Brasil, a resposta é a Lei Geral de Proteção de Dados, ou LGPD, baseada na lei europeia. 

Promulgada, entrará em vigor em agosto de 2020, a LGPD vai transformar a forma como os dados pessoais são manipulados no Brasil e, sobretudo, a forma como empresas brasileiras operam e fazem negócios.

Em uma realidade onde organizações públicas e privadas dos mais distintos setores – da Saúde à Educação – tratam grandes volumes de dados sem quaisquer protocolos ou transparência, é esperado que o impacto seja significativo e severo.

A sua empresa está preparada?

Neste artigo, vamos entender melhor as implicações da LGPD – da teoria à prática -, para que você entenda como estar em conformidade com a lei independentemente do tamanho da sua empresa e da sua área de atuação.

Eis os tópicos que vamos abordar: 

O que é a LGPD?
Fundamentos da LGPD
As diretrizes da LGPD
Bases legais da LGPD
Atores, papéis e agentes da LGPD
Exceções da LGPD
LGPD nas empresas
O que muda com a LGPD?
LGPD na prática
O que acontece se a empresa não seguir a LGPD?
Normas e resoluções que apoiam a LGPD
Tecnologias de suporte para implementação da LGPD nas empresas
Conclusão

O que é a LGPD?

A lei número 13.709/2018, também conhecida como Lei Geral de Proteção de Dados, ou LGPD, é a lei que dispõe sobre a proteção dos dados pessoais de todas as pessoas naturais em território brasileiro. Foi decretada pelo Congresso Nacional em 14 de agosto de 2018 e entrará em vigor em agosto de 2020. 

A lei acompanha um movimento internacional em prol da proteção de dados pessoais dos cidadãos de todo o mundo. Baseada diretamente na General Data Protection Rules da União Europeia, a regulamentação visa inibir que sejam coletados “dados em excesso”, bem como limita seu uso para fins com os quais seus titulares não tenham explicitamente concordado. 

Fundamentos da LGPD

A lei foi escrita em base de 7 fundamentos. São eles que delimitam o que é legal e o que é ilegal no que tange à proteção de dados, permeando os princípios e as bases legais da lei.

De acordo com o Artigo 2º da LGPD, são eles:

• I – o respeito à privacidade;
• II – a autodeterminação informativa;
• III – a liberdade de expressão, de informação, de comunicação e de opinião;
• IV – a inviolabilidade da intimidade, da honra e da imagem;
• V – o desenvolvimento econômico e tecnológico e a inovação;
• VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
• VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Mas o que isso significa?

O interesse dos titulares dos dados é que vai ditar quais dados serão coletados e como eles serão operados. Além disso, o titular é livre para solicitar qualquer informação a respeito do processo de tratamento, bem como solicitar a eliminação de seus dados da base de pessoas ou organizações que estejam em posse deles, se assim lhe convir.

Assim, a transparência e a garantia de privacidade se tornam os pilares de toda empresa que deseje se posicionar com credibilidade no mercado e de toda organização que preze por uma boa imagem junto ao público. 

Trata-se de um compromisso incontestável com a segurança e o respeito aos dados dos cidadãos brasileiros.

As diretrizes da LGPD

A lei elenca 10 princípios para o tratamento de dados pessoais. É com base nessas diretrizes que você deve realizar qualquer operação concernente aos dados, da coleta à sua utilização conforme os propósitos da empresa. 

Finalidade

Com a implantação da LGPD, todo e qualquer tratamento de dados pessoais deve ter um fim específico, explícito e claramente informado a seu titular. Isso significa que, além de informar quais dados deseja-se coletar, será necessário explicar para o que cada dado coletado será utilizado. 

O objetivo é assegurar que sejam coletados apenas os dados indispensáveis para o fim explicitado pela organização. Por exemplo, se uma organização precisa dos dados de um cliente para gerar um contrato de prestação de serviços, ela deve deixar bem claro que dados são esses (nome, telefone, RG, CPF, endereço, etc.) e o porquê de sua necessidade (identificação contratual). 

Com a lei, fica também vedada a modificação da finalidade durante o tratamento.

Adequação

Todos os dados pessoais devem estar de acordo com a finalidade informada. A razão pela qual a coleta será feita deve ter relação com o tipo de dado solicitado. Retomando o exemplo do contrato de prestação de serviços, não teria, a princípio, razão para se solicitar a data de nascimento do titular, certo? Mas, se no contrato consta que são prestados serviços personalizados na ocasião de aniversário, essa coleta pode ser justificada.

Necessidade

Deve-se utilizar os dados estritamente para alcançar as necessidades apresentadas pela empresa (identificação do indivíduo para geração do contrato de prestação de serviços, ainda conforme o exemplo). Qualquer desvio de conduta será punido.

Livre-acesso

Toda e qualquer pessoa física tem o direito de consultar, junto à organização, de forma simplificada e gratuita, todos os dados dos quais seja titular e que tenham sido coletados por dita organização. O que foi e o que será feito com esses dados, bem como por quanto tempo eles serão tratados, deve ser explicitado ao titular.

Qualidade dos Dados

Garante, aos titulares dos dados, a exatidão, a clareza, a relevância e a atualização constante dos dados, de acordo com a necessidade da organização e para o cumprimento da finalidade de seu tratamento, previamente informada ao titular. 

O nível de detalhamento e exatidão vai variar de acordo com a necessidade e finalidade do tratamento de dados.

Transparência

Os titulares dos dados têm direito a informações claras, precisas e facilmente acessíveis quanto aos responsáveis pelo tratamento de dados e à realização do tratamento de dados, observados os segredos comercial e industrial – isto é, respeitando as informações que as organizações mantêm como confidenciais junto às legislações pertinentes. 

Em caso de transferência de dados a terceiros, como fornecedores, por exemplo, o titular deve ser informado.

Segurança

É responsabilidade da organização buscar os meios, processos e a tecnologia necessária para garantir a proteção de dados pessoais. Deve-se impedir o acesso por terceiros não-autorizados, assim como tomar medidas preventivas para solucionar acidentes que possam vir a ocorrer.

Prevenção

As organizações devem tomar precauções para evitar danos em virtude do tratamento de dados, ou seja, impedir seu vazamento ou que sejam utilizados para fins que possam prejudicar seus titulares.

Não-Discriminação

De acordo com a lei, fica proibida a utilização de dados pessoais para discriminar ou promover qualquer forma de abuso contra seus titulares. Este princípio trata sobre dados pessoais sensíveis, como origem racial, étnica, religião, posicionamento político, saúde e similares.

Responsabilidade e Prestação de Contas

As organizações devem comprovar que estão seguindo todas as prerrogativas da LGPD, a fim de demonstrar boa-fé e diligência.

Bases legais da LGPD

Toda coleta e processamento de dados deverá se atentar à base jurídica imposta pela Lei Geral de Proteção de Dados, onde estão previstas hipóteses que poderiam tornar ilegais o tratamento de dados pessoais pelas organizações. As duas mais comentadas são:

Consentimento

Para a obtenção dos dados, é necessário e irrevogável o consentimento do titular destes

dados. Em outras palavras, toda a informação coletada deve ser fornecida livremente pelos titulares, estando estes livres para escolher entre permitir ou negar a coleta de dados e solicitar sua exclusão da base de dados da organização quando conveniente.

Legítimo Interesse

Organizações e empresas poderão promover o tratamento de dados pessoais caso possuam finalidades legítimas, transparentes e partindo de situações concretas.

Como ressalva, apenas os dados pessoais estritamente necessários para a finalidade pretendida podem ser tratados, conforme explicamos anteriormente nos itens Finalidade e Adequação.

Atores, papéis e agentes da LGPD

A LGPD detalha em seu texto quatro envolvidos nos processos de privacidade de dados:

Titular

A pessoa física proprietária dos dados pessoais.

Controlador

Quem coleta os dados pessoais e toma as decisões em relação a todo o processo de tratamento dos dados, razão de sua utilização e o tempo de armazenamento.

Operador

A organização ou pessoa física que vai realizar todo o processo de

tratamento e processamentos dos dados pessoais coletados. O operador irá seguir as orientações do controlador.

Encarregado

A pessoa física, indicada pelo controlador, responsável pela comunicação

entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados, que realizará a fiscalização do tratamento de dados. Também é responsável por orientar o controlador (seja organização ou pessoa física) sobre as melhores práticas em relação ao tratamento de dados.

Exceções da LGPD

A LGPD discorre sobre algumas exceções em sua atuação. Conforme elucidado pelo Artigo 4º da lei, elas incidem sobre:

Fins particulares e não-econômicos

Trata-se da coleta de dados realizada por pessoa natural para fins particulares e que não incida em qualquer tipo de ganho econômico. Observe que essa exceção se limita a pessoa natural; logo, isso significa que empresas sem fins lucrativos também respondem à LGPD.

Fins exclusivos

Faz referência a atividades às quais a lei não se aplica devido à natureza de sua finalidade, como:

• Jornalísticas e artísticas;
• Acadêmicas;
• De segurança pública;
• De defesa nacional;
• De segurança do Estado;
• Investigação e repressão de infrações penais.

Provenientes de fora do território nacional

Todos os dados coletados fora do território nacional que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamentos brasileiros ou transferência internacional de dados com outro país, desde que ele tenha algum tipo de legislação voltada à proteção de dados.

Além disso, todo e qualquer tratamento de dados deve ter um término e descarte previstos pela organização. Via de regra, os dados devem sempre ser excluídos pelos controladores. 

No entanto, existem 4 exceções admitidas pela lei, registradas no artigo 16:

Cumprimento legal ou mandato

Quando mantidos por força de lei – isto é, em casos determinados judicialmente -, os dados não devem ser descartados mesmo após o término do tratamento. 

Órgãos de pesquisa

Refere-se aos órgãos de pesquisa, determinando que os dados coletados podem ser mantidos. A exigência para isto é que os órgãos forneçam garantia de anonimização (quando dado perde a possibilidade de associação, direta ou indireta, a um indivíduo).

Transferência de dados a terceiros

Quando os dados forem transferidos a terceiros, existe a possibilidade de não-encerramento, uma vez que os dados estão sujeitos à necessidade de um mediador a mais. Não obstante, todas as diretrizes de tratamento de dados devem ser cumpridas.

Dados para uso exclusivo do controlador

Por outro lado, quando os dados são para uso exclusivo do controlador, é vedado qualquer acesso a terceiros, a não ser que os dados sejam anonimizados.

LGPD nas empresas

A LGPD irá afetar decisivamente todas as pessoas jurídicas, administrações públicas,

varejo (B2B ou B2C) e, em alguns casos específicos, pessoas físicas. De modo geral, toda entidade que lidar com dados pessoais, por menor que seja, será contemplada pela lei. 

Nisso são incluídas também atividades de tratamento realizadas fora do país, mas que tenham como objetivo a oferta e/ou fornecimento de bens e serviços no Brasil.

Como a LGPD vai afetar sua empresa

A Lei Geral de Proteção de Dados vai entrar em vigor em agosto de 2020 e, com ela,  é esperado um impacto significativo no ambiente empresarial brasileiro. Até essa data, é essencial que as organizações, especialmente aquelas que tratam um grande volume de dados pessoais, estejam em compliance com a LGPD.

A questão é que o tratamento de dados não se limita aos dados pessoais de clientes. Os dados pessoais de colaboradores também são contemplados pela nova lei.

Dá para imaginar a complexidade dessa adequação, não é?

Na Europa, onde a General Data Protection Regulation (GDPR) já está em vigor desde de maio de 2018, o impacto foi imediato. Gigantes como Facebook e Google, por exemplo, foram acionados judicialmente e multados em bilhões de euros. 

A ideia da LGPD é causar o mesmo efeito no Brasil, fortalecendo os direitos pessoais e a segurança dos dados dos cidadãos.

O compliance à LGPD é uma questão de imagem

Dados pessoais são a identidade de uma pessoa e não existe bem maior do que a nossa identidade. Ela é intransferível e, sobretudo, inestimável. Em razão disso, os dados pessoais são o maior bem de um indivíduo e é natural que queiram preservá-los. 

Amparados pela lei e, possivelmente, pela Constituição Federal, qualquer prejuízo decorrente do tratamento inadequado dos dados pessoais será uma ação ilegal e, dependendo da aprovação da PEC 17/2019, anticonstitucional.

Finalmente, a julgar pela consulta pública realizada pelo Senado, aproximadamente 95% dos brasileiros concordam com a constitucionalidade da proteção aos dados pessoais. Sendo assim, a pressão pública, na mesma medida que a força da lei, dão uma dimensão da importância do compliance. 

Uma empresa que não garanta a privacidade dos dados pode sofrer prejuízos muito maiores do que o de dinheiro. Pode perder sua credibilidade no mercado, a confiança dos consumidores e a força da sua marca. 

O que muda, na prática, com a LGPD?

O time de TI, o time Comercial, o time de RH, o time de Marketing, o time de Vendas, o time Financeiro, enfim, qualquer um que lide com dados, seja online ou offline, será afetado pela LGPD. 

De forma geral, isso significa que os fluxos de operação de dados deverão ser mais cuidadosos e transparentes. Mas como garantir a proliferação de um comportamento que priorize a segurança e a privacidade por todos na empresa?

O nascimento do DPO

Com a implantação da Lei Geral de Proteção de Dados, entra em cena um novo profissional: o Data Protection Officer (DPO). 

Pela lei, ele é o encarregado – o intermediador entre os titulares dos dados, as empresas e a fiscalização. “Importado” da General Data Protection Regulation (GDPR), a ocupação é novidade para a grande maioria das empresas e pode gerar alguma confusão na hora de criar um projeto de compliance. 

Acontece que, de acordo com a LGPD, é obrigatório ter um encarregado, mas não é obrigatório que ele seja um DPO. Porém, o profissional que melhor se enquadra no que se exige de um encarregado, considerando os exemplos lá de fora, é o DPO. 

Complicado? Pois é. Mas vamos simplificar.

Basicamente, é preciso contar com um profissional designado para administrar todo o fluxo de informações, da coleta e tratamento à exclusão dos dados ao fim da operação ou quando solicitado pelo titular. 

Assim, podemos resumir suas funções nos seguintes itens:

• Administrar o fluxo de dados;
• Orientar funcionários;
• Fazer a conexão entre a organização e a ANPD;
• Fiscalizar as práticas da organização.

Esse profissional deve possuir autonomia o suficiente, pois irá exercer diversas funções que muitas vezes não são desenvolvidas com uma única área de conhecimento. Portanto, o ideal é que ele seja alguém que possua uma boa formação interdisciplinar.

Ele deverá ter ao menos as seguintes características.

• Conhecimento das novas legislações;
• Conhecimento de governança e base de dados pessoais;
• Conhecimento sobre segurança da informação;
• Habilidade de posicionamento perante a ANPD e os titulares da base de dados;
• Habilidade de fiscalização;
• Habilidade em tomar decisões diante de situações de risco;
• Habilidade no treinamento de funcionários.

A LGPD determina que o controlador – neste caso, a organização – deve indicar um encarregado. Empresas maiores, que seguem modelos internacionais, geralmente encontram em um membro do seu corpo jurídico o profissional mais adequado e já contam com o profissional em plena atuação, sob o título de DPO mesmo. É altamente provável que esse modelo seja replicado para a maioria dos casos. 

Mas, para quem tudo é novidade, a complicação é um pouco maior. O DPO, ou o encarregado, não possui uma formação específica elucidada pela lei e, no país, o perfil ainda está em formação. Além disso, é uma função de extrema responsabilidade e nem sempre os profissionais mais indicados vão se sentir confortáveis para assumir esse compromisso.

Alguns perfis têm se destacado no mercado como os mais preparados para assumir a função. Geralmente, eles têm:

• Formação em riscos
• Formação em compliance
• Formação em tecnologia e segurança

Na eventualidade de não haver, na empresa, alguém adequado ao cargo de DPO, mas sendo o encarregado uma função obrigatória para a conformidade com a lei, o serviço pode ser terceirizado para uma consultoria.

Os formatos e modelos ainda serão definidos pelo mercado, porém já existem escritórios de advocacia especializados em direito digital, por exemplo, prestando esse tipo de serviço.

Qual o envolvimento da TI no projeto?

A equipe de Tecnologia da Informação terá um papel fundamental no projeto de compliance, sendo a responsável pela implementação prática da LGPD. Ela vai cuidar da implantação e adequação de sistemas em compliance com a lei, do desenvolvimento dos fluxos de operação e, sobretudo, da segurança dos dados nos ambientes digitais. 

Sendo assim, o ideal é que seja fornecido um treinamento em LGPD à equipe de TI, facilitando o alinhamento do setor com a visão do compliance. 

Mas qual é o setor da empresa responsável por gerir a LGPD? A TI, o jurídico ou outros?

Tanto o jurídico quanto a TI tem forte tendência a assumir grandes responsabilidades, mas o ideal é que o compliance não se limite a nenhum dos dois. É preciso criar uma Cultura da Privacidade, unindo gestores de variados setores da empresa em um comitê multidisciplinar de conformidade.

O comitê não é obrigatório, no texto da lei, mas pode ser muito mais benéfico para as organizações, uma vez que facilita o alinhamento das equipes em prol de um bem comum.

Jurídico, Governança, TI, Financeiro, Marketing, RH – é importantes que os principais afetados pela lei participem das reuniões de compliance, a fim de que todos sigam sempre pelo mesmo caminho quando o tema for proteção de dados.

Desse modo, evita-se que o time de Marketing e RH, por exemplo, tome decisões que não sigam as orientações do Jurídico – como a utilização de um sistema que não esteja em compliance com a LGPD – o que poderia, futuramente, dificultar o trabalho da TI e do Financeiro, dentre outros cenários prejudiciais à empresa como um todo. 

Contudo, para todos os casos teremos o encarregado encabeçando o comitê, seja ele um DPO ou não (verificar tópico anterior), que vai representar a empresa se e quando houver a necessidade de prestar contas para a fiscalização.

LGPD na prática: como adequar sua empresa

Você já entendeu a teoria. E agora? Como adequar seu dia a dia para que as operações estejam em compliance com a lei?

É o que veremos a seguir:

Coleta de dados

A finalidade, a necessidade e o consentimento são os princípios que permeiam uma coleta de dados em compliance com a LGPD.

Sendo assim, será necessário que o titular esteja explicitamente de acordo em ceder os dados que a empresa determinar como imprescindíveis para que ela alcance determinado objetivo. Isso poderá ser feito por meio de formulários específicos, personalizados conforme a necessidade.

Vamos voltar ao exemplo do contrato, lá do começo do texto? Na hora de criar uma ficha ou formulário para solicitar os dados, eles devem seguir a lógica:

• Finalidade: identificação do indivíduo para contrato de prestação de serviços;
• Necessidade: os dados sem os quais não é possível fazer a identificação contratual (nome, RG, CPF, endereço, telefone, etc.)
• Consentimento: deve haver uma cláusula no contrato que esclareça que o indivíduo concordou em ceder os dados para o fim disposto no contrato.

Todos esses pontos devem estar claros para o titular dos dados e, se algum não estiver, ele deve ter condições de solicitar o esclarecimento junto à empresa.

O modelo se aplica a todo tipo de coleta, variando apenas os detalhes conforme a finalidade e a necessidade para cada caso. 

Mapeamento de dados

O mapeamento dos dados pessoais é a principal ação a ser tomada na sua gestão de riscos. Ele envolve tanto os dados de clientes quanto os de colaboradores e é o que vai garantir que a sua empresa está em conformidade com a lei. 

Esse processo tem como objetivo identificar quais dados estão em posse da empresa e assegurar sua privacidade dos dados, salvaguardando empresas que porventura possam vir a enfrentar problemas como vazamentos, denúncias e afins. 

A adequação pode ser um processo demorado, dependendo do estágio de aderência da empresa à Lei Geral de Proteção de Dados, mas é imprescindível.

Algumas etapas simples a serem seguidas:

Mapear e inventariar os dados tratados pela empresa

Com que dados sua empresa lida? Onde estão armazenados? Como foram adquiridos? Qual a finalidade de cada dado? 

Respondendo a essas perguntas, você já tem um bom norte. Depois, é importante identificar qual o fluxo dos dados, isto é, como eles entram, quem os coleta, onde são guardados, como serão eliminados, dentre outros processos comuns. 

Lembrando que isso inclui tanto os dados online – oriundos de ERPs, CRMs e afins – quanto os dados offline. Sabe aquela ficha cadastral que o cliente preencheu e assinou pro Financeiro e tá guardado dentro de uma pasta dentro de um arquivo dentro de uma sala isolada? Então. Isso também deve ser mapeado. 

Mapear os agentes envolvidos em todo o processo do controle de dados

Quem serão os operadores dos dados? Quem vai gerir o fluxo dos dados? Quem vai supervisionar a equipe? É importante poder identificar os agentes envolvidos na garantia de privacidade. 

Também é fundamental, no caso de haver compartilhamento de dados com terceiros, detalhar como ele é feito e quem são os responsáveis pelo tratamento desses dados também do lado de lá, na empresa receptora. 

Conheça o perfil de todos os usuários envolvidos e entenda os níveis hierárquicos de acesso, para garantir que ele seja feito somente por pessoal autorizado em todas as etapas do tratamento.

Mapear as ferramentas e processos envolvidos no tratamento dos dados

Outro aspecto fundamental do mapeamento é entender quais são os sistemas que a sua empresa utiliza para armazenar os dados pessoais. 

É preciso incluir desde aplicativos, serviços e programas do dia a dia que de alguma forma armazenem dados – como Whatsapp, Google Drive, Gmail, etc. – a sistemas de suporte ao marketing, vendas, recursos humanos e todos os setores cabíveis – como Salesforce, RD Station, ERPs, dentre outros.

Finalmente, após mapeá-los, é válido incluir que tipos de dados cada sistema identificado armazena.

Compreenda todo o escopo do seu negócio, sabendo até onde a lei se aplica dentro dele

É importante entender como a empresa funciona em todas as suas esferas e identificar as áreas com maior acesso a dados pessoais em suas operações. Departamentos de Marketing, Vendas, Recursos Humanos e Comercial são alguns exemplos. Busque compreender como o compliance à lei vai afetar o trabalho de seus colaboradores e o que pode ser feito para facilitar o tratamento dos dados em conformidade à LGPD.

Para isso, vale realizar um trabalho em conjunto com as áreas de gerenciamento de riscos, visando a identificação de algum controle interno que possa dificultar o cumprimento de alguns princípios estabelecidos na LGPD. A partir de seus resultados, compreenda quais são os objetivos e finalidades da empresa, a fim de analisar os dados que efetivamente são necessários para atingir esses objetivos.

O próximo passo é definir, junto de todas as áreas envolvidas, o fluxo de operação desses dados, especialmente no que se refere à sua eliminação. Aqui, é preciso estar atento a alguns pontos:

• Em quais situações os dados serão descartados?
• Como os dados serão descartados?
• Quem é o responsável pelo descarte?
• Qual o processo de formalização do descarte?

Vale ter sempre em mente que se o titular solicitar a eliminação dos dados ou quaisquer informações concernentes ao seu tratamento, bem como na eventualidade de uma visita da fiscalização, a equipe responsável deverá estar preparada para fornecê-las de forma clara.

Logo, todo o processo de mapeamento deve considerar, também, o pressuposto de que ambas as hipóteses podem acontecer a qualquer momento. 

Como fazer a transferência de dados conforme a LGPD?

A lei de proteção de dados irá impactar basicamente em dois tipos de transferências: a transferência de dados a terceiros e a transferência internacional de dados. 

A seguir, elucidamos ambas:

Transferência de dados a terceiros

A transferência de dados a terceiros ocorre quando enviamos ou compartilhamos os dados pessoais com qualquer outra empresa ou entidade parceira. Pode ser o caso de um fornecedor, um consultor ou prestador de serviços.

Nesse caso, é importante entender que as prerrogativas da proteção de dados devem continuar sendo seguidas à risca, fazendo-se necessário o consentimento do titular e a transparência em relação à finalidade também na hora de fazer a transferência. 

Outro ponto importante é quando falamos sobre a flexibilização em relação ao tratamento de dados pessoais sensíveis, como ocorre no setor de saúde, por exemplo. A MP 869/2018 acrescentou à LGPD a proibição da comunicação ou uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde, com o objetivo de obter qualquer vantagem econômica. 

Em outras palavras, ela inibe que os dados pessoais sejam utilizados para a obtenção de lucros, na área da saúde. A exceção aparece apenas quando existe a necessidade de comunicação para a adequada prestação de serviços.  

Já as práticas de estudos em saúde pública terão o tratamento de dados limitados exclusivamente dentro do órgão (sem possibilidade de transferência) e estritamente para o objetivo do estudo. O poder público que tiver acesso a dados pessoais sensíveis, que não deveriam ser compartilhados, pode ser impedido de tratá-los, conforme regulamentação da autoridade nacional.

Transferências internacional de dados

A LGPD não vale apenas para empresas brasileiras. Empresas estrangeiras que atuem em território nacional também deverão respeitar as diretrizes da LGPD.

Isso significa que, mesmo que a matriz de uma multinacional, por exemplo, esteja situada em outro país, se atuar no Brasil, a empresa deve seguir os procedimentos impostos pela legislação. 

Porém, em caso de necessidade, existe a possibilidade de realizar transferência de dados para uma filial ou sede estrangeira, contanto que exista uma única condição: leis abrangentes de proteção de dados no país de destino. Em outras palavras, a transferência só será permitida para países que garantam um tratamento de dados equivalente aos exigidos no Brasil pela Lei Geral de Proteção de Dados. 

Quando ocorrer o término da necessidade efetiva, os dados devem ser excluídos como dita a LGPD. Exceções ocorrem apenas por força de lei.

O que acontece se a empresa não seguir a LGPD?

Parece um trabalhão – e é. Mas as consequências de não estar em compliance com a LGPD dão mais trabalho ainda, além de acarretar em prejuízos diversos. 

Aqui, vamos falar um pouco das sanções e danos oriundos da não-conformidade com a lei. Continue conosco!

A ANPD

No dia 09 de julho de 2019, foi publicada a Lei nº 13.853/2019, que cria a Autoridade Nacional de Proteção de Dados no Brasil, ou ANPD. 

A ANPD entra para a lista das diversas siglas de órgãos governamentais (ANCINE, ANVISA, ANATEL, etc.) e será a responsável por fiscalizar a correta adoção da coleta, tratamento e compartilhamento de dados pessoais – essencial para o bom andamento e a correta implementação da LGPD no país.

Seu objetivo, portanto, é fiscalizar, controlar e, se for o caso, multar as empresas que lidam com dados pessoais e privacidade.

Ela é o grau máximo, hierarquicamente, na esfera administrativa da Lei Geral de Proteção de Dados. Este fator não elimina o poder de fiscalização de outros órgãos, apenas define a limitação de suas competências.

Dentre as principais atribuições da ANPD, temos: 

• Estabelecer os padrões técnicos para o cumprimento da lei; 
• Determinar os requisitos necessários para a elaboração dos Relatórios de Impacto;
• Fiscalização e aplicação de advertências, multas e demais sanções;
• Celebrar compromissos com as empresas;
• Comunicar às autoridades competentes as infrações penais das quais obtiver o conhecimento;
• Receber e processar toda e qualquer reclamação de pessoa física titular de dados;
• Atividades para difundir e educar a população sobre a LGPD.

A cargo dessas atribuições, teremos um conjunto de profissionais distribuídos por diferentes setores.

A estrutura da ANPD

A Autoridade Nacional de Proteção de Dados foi criada com uma estrutura que se organiza em 6 setores:

Conselho Diretor

Será formado por 5 membros, responsáveis por administrar, planejar e tomar decisões pertinentes ao bom funcionamento da LGDP. Um Diretor-Presidente será designado para encabeçar o Conselho.

Conselho Nacional de Proteção de Dados Pessoais e da Privacidade 

Possuindo uma formação de diversos nichos, será composto por 23 membros da sociedade, sem direito a voto nas tomadas de decisões da ANPD. Conforme o Artigo 58 da lei, desses 23, serão: 

• 5 (cinco) do Poder Executivo federal;
• 1 (um) do Senado Federal; 
• 1 (um) da Câmara dos Deputados; 
• 1 (um) do Conselho Nacional de Justiça;
• 1 (um) do Conselho Nacional do Ministério Público;
• 1 (um) do Comitê Gestor da Internet no Brasil; 
• 3 (três) de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais;
• 3 (três) de instituições científicas, tecnológicas e de inovação; 
• 3 (três) de confederações sindicais representativas das categorias econômicas do setor produtivo;
• 2 (dois) de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e 
• 2 (dois) de entidades representativas do setor laboral.

Corregedoria

Setor especializado na apuração de erros ou práticas que não estejam em conformidade com a lei. Em caso de erros dos agentes públicos, o setor será o responsável por aplicar as penalidades necessárias.

Ouvidoria

Especializado em atender a população, é a ponte entre os titulares dos dados e a ANPD, responsável por atender a reclamações, dúvidas e mensagens, em geral.

Órgão de assessoramento jurídico próprio 

É o setor especializado em consultoria e assistência jurídica na aplicação da LGPD, para pessoas físicas e jurídicas. É quem vai apoiar a implementação da lei esclarecendo as principais dificuldades que possam ser apresentadas durante os projetos de compliance.

Unidades administrativas e especializadas

Setor formado por diversos órgãos, que serão os responsáveis diretos pela aplicação do que dispõe a Lei Geral de Proteção de Dados.

Porém, como foi criada muito recentemente, a real atuação da ANPD será revelada de forma fracionada. Até agosto de 2020, quando a LGPD entrar em pleno vigor, teremos condições de saber o real funcionamento da ANPD. Por enquanto podemos nos basear em agências internacionais similares e ficarmos atentos a qualquer movimentação.

Sanções da LGPD

Ao sancionar a Lei Geral de Proteção de Dados, o governo brasileiro espera que todas as empresas sigam seus requisitos. Porém, em caso de organizações infratoras, existem punições previstas no texto que vão desde uma advertência até uma multa de até 50 milhões de reais.

O intuito da lei é criar uma cultura de privacidade no ambiente de negócios brasileiro. Por essa razão, as penalidades sempre seguirão critérios objetivos, de modo que a valorização da cultura de proteção de dados seja incentivada, enquanto a de displicência, punida.

Se o controlador (empresas e organizações) não cumprir com o exigido, a ANPD é a responsável por aplicar advertências, penalidades e, dependendo da gravidade do caso, multas, como veremos a seguir:

Advertência

A ANPD pode advertir formalmente uma organização a fim de permitir que ela corrija as infrações sem maiores consequências. Será fornecido um prazo para adoção das medidas corretivas determinadas pelo órgão. 

Multa simples

O valor da multa será de até 2% do faturamento da pessoa jurídica no seu último exercício. O teto será de R$ 50 milhões por infração e os valores das multas arrecadadas com a fiscalização da ANPD em conformidade com a Lei Geral de Proteção de dados serão destinados ao Fundo de Defesa de Direitos Difusos.

Multa diária

Além da multa simples, poderá ser instituída uma multa diária. O limite continua sendo de R$ 50 milhões por infração.

Publicitação da Infração

Divulgação pública da infração da empresa, nos meios de comunicação pertinentes, explicitando os delitos cometidos em toda a sua extensão.

Bloqueio dos Dados Pessoais

Os dados a que se referirem à infração serão bloqueados até que as autoridades competentes solucionem o caso. Impossibilitando o manejo e, por consequência, qualquer tipo de atividade ligados a eles.

Eliminação de Dados Pessoais

Os dados que caracterizaram a infração deverão ser apagados do sistema da empresa, ocasionando na perda de todo investimento efetuado na captação de tratamento desses dados.

Por que não seguir a LGPD significa perda de dinheiro a longo prazo para a sua empresa?

Além do aspecto financeiro, existem algumas desvantagens a longo prazo para quem não seguir a LGPD:

Prejuízo à imagem

De forma geral, uma empresa depende de sua reputação para sobreviver e, sobretudo, prosperar. Uma organização com a imagem arranhada pode sucumbir à concorrência. 

Como disse o investidor e filantropo Warren Buffet: 

“Se você perder dólares da empresa por uma decisão ruim, eu entenderei. Mas, se você perder a reputação de uma empresa, eu serei impiedoso.” 

Isso porque o impacto de um dano do tipo na empresa vai muito além da perda de dinheiro. Significa um comprometimento do principal ativo de qualquer organização: sua credibilidade. 

Prejuízo financeiro

Uma consequência direta da perda de credibilidade é a perda de dinheiro. Porém, esta não é a única possível causa de uma perda massiva de capital quando nos referimos à falta de conformidade com a LGPD. 

Supondo que a ANPD de fato entre com um processo contra a sua empresa, ela correrá o risco de perder acesso ao seu principal ativo de trabalho: os dados envolvidos na infração. Ou seja, não poderá vender, emitir notas, divulgar, nem mesmo editá-los!

E como a implementação ainda é novidade no país, não existe realmente um prazo concreto para todo esse processo ocorrer. O ideal, portanto, é não deixar que o destino de sua organização fique nas mãos do judiciário brasileiro.

Possível inconstitucionalidade

O Senado aprovou, no dia 02 de julho de 2019, a PEC 17/2019. Em suma, ela diz que a proteção de dados pessoais em meios digitais será incluída na lista de garantias individuais da Constituição Federal. O autor, Senador Eduardo Gomes (MDB-TO), diz que a proteção de dados pessoais é uma continuação da proteção de intimidade. Caso seja aprovada em todas as instâncias, a proteção de dados se torna constitucional e um direito de todo e qualquer cidadão brasileiro.

Na prática, isso significa que uma empresa que esteja em desacordo com a Lei Geral de Proteção de Dados poderá estar infringindo um direito básico do cidadão, o que, em linhas gerais, torna a própria empresa inconstitucional e exposta a todo o rigor da lei.

Ou seja: é mais lucrativo seguir a lei

De forma geral, é mais lucrativo – ou menos prejudicial – seguir a Lei Geral de Proteção de Dados. 

Mesmo em organizações que possam absorver o valor de 2% da multa, provavelmente o dano em credibilidade será o suficiente para convencê-las do contrário. 

A boa notícia é que, seguindo os precedentes de nosso judiciário e pelos princípios postos em lei, existem maneiras de se salvaguardar. A criação de relatórios de impacto, a cooperação com as autoridades e a total transparência nos processos fazem com que o ambiente se torne mais seguro para quem seguir fielmente a legislação.

Normas e resoluções que apoiam a LGPD

Muito além da Lei Geral de Proteção de Dados, existem outras regulamentações brasileiras e internacionais com o objetivo de assegurar a proteção dos dados pessoais. 

Algumas delas contribuíram para a criação da LGPD, seja influenciando diretamente em sua criação ou agindo em seu campo de atuação, e expandem a noção de como a lei deve operar, servindo de referência para sua aplicação:

Resolução 4.658 do BACEN

A resolução BACEN 4658 obriga as instituições reguladas pelo Banco Central a desenvolverem políticas de segurança cibernéticas, com um plano de ação para respostas a possíveis incidentes, assim como um planejamento para a continuidade dos negócios. 

Ela também estipula requisitos na contratação de serviços terceirizados e na nuvem e determina criação de uma política cibernética, que contempla, no mínimo:

• Objetivos de segurança cibernética
• Procedimentos e controles para reduzir a vulnerabilidade à acidentes
• Controles específicos para a segurança de dados sensíveis
• Registro e análise das causas e impactos de incidentes

Além disso, especifica os procedimentos e controles tecnológicos no intuito de reduzir a vulnerabilidade da instituição. Os requisitos mínimos para isso são:

• Autenticação do usuário
• Criptografia do sistema
• Prevenção e detecção de intrusos
• Prevenção de vazamento dos dados
• Testes e varreduras periódicas para detectar vulnerabilidade do sistema
• Proteção contra softwares maliciosos
• Implantação de mecanismos de rastreio
• Controle de acesso e segmentação da rede
• Manutenção das cópias de segurança dos dados

A resolução foi aprovada em 26 de abril de 2018 pelo Conselho Monetário Nacional e entrou em vigor imediatamente.

PCI-DSS

O Payment Card Industry – Data Security Standard (PCI-DSS) é um padrão de mercado que garante a segurança no uso de cartões de crédito e foi criado por uma união privada de grandes operadoras, como American Express e Discover Financial Services, na forma de um conselho de avaliação das condições de segurança no uso de seus cartões.

As diretrizes do PCI-DSS se aplicam a todos os elementos dos sistemas que participam do processamento de dados de cartão de crédito, indo dos componentes de rede, servidores e aplicativos aos gerenciadores de bancos de dados, que participam quando um número de cartão de crédito é transmitido, processado ou armazenado em uma transação comercial (durante uma compra online, por exemplo)

Para que o processamento digital do cartão de crédito seja feito de forma segura, o PCI-DSS define uma série de requisitos:

• Construir e manter uma rede segura;
• Proteger as informações dos portadores de cartão;
• Manter um programa de gerenciamento de vulnerabilidades;
• Implementar medidas fortes de controle de acesso;
• Monitorar e testar as redes regularmente;
• Manter uma política de segurança da informação.

Mas, apesar de ser um importante regulador de segurança, não é uma determinação legal, isto é, não é uma norma, e sim uma certificação de boas práticas. 

ISO 27001 e ISO 27002

A International Organization for Standardization (ISO) é uma organização  sediada em Genebra, na Suíça, cujo propósito é desenvolver e promover normas que possam ser utilizadas igualmente por todos os países do mundo.

Nesse cenário, a ISO 27001 é a norma internacional que define os requisitos para Sistemas de Gestão de Segurança da Informação (SGSI), auxiliando empresas a adotarem um sistema de gestão da segurança da informação que reduza os riscos de segurança aos seus ativos (dados).

Já a ISO/IEC 27002 é um código de práticas que favorece a aplicação do SGSI, funcionando como um guia de implementação  do sistema, onde são descritos quais controles devem ser estabelecidos e de que forma. Ela tem como base uma avaliação de riscos dos ativos mais importantes da empresa e concernem principalmente às equipes de TI, de modo geral.

Marco Civil da Internet

Trata-se da lei nº 12.965/14, que regulamenta a utilização da internet e estabelece princípios e garantias para tornar a rede livre e democrática no Brasil. 

A lei está em vigor desde 23 de junho de 2014, com o intuito de assegurar os direitos e os deveres dos usuários e das empresas provedoras de acesso e serviços online.

Dentre os pontos abordados pelo Marco Civil da Internet, temos o da privacidade. De acordo com ele, os provedores de internet só poderiam guardar registros de conexão dos usuários por no máximo um ano, sendo também proibido armazenar e monitorar informações pessoais e histórico de navegação. 

Já empresas, nacionais ou estrangeiras, devem armazenar informações por no máximo seis meses. Autoridades só podem acessar dados pessoais com ordem judicial.

No entanto, em bom português, a lei “não colou”. Pouco se discutiu sobre essa questão à época de sua implementação e pouco foi feito em termos de regulamentação prática. O marco, porém, pode vir a complementar a LGPD, especialmente no que diz respeito à atuação online. 

Código de Defesa do Consumidor

Finalmente, temos a lei nº 8.078 de 11 de setembro de 1990, popularmente conhecida como Código de Defesa do Consumidor. 

Ela trata das relações de consumo nas esferas civil, administrativa e penal, definindo as responsabilidades e os mecanismos para a reparação de danos causados, os mecanismos para o poder público atuar nas relações de consumo e estabelecendo possíveis infrações e  as sanções pertinentes.

Até a atuação efetiva da LGPD, o Código de Defesa do Consumidor é quem dá amparo em casos de vazamentos de dados ou danos oriundos do descuido com dados pessoais de consumidores, uma vez que podem ser enquadrados pela Justiça como danos morais e materiais ao consumidor.

Foi o que aconteceu no caso da Netshoes, por exemplo. O vazamento de duas listas de credenciais entre 2017 e 2018 custou R$ 500 mil à empresa como indenização por danos morais – um acordo fechado com o Ministério Público do Distrito Federal e Território (MPDFT), que, na ausência, à época, de um órgão exclusivo para o este fim, fez o que agora será trabalho da ANPD.

Tecnologias de suporte para implementação da LGPD na empresa

Quanto maior e mais complexa for a sua empresa, maiores serão os desafios no desenvolvimento de uma cultura de privacidade. Mas, se você leu até aqui, já entendeu a importância do compliance à LGPD e sabe que não tem como fugir: a lei vai bater à porta, mais cedo ou mais tarde.

Em empresas e organizações menores, o início de implementação da Lei Geral de Proteção de Dados não deve ser muito complexo. Porém, quando nos referimos a empresas maiores, especialmente as que possuem conselhos para tomadas de decisões, a demora em iniciar o processo pode ser prejudicial para todos.

Por isso, o primeiro passo é definir quem serão os responsáveis pelo projeto de compliance. Se for decidida a criação de um comitê, é hora de escolher quem vai representar cada setor. Também é interessante providenciar os primeiros treinamentos para as equipes.

Outro aspecto relevante a se ter em mente é que o bom e velho “atualizamos nossa política de privacidade” será insuficiente quando o prazo terminar. Será necessário pensar em soluções que facilitem o trabalho em conformidade com a lei.

Nesse cenário, vale considerar a contratação de um software para auxiliar no controle das operações.

Ter um sistema de gerenciamento de privacidade de dados compensa?

O mapeamento de dados e a adequação da empresa à LGPD requer um trabalho intenso e complexo. Infelizmente, não há muito o que fazer quanto a isso.

Porém, ter um sistema de gerenciamento de privacidade de dados compensa na medida que:

Facilita o acesso à informação por parte dos operadores

Sempre que o titular dos dados solicitar informações sobre a existência ou o acesso aos seus dados pessoais, a empresa deve apresentá-la em prazo razoável. 

A lei determina que os dados pessoais sejam armazenados em formato que favoreça o exercício do direito de acesso, para que esses possam ser fornecidos por meio eletrônico, seguro e idôneo (para esse fim) ou de forma impressa. 

Com um sistema próprio para isso, as informações são acessadas e compartilhadas facilmente.

Consentimento e direito de recusar

As empresas devem obter consentimento dos titulares de dados para utilização de dados pessoais, especificando qual a finalidade dessa utilização – e esse consentimento pode ser retirado a qualquer momento pela pessoa. 

Um sistema de gerenciamento de privacidade de dados gerencia o ciclo de consentimento, revogação e exclusão oferecendo a transparência e segurança que a LGPD exige.

Avaliações de proteção de dados

O sistema de gerenciamento de privacidade de dados facilita o mapeamento de dados e permite a geração de relatório de impacto sobre proteção de dados pessoais, ajudando a organização a visualizar os dados coletados e quais as medidas necessárias para protegê-los e garantir conformidade com a LGPD.

Comunicação de incidente

O controlador (organização) deve informar à Autoridade Nacional e ao titular dos dados sobre a ocorrência de incidentes de segurança que possam ocasionar riscos ou danos para os detentores de dados. 

Um sistema de gerenciamento de privacidade de dados permite resolver incidentes de modo rápido e, ainda, simplifica a produção do relatório de incidente – documento obrigatório e que tem prazo para ser apresentado às autoridades.

Base legal

Toda empresa precisa estabelecer uma base legal para ter e manter dados pessoais. Um sistema de gerenciamento de privacidade de dados permite a identificação das bases legais relacionadas a cada sistema e processo, tornando o fluxo de operação mais rápido, seguro e adequado à lei.

Conclusão

Não há dúvidas: a LGPD vai impactar significativamente a forma como os dados pessoais são tratados no Brasil. Seguindo a mesma linha da GDPR, a LGPD contempla cartões de créditos, transações comerciais, contratos, rotinas diárias, redes sociais, enfim, qualquer informação que permita que se identifique uma pessoa, independentemente de como o dado será utilizado. 

Ela estabelece diversas regras sobre como os dados serão coletados, armazenados, tratados e compartilhados. Aqueles que não se adequaram serão penalizados com advertências, multas e, em casos mais graves, até bloqueios.

A conformidade será fundamental para toda empresa que deseja se posicionar como idônea no mercado, que preza por sua credibilidade e que valoriza a confiança de seus clientes. 

Esperamos que este guia te ajude a desenvolver a cultura de privacidade de dados na sua empresa. Se você quiser saber um pouco mais sobre como podemos te ajudar a agir em conformidade com a lei, entre em contato com o nosso time e confira nossas soluções!

O que antes parecia razoavelmente distante, agora dispara o alerta vermelho: a LGPD (Lei Geral de Proteção de Dados) está a menos de um ano de entrar em vigor no Brasil. 

A sua empresa está preparada? 

A Compugraf lançou o Ebook Guia de Implementação da LGPD: Passo a Passo Para Adequar Sua Empresa, com o objetivo de educar e engajar executivos e departamentos jurídicos de empresas e profissionais da área de TI.

Para baixá-lo, é só acessar este link.

Introduzindo a LGPD

Antes de tudo, uma breve contextualização. Como não lembrar da polêmica envolvendo a Cambridge Analytica?

A verdade é que o ocorrido acendeu um pisca-alerta sobre o uso indiscriminado de dados e nos atentou para a necessidade de um controle mais rígido sobre quais deles podem ou não ser aproveitados pelo mercado – e, principalmente, como. 

Já ouviu os jargões de que “dados são o novo petróleo e a nova corrida pelo ouro”? Então, imagina só como está a busca pela sua extração. Fato é que dados pessoais são indicadores de individualidade, únicos e intransponíveis. É justo que sejam comercializados? 

A esse debate, a reação é o surgimento de uma série de leis e normas que visam proteger os direitos fundamentais de liberdade e privacidade dos indivíduos e inibir o uso desenfreado de suas informações pessoais. Caso da General Data Protection Rules (GDPR), criada na União Europeia, e da já mencionada Lei Geral de Proteção de Dados (LGPD), aqui no Brasil. 

Na GDPR, desde sua promulgação, o impacto já foi sentido por gigantes como Google e Facebook, que estão sendo processadas em base das diretrizes da lei e, se condenadas, deverão desembolsar aproximadamente 8 bilhões de euros em reparações.

A LGPD entrará em vigor em agosto de 2020 e – em uma realidade onde organizações públicas e privadas dos mais distintos setores tratam grandes volumes de dados sem quaisquer protocolos ou transparência – é esperado que o impacto seja significativo e gritante.

No e-book Guia de Implementação da LGPD: Passo a Passo Para Adequar Sua Empresa, vamos entender melhor as implicações da LGPD – da teoria à prática -, para que você compreenda como estar em conformidade com a lei, independentemente do tamanho da sua empresa e da sua área de atuação.

Mas afinal, o que é a LGPD?

A lei número 13.709/2018, ou Lei Geral de Proteção de Dados (LGPD), é a lei que dispõe sobre a proteção dos dados pessoais de todas as pessoas naturais em território brasileiro.

Foi decretada pelo Congresso Nacional em 14 de agosto de 2018 e entrará em vigor em agosto de 2020. Todas as empresas estão sujeitas às implicações da lei.

Basicamente, a lei foi escrita em base de 7 fundamentos, que delimitam o que é legal e o que é ilegal no que tange à proteção de dados, permeando os princípios e as bases legais da lei.

De acordo com o Artigo 2º da LGPD, são eles:

• I – o respeito à privacidade;
• II – a autodeterminação informativa;
• III – a liberdade de expressão, de informação, de comunicação e de opinião;
• IV – a inviolabilidade da intimidade, da honra e da imagem;
• V – o desenvolvimento econômico e tecnológico e a inovação;
• VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
• VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

O interesse dos titulares dos dados é que vai ditar quais dados serão coletados e como eles serão operados. Além disso, o titular é livre para solicitar qualquer informação a respeito do processo de tratamento, bem como solicitar a eliminação de seus dados da base de pessoas ou organizações que estejam em posse deles, se assim lhe convir.

Assim, a transparência e a garantia de privacidade se tornam os pilares de toda empresa que deseje se posicionar com credibilidade no mercado e de toda organização que preza por uma boa imagem junto ao público. 

Trata-se de um compromisso incontestável com a segurança e o respeito aos dados dos cidadãos brasileiros. É responsabilidade da organização buscar os meios, processos e a tecnologia necessária para garantir a proteção de dados pessoais.

Deve-se impedir o acesso por terceiros não-autorizados, assim como tomar medidas preventivas para solucionar acidentes que possam vir a ocorrer.

A elaboração de um projeto de compliance é uma urgência para negócios que desejam operar em conformidade com a lei. Mais do que isso: é uma necessidade para se manterem idôneas no mercado.

Não é tarefa fácil, porém, reestruturar os processos da empresa é assegurar que todos operem seguindo os requisitos da LGPD. As nuances são muitas e os desafios, diversos. 

Quais são os princípios da LGPD?

Finalidade – realizar o tratamento de dados de forma legítima, específica, explícita e informada ao titular;

Adequação – ser compatível o tratamento de dados com as finalidades informadas;

Necessidade – limitar-se ao mínimo necessário para realizar as finalidades, devendo ser proporcional e não excessivo;

Segurança – utilizar medidas técnicas e administrativas para proteger os dados;

Prevenção – adotar medidas preventivas de ocorrência de dados;

Responsabilização e prestação de contas – demonstrar a adoção de medidas eficazes e capazes de se comprovarem o cumprimento da Lei;

Livre-acesso – garantir aos titulares dos dados a consulta facilitada,  gratuita e atualizada dos dados;

Qualidade dos dados – garantir a exatidão, clareza, relevância e atualização dos dados;

Transparência – garantir que as informações sejam claras, precisas e facilmente acessíveis, observados os segredos comercial e industrial;

Não-discriminação – não utilizar o tratamento dos dados para fins discriminatórios ilícitos ou abusivos.

Qual é a melhor abordagem para adequar sua empresa à LGPD? 

Normalmente, existem duas abordagens para um projeto de compliance: por sistemas ou por processos. Para algumas empresas, a abordagem por sistema pode ser mais eficaz do que por processo; em outras, pode acontecer o contrário. 

Não existe uma abordagem “mais correta” do que a outra. No entanto, deve-se observar que processos offline, realizados com formulários de papel, por exemplo, não serão capturados na abordagem via sistema. 

O comitê de compliance da Compugraf destaca:

“A abordagem colaborativa também é de extrema importância: eleger representantes de áreas para contribuir com o projeto ajuda não apenas na fidelidade das informações coletadas como também no engajamento para o sucesso do projeto”

Outro ponto fundamental no processo de mapeamento de dados pessoais é ter uma ferramenta que permita fazer a gestão e organização de tudo que está sendo coletado, caso contrário as informações podem ser perdidas ou corrompidas e o resultado do trabalho pode não ser o esperado. 

Portanto uma ferramenta ideal deve prover funcionalidades que permitam fazer a gestão de tudo que está sendo mapeado de forma simples e visual, permitindo, também, a colaboração das pessoas de forma controlada. 

Ou seja, a LGPD vai impactar como os dados são tratados no Brasil

Seguindo a mesma linha da GDPR, a LGPD contempla cartões de créditos, transações comerciais, contratos, rotinas diárias, redes sociais, enfim, qualquer informação que permita que se identifique uma pessoa, independentemente de como o dado será utilizado. 

Ela estabelece diversas regras sobre como os dados serão coletados, armazenados, tratados e compartilhados. Aqueles que não se adequaram serão penalizados com advertências, multas e, em casos mais graves, até bloqueios.

A conformidade será fundamental para toda empresa que deseja se posicionar como idônea no mercado, que preza por sua credibilidade e que valoriza a confiança de seus clientes. 

Esperamos que nosso guia te ajude a desenvolver a cultura de privacidade de dados na sua empresa. Para ter acesso ao material, basta clicar neste link ou na imagem abaixo. Boa leitura!

Após receber diversas perguntas sobre Privacidade de Dados e a Lei Geral de Proteção de Dados, a Compugraf preparou um F.A.Q. com os principais questionamentos do tema. O intuito é esclarecer ao máximo os passos e processos de implementação que as empresas deverão passar até Agosto de 2020, data de vigência da Lei.

As perguntas foram separadas por categorias, sendo elas: Prática, Fiscalizações e Sanções, e Processos.

Quer saber se sua dúvida foi resolvida? Confira o material completo abaixo:

PRÁTICA

Qual a data de início de vigência da lei e qual a chance de alteração da data para entrar em vigor?

O início da Lei Geral de Proteção de Dados está previsto para 14 de agosto de 2020. Até o momento, não há indícios nem movimentações políticas que indiquem uma possível alteração da data.

Ainda não tenho nada de acordo com o que a lei pede. Qual o primeiro passo? Devo fechar um time específico para isso?

É importante lembrar que dados pessoais permeiam toda a organização, então, o sucesso desse trabalho vai depender do esforço e envolvimento de todos. Os primeiros passos devem ter a direção da empresa envolvida e consciente da necessidade de entrar em conformidade, designando um sponsor forte, formando assim um time multidisciplinar que envolva várias áreas, como TI, segurança e governança, jurídico e recursos humanos.

O que é um DPO e como é o trabalho na prática?

O DPO (Data Protection Officer), ou como é tratado na LGPD, o Encarregado, será um profissional que conhece de privacidade e segurança para conseguir fazer a gestão dos dados. Ele terá papel fundamental nas decisões estratégicas das organizações e deverá ter autonomia sobre as atividades que envolvam qualquer tipo de tratamento de dados, além de ter contato direto com a direção da empresa, tomando decisões que a deixe de acordo com a lei.

Como a LGPD trata no Artigo 41, o DPO/Encarregado deverá ter as seguintes atribuições:

• aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• receber comunicações da autoridade nacional e adotar providências;
• orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
• executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Além dessas, a ANPD, Autoridade Nacional de Proteção de Dados, poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado.

Qual o envolvimento da área de TI no projeto?

A participação da área de TI é muito importante no processo de ficar em conformidade, pois ela está envolvida desde apoiar a disponibilidade dos sistemas que sustentam as demandas de privacidade até assegurar que as ferramentas, processos e boas práticas da segurança da informação estão a postos e em conformidade.

Essa área tem uma participação ampla e abrangente já que a Lei deixa claro que as empresas devem adotar medidas técnicas e administrativas para assegurar a proteção dos seus dados pessoais.

O quanto a tecnologia é importante para a implementação da LGPD?

O processo para entrar em conformidade com a LGPD deve passar por pessoas, áreas, processos, sistemas, parceiros jurídicos e de tecnologia. Por conta de todas estas variáveis envolvidas, entendemos que a tecnologia faz sim diferença e é importante, pois, dependendo do tamanho e nível de complexidade de uma organização, gerenciar todas essas entidades de acordo com os requisitos da lei sem uma ferramenta de gestão que consiga agregar, registrar e controlar todas essas demandas pode se tornar um projeto extremamente difícil.

Segundo o Art. 49 da Lei, os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

FISCALIZAÇÕES E SANÇÕES

Como e quem realizará a fiscalização no Brasil?

A fiscalização do cumprimento da Lei Geral de Proteção de Dados será feita pela ANPD, Autoridade Nacional de Proteção de Dados. O órgão será responsável por fiscalizar, penalizar, se necessário, e orientar as empresas sobre como aplicar as normas dentro de cada contexto. O Art. 29 especifica que a autoridade nacional poderá solicitar, a qualquer momento, a realização de operações de tratamento de dados pessoais, informações específicas sobre a natureza das informações e poderá emitir um parecer técnico.

A Agência será vinculada à Presidência da República, porém tem autonomia de atuação garantida pela Lei.

Ações que infrinjam a lei podem acarretar em multas? A partir de quando?

Sim, ações que infrinjam a Lei podem acarretar em multas de até 2% do faturamento da empresa, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Os tipos de sanções são elencados no Art. 52.

As multas pela ANPD vão ocorrer a partir de 2020, porém, como o sistema jurídico brasileiro é bastante capilarizado e conta com diversos órgãos fiscalizadores, como Ministérios Públicos, PROCON, Idec, algumas empresas já estão sendo fiscalizadas e autuadas, por não estarem de acordo à Lei do Marco Civil da Internet e/ou outras normas vigentes.

PROCESSOS

Como fazer o Mapeamento de Dados?

O Data Mapping consiste em levantar, através da estrutura da organização, recursos próprios ou com uma empresa especializada, todos os itens associados aos dados pessoais. Com essas informações é criado um inventário, que pode ser, basicamente, de quatro tipos:

• Tabelas ativas ou bando de dados inteiros, aplicações que retém dados ou arquivos físicos não eletrônicos;
• Fornecedores de sistemas com os quais dividimos dados pessoais, como pelo CRM na nuvem;
• Processos ou atividades que, de alguma forma, manipulam informações;
• Empresas parceiras também manipulam dados pessoais sob nossa responsabilidade.

Após definir o que será inventariado, o próximo passo é fazer o mapeamento através de um processo iterativo e incremental. Ou seja, é interessante começar a mapear o que é conhecido, pois, desde um primeiro momento, já conseguimos ganhar consciência dos gaps e eventuais riscos envolvidos.

O OneTrust contribui muito nessa fase, pois possui uma estrutura apropriada para a carga das informações e avaliações específicas dos gaps, sendo, eventualmente, útil também como uma ferramenta de Data Discovery.

Como implementar a Gestão de Consentimento?

Dentro da solução OneTrust toda a gestão de consentimento é tratada em um módulo específico. Nele, conseguimos fazer a interação com os mais diversos pontos de coleta, ou seja, todas as formas em que são feitas interações com os titulares de dados que podem consentir ou revogar o consentimento. Isso pode ser feito em uma página web, offline (que depois deve ser disponibilizado no sistema de forma massiva), uma aplicação mobile ou em uma integração com outros sistemas, onde será realizada a coleta de dados.

A gestão desse consentimento é realizado dentro da plataforma que, se integrada, consegue gerir as informações em apenas um sistema, mesmo que os pontos de coleta sejam diversos. A integração pode ser pré-definida com sistemas de mercado ou através de uma API, fornecida pela OneTrust, totalmente documentada.

É possível registrar o consentimento por planilhas ou sistemas. O importante deixar claro qual a finalidade da utilização dessa informação, dando-lhe para isso uma das 10 bases legais previstas na Lei, e por quanto tempo deverá ser mantida essas informações em seu controle.

O termo de consentimento pode ser escrito ou digital? Em caso do digital, tem alguma regra para seguir?

O termo de consentimento pode ser adquirido tanto físico, quanto digital, porém precisa ser, como consta no Art. 8, “por escrito ou por outro meio que demonstre a manifestação de vontade do titular”. Assim como a GDPR, a Lei Geral de Proteção de Dados traz a preocupação em limitar a retenção dos dados apenas àquilo estritamente necessário para seu tratamento.

Na Lei não há um prazo fixo para a retenção dos dados tratados, mas estabelece, em seu Art. 16, que os “dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades”. Observa-se, dessa forma, que o prazo de retenção de dados na LGPD está condicionado à finalidade declarada pelo responsável pelo tratamento, e que, uma vez utilizados, devem ser excluídos de seus servidores.

Quanto aos dados e cadastros para CRM, qual será o impacto?

Uma das grandes vantagens da LGPD para o CRM é que as empresas serão obrigadas a avaliar os dados que possuem, eliminando os registros inválidos, o que certamente gerará maior controle e otimização desse cadastro. A nova lei não é um impedimento, ela apenas impõe mais restrições. O CRM portanto, terá que adaptar as suas atividades para o que a lei de proteção de dados propõe, ficando aderente a uma base legal.