Guia Com Tudo Que Voce Precisa Saber Sobre LGPD

(1)

Guia com

tudo que você

precisa

saber

sobre LGPD

E-Book

(2)

Índice

Introdução

iii iii

Do que tr

ata

a LGPD?

v v

Quais dados devem ser preservados?

ix ix

Quais são os

impactos da LGPD para as empresas?

xiv xiv

Conclusão

(3)

Depois da implementação da GDPR Depois da implementação da GDPR (Regulamento Geral sobre a

(Regulamento Geral sobre a ProteçãoProteção de Dados), instituída na União Europeia, de Dados), instituída na União Europeia, o Brasil também decidiu estabelecer uma o Brasil também decidiu estabelecer uma regulamentação que visasse uma segurança regulamentação que visasse uma segurança maior às informações compartilhadas na maior às informações compartilhadas na internet por parte dos usuários. Assim, em 14 internet por parte dos usuários. Assim, em 14 de agosto de 2018, foi sancionada a Lei Geral de agosto de 2018, foi sancionada a Lei Geral de Proteção de Dad

de Proteção de Dados (“LGPD”os (“LGPD”, Lei n°, Lei n° 13.709/2018, publicada em 15/08/2018). 13.709/2018, publicada em 15/08/2018).

Introdução

iii iii

(4)

A norma parte do princípio de que A norma parte do princípio de que a privacidade deve ser

a privacidade deve ser respeitada. Por contarespeitada. Por conta disso, empresas privadas e públicas que façam disso, empresas privadas e públicas que façam uso de dados de consumidores devem se uso de dados de consumidores devem se adaptar às regras da nova lei

adaptar às regras da nova lei para preservarpara preservar essa determinação e, além disso, porque essa determinação e, além disso, porque haverá fiscalização.

haverá fiscalização.

De qualquer forma, é importante esclarecer De qualquer forma, é importante esclarecer desde o início que a lei entrará em vigor desde o início que a lei entrará em vigor apenas em fevereiro de 2020, 18 meses após apenas em fevereiro de 2020, 18 meses após

sua instituição. Isso porque foi entendido que sua instituição. Isso porque foi entendido que as obrigações demandam

as obrigações demandam transformaçõestransformações radicais e demoradas para as empresas. radicais e demoradas para as empresas. Assim, esse tempo seria suficiente para Assim, esse tempo seria suficiente para as adaptações necessárias.

as adaptações necessárias.

Sendo assim, para que você entenda quais Sendo assim, para que você entenda quais serão as mudanças, quem a lei atinge, como serão as mudanças, quem a lei atinge, como realizar atender as regras, nós resolvemos realizar atender as regras, nós resolvemos fazer um guia com tudo o que é preciso saber fazer um guia com tudo o que é preciso saber sobre a LGPD.

sobre a LGPD.

iv

(5)

Sancionada pelo então Presidente da Sancionada pelo então Presidente da República, Michel Temer, a Lei Geral de República, Michel Temer, a Lei Geral de Proteção de Dados tem a intenção de Proteção de Dados tem a intenção de

intensificar a privacidade de dados pessoais intensificar a privacidade de dados pessoais na internet. Na determinação, entende-se na internet. Na determinação, entende-se como dados pessoais “qualquer informação como dados pessoais “qualquer informação relacionada a pessoa natural identificada ou relacionada a pessoa natural identificada ou identificável (Lei n° 13.

identificável (Lei n° 13.709/2018)”709/2018)”. Além disso,. Além disso, vale dizer que os fundamentos da

vale dizer que os fundamentos da determinação são:

determinação são:

Do que trata a LGPD?

O respeito à privacidade;O respeito à privacidade;_{A autodeterminação informativa;}_{A autodeterminação informativa;}

A liberdade de expressão, de informação,

de comunicação e de opinião;

A inviolabilidade da intimidade, da honra

e da imagem;

O desenvolvimento econômico e tecnológico

e a inovação;

A livre iniciativa, a livre concorrência

e a defesa do consumidor;

Os direitos humanos, o livre desenvolvimento

da personalidade, a dignidade e o exercício

da cidadania pelas pessoas naturais.

v

(6)

Inspirada na GDPR (Regulamento Geral sobre Inspirada na GDPR (Regulamento Geral sobre a Proteção de Dados) da União Europeia, a Proteção de Dados) da União Europeia, a determinação definitiva contém 10 capítulos a determinação definitiva contém 10 capítulos e 65 artigos. No

e 65 artigos. No textotexto, fica estabelecido que,, fica estabelecido que, quando o fornecimento de dados pessoais for quando o fornecimento de dados pessoais for condição para a disponibilização de produtos condição para a disponibilização de produtos ou serviços, o titular deve ser informado ou serviços, o titular deve ser informado e consentir o fornecimento. Por outro lado, e consentir o fornecimento. Por outro lado, existem situações que excluem a necessidade existem situações que excluem a necessidade de consentimento.

de consentimento.

De forma geral, a lei determina que, nos De forma geral, a lei determina que, nos casos abaixo, não haverá necessidade de casos abaixo, não haverá necessidade de autorização do usuário:

autorização do usuário:

Cumprimento de obrigação legal ou

regulatória;

Para que órgãos possam executar políticas

públicas;

Para viabilizar estudos e pesquisas, desde que

o anonimato na divulgação seja garantido;

vi

(7)

Guia com tudo que você precisa saber sobre LGPD

Par

Para fazer valer a fazer valer direitos em direitos em contracontratos etos e

processos judiciais, administrativos e arbitrais;

Par

Para proteção da vida ou da proteção da vida ou da integridade físicaa integridade física

da pessoa ou de

da pessoa ou de terceiro;terceiro;

Par

Para tutela da saúdea tutela da saúde, realizada por, realizada por

profissionais do meio ou por entidades

sanitárias.

É importante citar também que É importante citar também que

a determinação tem a intenção de dar mais a determinação tem a intenção de dar mais poder aos consumidores sobre os seus dados, poder aos consumidores sobre os seus dados, tirando o domínio que as empresas têm

tirando o domínio que as empresas têm atualmente das informações dos clientes, atualmente das informações dos clientes, assim como seu compartilhamento

assim como seu compartilhamento e utilização.

e utilização.

vii

(8)

Por conta disso, os donos dos dados Por conta disso, os donos dos dados têmtêm direito a correção de

direito a correção de informações incompletasinformações incompletas ou desatualizadas a qualquer momento;

ou desatualizadas a qualquer momento; cancelamento ou exclusão de seus dados do cancelamento ou exclusão de seus dados do banco da empresa; solicitação de

banco da empresa; solicitação de

esclarecimento sobre como, quando, para esclarecimento sobre como, quando, para quem e por qual motivo as informações foram quem e por qual motivo as informações foram compartilhadas; recusar o fornecimento. compartilhadas; recusar o fornecimento.

viii

(9)

O principal objetivo da LGPD é a privacidade O principal objetivo da LGPD é a privacidade dos dados. Mas, afinal, quais informações dos dados. Mas, afinal, quais informações devem ser preservadas? De forma ampla, devem ser preservadas? De forma ampla, qualquer dado que possibilite a identificação qualquer dado que possibilite a identificação de alguma pessoa deve ser protegido. Entre de alguma pessoa deve ser protegido. Entre tantas possibilidades, as informações comuns tantas possibilidades, as informações comuns podem ser:

podem ser:

Quais dados devem

ser

preservados

?

Perfil online;Perfil online;_{E-mail corporativo;}_{E-mail corporativo;}

Contatos;

Empresa onde trabalha;

Listas de clientes; Listas de clientes; Endereços de IP. Endereços de IP. Nome; Nome; Endereço; Endereço;

Esses dados possibilitam individualmente

ou em conjunto a revelação de algumas

identidades. Portanto, há a necessidade de

redobrar a atenção quanto a

redobrar a atenção quanto a solicitaçãosolicitação

desses dados, já que todos eles (ou mais)

precisam ter completo consentimento por

parte dos usuários.

ix

(10)

origem racial ou étnica;

saúde ou vida sexual;Perfil online;

genética; genética; filiação a sindicato; filiação a sindicato; convicção religiosa; convicção religiosa; opinião política. opinião política.

Outro ponto importante é o dado sensível. Outro ponto importante é o dado sensível. De acordo com a lei, as

De acordo com a lei, as informaçõesinformações caracteriz

caracterizadas como sensíveis demandam adas como sensíveis demandam umum tratament

tratamento diferenciado. É o diferenciado. É necessárionecessário

o consentimento do fornecimento e também o consentimento do fornecimento e também completo entendimento da necessidade completo entendimento da necessidade desses dados para a empresa q

desses dados para a empresa que estáue está solicitando. Nesse caso, entende-se como solicitando. Nesse caso, entende-se como sensíveis informações relacionadas a: sensíveis informações relacionadas a:

x

(11)

A LGPD também reserva especificações em A LGPD também reserva especificações em relação aos dados de crianças e adolescentes. relação aos dados de crianças e adolescentes. Eles merecem tratamento especial e só podem Eles merecem tratamento especial e só podem ser fornecido com o consentimento de, ao ser fornecido com o consentimento de, ao menos, um dos responsáveis legais. Além menos, um dos responsáveis legais. Além disso, as responsabilidades do coletor em disso, as responsabilidades do coletor em relação a essas informações são:

relação a essas informações são:

Manter público quais dados

Manter público quais dados foram coletadosforam coletados

e a forma de sua utilização;

Utilizar de tecnologias

Utilizar de tecnologias para garantirpara garantir

o consentimento do responsável pela criança;

Informações sobre o tratamento de dados

referidas neste artigo deverão ser fornecidas

de maneira simples, clara e acessível,

consideradas as

consideradas as caracteríscaracterísticas físico-motoras,ticas físico-motoras,

perceptivas, sensoriais, intelectuais e mentais

do usuário, com uso de recursos audiovisuais

quando adequado, de forma a proporcionar

a informação necessária aos pais ou ao

responsável legal e adequada ao

entendimento da criança.

xi

(12)

Vale ressaltar que a Lei de

Vale ressaltar que a Lei de Proteção de DadosProteção de Dados explica no Artigo 14, § 3º, que há uma exceção explica no Artigo 14, § 3º, que há uma exceção quanto ao consentimento dos pais ou

quanto ao consentimento dos pais ou

responsáveis. Desde que utilizados uma única responsáveis. Desde que utilizados uma única vez e sem armazenamento, a coleta de dados vez e sem armazenamento, a coleta de dados de crianças e adolescentes pode ser realizada de crianças e adolescentes pode ser realizada para que seja possível entrar em

para que seja possível entrar em contatcontato como com seus responsáveis.

seus responsáveis.

Quando os dados já foram fornecidos e estão Quando os dados já foram fornecidos e estão sob utilização da empresa, há situações em sob utilização da empresa, há situações em

que o seu

que o seu tratamenttratamento pode ser o pode ser descontinuado,descontinuado, sejam eles comuns, sensíveis ou de crianças sejam eles comuns, sensíveis ou de crianças e adolescentes.

e adolescentes.

Como já dissemos, sempre que o consumidor Como já dissemos, sempre que o consumidor quiser que o seus dados sejam retirados da quiser que o seus dados sejam retirados da base da empresa, esse direito deve ser base da empresa, esse direito deve ser

assegurado. Quando houver a verificação de assegurado. Quando houver a verificação de que as informações já foram utilizadas para as que as informações já foram utilizadas para as finalidades necessárias em determinado finalidades necessárias em determinado

momento, e que no momento em questão não momento, e que no momento em questão não

xii

(13)

são mais necessárias, o tratamento deve ser são mais necessárias, o tratamento deve ser descontinuado. Além disso, por meio de descontinuado. Além disso, por meio de determinação legal ou quando houver determinação legal ou quando houver violação da LGPD, o término do tratamento. violação da LGPD, o término do tratamento. A conservação dos dados também pode A conservação dos dados também pode ocorrer

ocorrer. . A Lei nº 13.709 determina A Lei nº 13.709 determina que, nosque, nos casos abaixo, as informações podem ser casos abaixo, as informações podem ser mantidas:

mantidas:

cumprimento de obrigação legal ou

regulatória pelo controlador;

estudo por órgão de pesquisa,

estudo por órgão de pesquisa, garantida,garantida,

sempre que possível, a anonimização dos

dados pessoais;

transferência a terceiro, desde que

respeitados os requisitos de tratamento de

dados dispostos nesta Lei; ou

uso exclusivo do controlador, vedado seu

acesso por terceiro, e desde que anonimi

acesso por terceiro, e desde que anonimizadoszados

os dados.

xiii

(14)

O principal sinal de

O principal sinal de alerta para as empresasalerta para as empresas é que os consumidores

é que os consumidores poderão cancelarpoderão cancelar o fornecimento dos seus dados a qualquer o fornecimento dos seus dados a qualquer momento. Por conta disso, a forma como as momento. Por conta disso, a forma como as informações de clientes e usuários funciona informações de clientes e usuários funciona diariamente no Brasil vai mudar mui

diariamente no Brasil vai mudar muito comto com a nova Lei Geral de Proteção de Dados. a nova Lei Geral de Proteção de Dados.

xiv

(15)

Par

Para que a que as organizações possam cumprir as organizações possam cumprir comcom suas obrigações, é necessário criar e

suas obrigações, é necessário criar e mantermanter um banco de dados atualizado, completo e um banco de dados atualizado, completo e dede fácil edição. Assim, sempre que uma

fácil edição. Assim, sempre que uma modificação for necessária, a

modificação for necessária, a realização serárealização será simples.

simples.

É importante que essa fase de consentimento É importante que essa fase de consentimento seja intensificada na

seja intensificada na compra ou contrataçãocompra ou contratação de serviço por meio dos sites, formulários ou de serviço por meio dos sites, formulários ou qualquer outro método para a obtenção. Vale qualquer outro método para a obtenção. Vale

ressaltar que o esclarecimento da necessidade ressaltar que o esclarecimento da necessidade da solicitação é fundamental para que

da solicitação é fundamental para que o usuário decida se deve ou não consentir o usuário decida se deve ou não consentir o compartilhamento das informações. o compartilhamento das informações. Porém, de forma geral, as empresas já Porém, de forma geral, as empresas já têmtêm banco de dados g

banco de dados gigantescos com informaçõesigantescos com informações de seus clientes. Por isso, eles precisam ser de seus clientes. Por isso, eles precisam ser notificados sobre as mudanças que a LGPD notificados sobre as mudanças que a LGPD determinou, por meio de um aviso de determinou, por meio de um aviso de privacidade. Além disso, é fundamental privacidade. Além disso, é fundamental

xv

(16)

investir em soluções de TI que identifiquem investir em soluções de TI que identifiquem riscos, façam a gestão de dados, intensifiquem riscos, façam a gestão de dados, intensifiquem a segurança de transferências de dados

a segurança de transferências de dados e controlem o acesso às informações. e controlem o acesso às informações. Se quiser que a empresa esteja

Se quiser que a empresa esteja completamente pronta par

completamente pronta para o momento qua o momento quee a lei entrar em vigor, é importante fazer uma a lei entrar em vigor, é importante fazer uma consultoria completa no sistema de segurança consultoria completa no sistema de segurança da empresa, em como garantir a privacidade da empresa, em como garantir a privacidade dos dados dos clientes para, desde o primeiro dos dados dos clientes para, desde o primeiro

xvi

(17)

momento, assegurar esse direito a eles. momento, assegurar esse direito a eles.

Vale ressaltar também que haverá um trabalho Vale ressaltar também que haverá um trabalho de fiscalização para identificar quais empresas de fiscalização para identificar quais empresas estão cumprindo com as suas obrigações. estão cumprindo com as suas obrigações. Caso seja percebido não cumprimento das Caso seja percebido não cumprimento das regras da Lei Geral de Proteção de Dados, regras da Lei Geral de Proteção de Dados, asas empresas, públicas ou privadas, poderão ser empresas, públicas ou privadas, poderão ser multadas em um valor significativo, chegando multadas em um valor significativo, chegando a atingir até 2% da receita de uma

a atingir até 2% da receita de uma organização.

organização.

xvii

(18)

o Brasil também decidiu que os dados dos o Brasil também decidiu que os dados dos usuários na internet precisam de mais usuários na internet precisam de mais

segurança e que os consumidores deveriam segurança e que os consumidores deveriam ter mais privacidade quanto aos seus dados. ter mais privacidade quanto aos seus dados. Afinal, hoje esse

Afinal, hoje esse compartilhamento acontececompartilhamento acontece de forma

de forma bastantbastante facilitada entre empresase facilitada entre empresas ou, inclusive, são coletados antes que

ou, inclusive, são coletados antes que o usuário tenha ciência.

o usuário tenha ciência.

xviii

(19)

Quem nunca recebeu um e-mail de uma Quem nunca recebeu um e-mail de uma empresa depois de ter acessado seu site empresa depois de ter acessado seu site e sem ter feito nenhum tipo de cadastro? e sem ter feito nenhum tipo de cadastro? Isso é muito comum, não é mesmo? Isso é muito comum, não é mesmo?

O que a Lei Geral de Proteção de Dados quer O que a Lei Geral de Proteção de Dados quer garantir é que as pessoas que fazem uso de garantir é que as pessoas que fazem uso de canais online possam ter controle sobre suas canais online possam ter controle sobre suas informações. Eles precisam primeiro conhecer informações. Eles precisam primeiro conhecer os seus direitos. Depois precisam permitir que os seus direitos. Depois precisam permitir que seus dados sejam obtidos por alguma

seus dados sejam obtidos por alguma

empresa e, também, porque aquela empresa e, também, porque aquela organização precisa de suas informações. organização precisa de suas informações. Além disso, há a necessidade de

Além disso, há a necessidade de

consentimento do compartilhamento de consentimento do compartilhamento de dados com outras instituições. Não menos dados com outras instituições. Não menos importante, os usuários também podem importante, os usuários também podem solicitar a exclusão de suas

solicitar a exclusão de suas informaçõesinformações a qualquer momento.

a qualquer momento.

xix

(20)