Guia Prático
O que você precisa saber e fazer sobre a LGPD
Associação Nacional dos Profissionais de Privacidade de Dados
Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD), sancionada em 14 de Agosto de 2018, com início de vigência a partir de Agosto 2020, e cujo objetivo é proteger os direitos fundamentais de liberdade e de privacidade; e o livre desenvolvimento da personalidade da pessoa natural.
“A ANPPD tem o objetivo de promover a unidade dos Profissionais de Privacidade de Dados de modo que tenham seus interesses atendidos dentro do cenário brasileiro, fomentando iniciativas que também favoreçam a classe.”
Os dados das pessoas não podem mais ser coletados e utilizados sem uma finalidade adequada ou consentimento do seu titular.
LGPD na Prática
Dados Pessoais
É qualquer informação que te identifique (RG, CPF, etc.) ou te torne identificável (endereço de e-mail, IP, geolocalização, etc.).
A quem se aplica?
A qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, incidindo sobre praticamente todas as atividades empresariais.
Afinal, o que significa Tratamento de Dados?
Toda operação realizada com dados pessoais que envolve: coletar, produzir, recepcionar, classificar, utilizar, acessar, reproduzir, transmitir, distribuir, processar, arquivar, armazenar, eliminar, avaliar ou controlar, modificar, comunicar, transferir, difundir ou extrair.
A LGPD possui aplicação Extraterritorial
A LGPD não se restringe ao território nacional e se aplica às empresas que:
Têm estabelecimento no Brasil.
Realizem alguma ação comercial no mercado brasileiro.
Coletam e tratam dados de pessoas residentes no Brasil.
Entenda como funciona
Sua empresa (não importa o tamanho dela) pode fazer parte da cadeia do processamento de dados pessoais como “Contratado”, ou seja, deverá ter também uma gestão de privacidade e proteção de dados adequada à LGPD, pois será exigida pelo “Contratante” que já esteja adequado ou se adequando à Lei.
Diferentes formatos de framework para adequação têm sido
apresentados no mercado. Basicamente, o resultado para o fluxo de tratamento de dados pessoais deve ser:
Organizaçã o e
Comunicaç ão
Process os
Direitos do Titular
Privacidade e Proteção dos
Dados
Consentime nto
Retenção de Dados e Backup Contrat
os Plano de
Resposta à Violação de
Dados
Agentes de Tratamento de Dados
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
Encarregado de Dados (DPO – Data Protection Officer): pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o Controlador, os Titulares dos Dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Entenda os Direitos do Titular
Ao que for referente aos seus dados pessoais, o Titular terá o direito de obter do Controlador:
1. Confirmação da existência de tratamento;
2. Acesso aos dados;
3. Correção de dados;
4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados ilicitamente;
5. Portabilidade dos dados;
6. Eliminação dos dados;
7. Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
8. Informação sobre a possibilidade de não fornecer o consentimento;
9. Revogação do consentimento;
10. Reclamação à Autoridade Nacional;
Tratamento de Dados Pessoais
As atividades de tratamento de dados pessoais deverão observar a boa-fé respeitando os 10 princípios e as 10 bases legais que constam na Lei.
Com base nos princípios e bases legais, atualize os avisos de privacidade e os formulários de consentimento, conforme necessário;
Defina finalidade específica, incluindo se o processamento é uma condição para receber produtos ou serviços;
Informe a forma e a duração do processamento;
Informe se terceiros receberão os dados pessoais e por quais motivos, e as responsabildiades de realizar o processamento em nome do Controlador;
Demonstre como os titulares de dados podem exercer seus direitos.
Dados Pessoais Sensíveis
São dados que podem desencadear a discriminação do seu titular ou até mesmo pôr em risco sua vida, tais como a opção sexual, as convicções religiosas, filosóficas ou morais, opiniões políticas, origem racial ou étnica, filiação à sindicato, dado referente à saúde e dado genético ou biométrico.
Autoridade Nacional de Proteção de Dados
Lei 13.853/2019 – criada a Autoridade Nacional de Proteção de Dados. Essa agência federal é responsável por zelar pela proteção dos dados pessoais, fiscalizar e aplicar sanções, bem como elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e de Privacidade.
A agência está ligada diretamente ao Poder Executivo.
Tem como atribuição controlar e fiscalizar o tratamento de dados pessoais.
Ficam os infratores sujeitos às seguintes sanções administrativas:
• Advertência, com indicação de prazo para adoção de medidas corretivas;
• Multa simples, de até 2% (dois por cento) do faturamento anual, podendo chegar à R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• Multa diária, observado o limite total de R$
50.000.000,00;
• Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• Bloqueio dos dados pessoais a que se refere à infração até a sua regularização;
• Eliminação dos dados pessoais a que se refere à infração.
sanções aplicáveis e não somente às
multas
Fica a cargo do Encerragado de Dados, ou mais conhecido como DPO, aceitar reclamações, prestar esclarecimentos aos titulares e as autoridades, orientar as respectivas empresas e executar as diretrizes do tema.
Bases da Lei – LGPD
O DPO (Data Protection Officer) ou Encerragado de
Proteção de Dados, faz a ponte entre os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD).
O DPO terá sua identidade disponibilizada aos titulares e autoridades e seu contato deverá ser disponibilizado de forma simples e de fácil acesso, por exemplo, no site principal da empresa.
Certificações para se tornar um DPO ou Encerregado de Proteção de Dados:
Quem irá interagir com a ANPD e os
titulares?
Adequando-se à LGPD
É recomendável que, para a adequação, exista um time interno ou empresa contratada, que ambos também tenham especialidades em Governança, Serviços e Projetos de tecnologia, além do profissional especialista em Segurança da Informação e Legislação Brasileira (DPO).
Se compararmos a um quebra-cabeças, será necessário identificar as peças que representam os dados pessoais. O trabalho da adequação é fazer com que as peças sejam encaixadas na forma e sequência corretas aos processos existentes e/ou criando novos para tal, garantindo a privacidade e proteção.
Estratégico
Tático
Operacional
A mudança de cultura e processos requerida somente poderá ser efetiva com o engajamento da alta
administração no nível estratégico, passando pelo tático e finalmente no nível operacional.
ASSESSMENT /
DIAGNÓSTICO IMPLEMENTAÇÃO
90/120 dias 180 dias +
Essa média é baseada em grandes empresas.
Para as pequenas e médias, esse prazo diminui consideravelmente dependendo do volume de processamento e ativos por onde trafegam os dados.
adequar e qual esforço é necessário?
Conscientização
1 2
PreparaçãoOrganização
3
Desenvolvimento eImplementação
4
Preparar a organização para a Privacidade e estabelecer planos de ação
Estabelecer estruturas e mecanismos. Nessa etapa que o DPO é nomeado
Desenvolver e implementar políticas, medidas e controles Nossos profissionais certificados utilizam o framework baseado no material da Exin. O Sistema de Gerenciamento de Privacidade de Dados (SGPD).
Governança
5
Avaliação eMelhoria Contínua
6
Estabelecer mecanismos de governança
Avaliar e melhorar todos os aspectos específicos da organização
Framework de Adequação
A conscientização deve transcorrer durante toda a adequação,
inciando-se pela alta administração (Top-Down)
isso certamente representará mais investimentos para nosso país, acompanhando uma tendência global quanto ao direito do titular.
A ANPPD tem o compromisso com os profissionais de privacidade de dados do Brasil.
Anielle Martinelli, DPO
Diretora do Comitê de Conteúdo da ANPPD
Bruno Claus, DPO
Diretor do Comitê de Segurança da ANPPD
Davis Alves, Ph.D
Presidente da ANPPD