Guep Soluções Corporativas S/A – setembro de 2020 Página 1 de 6
MANUAL BÁSICO SOBRE LGPD
SUMÁRIO
1. SOBRE A LGPD (LEI GERAL DE PROTEÇÃO DE DADOS) ... 2
2. AGENTES DE TRATAMENTO DE DADOS ... 4
3. A GUEP e a LGPD ... 5
4. SETE MITOS SOBRE A LGPD ... 5
5. QUANDO E COMO ACIONAR O DPO ... 6
6. SAIBA MAIS SOBRE A LGPD E OUTRAS REGULAMENTAÇÕES AO REDOR DO MUNDO ... 6
Guep Soluções Corporativas S/A – setembro de 2020 Página 2 de 6 1. SOBRE A LGPD (LEI GERAL DE PROTEÇÃO DE DADOS)
1.1. O que é a LGPD
A LGPD, Lei Geral de Proteção de Dados (Lei 13.709 de 14 de agosto de 2018), estabelece regras para tratamento dos dados pessoais (coleta, produção,
armazenamento, utilização, acesso, etc), garantindo mais direitos aos titulares dos dados, bem como limitações e penalidades às empresas que trabalham com essas informações.
1.2. Para que foi criada
O objetivo da lei é dar mais transparência aos titulares dos dados e detalhar
obrigações para as empresas que tratam desses dados. Para isso, a lei é baseada em dez princípios, entre eles transparência, segurança, finalidade, necessidade e adequação.
1.3. Qual o principal conceito da Lei
Os dados pertencem ao titular e não às empresas que os coletam, armazenam ou tratam. Além disso, a lei coloca em destaque a necessidade de transparência no tratamento do dado.
1.4. Principais expressões utilizadas 1.4.1. Dado Pessoal
Todas as informações que permitem identificar ou tornam uma pessoa física identificável. Alguns exemplos são: nome, RG, CPF, hábitos, dados de localização, cookies, endereço IP, características físicas, dados profissionais, perfis, e endereços eletrônicos.
1.4.2. Dado Pessoal Sensível
Alguns dados pessoais são considerados sensíveis pela lei e possuem mais restrições no tratamento, pois podem fazer com que o titular se sujeite a práticas discriminatórias. Por exemplo, os dados que se referem à origem étnica ou racial da pessoa, suas convicções políticas e religiosas, filiação a sindicatos ou organizações políticas, filosóficas ou religiosas, dados genéticos e dados ligados à saúde e vida sexual da pessoa. Também são considerados sensíveis os dados biométricos da pessoa.
1.4.3. Titular
Pessoa Física a quem os dados se referem.
1.4.4. Dado Pessoal Anonimizado
É um dado que perde a possibilidade de ser associado, direta ou indiretamente a uma Pessoa Física, exemplo: mulher, 25 anos, motorista. Em geral, são utilizados em estudos estatísticos.
1.4.5. Consentimento
É a autorização dada pela Pessoa Física de forma livre, informada e inequívoca, pela qual concorda com o tratamento de dados para uma finalidade
determinada.
Guep Soluções Corporativas S/A – setembro de 2020 Página 3 de 6 1.4.6. Tratamento de Dados Pessoais
É toda e qualquer operação realizada com os dados pessoais, sendo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
1.4.7. DPO (Data Protection Officer ou Encarregado de Proteção de Dados) O DPO atua como canal de comunicação entre a empresa, os titulares de dados pessoais (clientes, colaboradores, fornecedores, dirigentes e prepostos) e a Autoridade Nacional de Proteção de Dados (ANPD). Ele é responsável por aceitar eventuais reclamações dos titulares, bem como as comunicações dos titulares e da ANPD, prestar esclarecimentos e adotar providências
necessárias.
Também é responsável por orientar os colaboradores e os contratados da empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.
1.4.8. ANPD (Autoridade Nacional de Proteção de Dados)
A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais, nos termos da LGPD, editar regulamentos e procedimentos sobre a proteção de dados pessoais e privacidade, fiscalizar a atuação dos agentes de tratamento no território nacional e promover a cultura de proteção de dados no Brasil.
1.4.9. Transparência
Garantia de informações claras, precisas e facilmente acessíveis sobre o tratamento de dados, observados os segredos comercial e industrial.
1.5. Direitos dos titulares
I.
Confirmar e acessar os dados que as empresas podem ter sobre ele;
II.
Corrigir dados incompletos, inexatos ou desatualizados;
III.
Restringir o tratamento de dados pessoais;
IV.
Solicitar exclusão, anonimato e bloqueio dos dados pessoais
desnecessários, excessivos ou tratados em desconformidade com a LGPD;
V.
Pedir portabilidade dos dados de um fornecedor de serviço ou produto para outro;
VI.
Revogar o consentimento, a qualquer momento, em casos em que o titular previamente tiver autorizado o tratamento de seus dados pessoais;
VII.
Receber explicações claras e adequadas a respeito dos critérios e dos
procedimentos utilizados para a tomada de decisão em tratamentos
automatizados;
Guep Soluções Corporativas S/A – setembro de 2020 Página 4 de 6 VIII.
Receber informações sobre as entidades públicas e privadas com as
quais a empresa realizou uso compartilhado de dados;
IX.
Opor-se ao tratamento nos casos em que houver dispensa de
consentimento prévio, se houver descumprimento ao disposto na LGPD.
2. AGENTES DE TRATAMENTO DE DADOS 2.1. Controlador de dados
É uma Pessoa Física ou entidade do setor público ou privado que determina a finalidade e a forma de tratamento de dados.
Entre as principais obrigações está a necessidade de pautar todo tratamento de dado pessoal em uma das bases legais elencadas pela lei. Nos casos em que o tratamento não tenha uma base legal adequada, é necessário rever ou deixar de realizar este tratamento.
As bases legais mais relevantes são: o fornecimento de consentimento pelo titular, a necessidade de cumprimento de obrigação legal ou regulatória, a execução de contrato, o exercício regular de direitos, a proteção à vida, a proteção ao crédito e o atendimento aos legítimos interesses de quem está realizando o tratamento dos dados (respeitadas as expectativas do titular do dado quanto ao seu uso).
Além disso, as entidades precisam garantir o controle de acesso a esses dados, evitando vazamento e usos indevidos, atendimento aos direitos do titular e transparência sobre os tratamentos e finalidades.
Resumindo, o controlador decide porquê da coleta dos dados, como (base legal para fazê-lo), de quem coletará os dados, quais dados serão coletados, qual a finalidade do uso dos dados, para quem divulgará, compartilhará ou transferirá os dados e por quanto tempo os dados serão retidos.
2.2. Operador de dados
É uma Pessoa Física ou entidade do setor público ou privado que realiza o tratamento de dados em nome do controlador.
Uma boa maneira de definir o operador de dados é como um parceiro técnico especializado, designado para executar tarefas específicas para atingir as metas definidas pelo controlador.
O operador de dados tem a responsabilidade de fornecer garantias e implementar medidas técnicas e organizacionais adequadas de modo que o processamento cumpra os requisitos legais e de segurança.
Resumindo, o operador decide o sistema/método/ferramentas utilizadas para coletar os dados, como armazenar estes dados, como garantir a segurança destes dados, os meios utilizados para transferir estes dados, os meios utilizados para recuperar estes dados e garantir que o período de retenção destes dados seja respeitado. Estas responsabilidades dizem respeito à necessidade de manter os dados pessoais protegidos de acesso não autorizado, divulgação, destruição ou perda acidental.
Guep Soluções Corporativas S/A – setembro de 2020 Página 5 de 6 3. A GUEP e a LGPD
Em novembro de 2019, a Guep Soluções Corporativas S.A iniciou o projeto de adequação de seus processos às melhores práticas de privacidade e proteção de dados pessoais.
O trabalho de desenvolvimento do plano de adequação, com a participação ativa do corpo técnico e de direção da empresa, contemplou etapas específicas, tais como:
I.
mapeamento das atividades que envolvem o tratamento de dados pessoais;
II. elaboração de diagnóstico e direcionamento de ações adequadas à sua estrutura de negócio e governança;
III.
ações junto aos seus fornecedores de serviços especificas para tratamento de dados sempre que necessário;
IV.
elaboração de políticas próprias que tratam da segurança das informações e privacidade dos dados.
V.
aculturamento dos colaboradores: treinamento das equipes;
VI.
redução de documentos em papel, visando proporcionar maior segurança para proteção dos dados;
VII. atualização e revisão das informações publicadas no site, bem como Manuais, Políticas e Regimentos internos.
VIII. Capacitação:
a) A capacitação de todos os colaboradores foi estruturada por meio de comunicações e treinamento para abordar conceitos básicos a serem aplicados a partir de 2020.
b) Os colaboradores realizaram treinamento sobre a Lei geral de proteção de dados com foco no Privacy by Design, que dispõe sobre a aplicação da privacidade de dados desde a concepção do projeto ou operação até a sua implantação.
DISCLAIMER: A GUEP para a prestação de alguns serviços coleta dados de outros controladores de dados dos titulares tornando-se co-controladora dos dados (exceto quando atua como operadora). Dessa forma, há direitos dos titulares que a GUEP consegue atender diretamente, e outros que dependem de uma ação do controlador originário. Por exemplo, os dados coletados de fontes públicas somente poderão ser atualizados direto no órgão público que disponibiliza estes dados.
4. SETE MITOS SOBRE A LGPD
4.1. A LGPD é a lei do consentimento
Consentimento é só uma das dez bases legais que as empresas podem usar para realizar o tratamento de dados pessoais.
4.2. Se a pessoa consentir, eu posso fazer tudo com o dado
Guep Soluções Corporativas S/A – setembro de 2020 Página 6 de 6 Qualquer tratamento deve ter uma finalidade adequada com o consentimento dado pelo titular e objetivo pretendido pela entidade.
4.3. Somos uma empresa, logo, todo tratamento será para execução do contrato de prestação de serviço
A LGPD traz dez bases legais para tratamento de dados, sendo cada uma igualmente relevante. Além da execução do contrato, o legítimo interesse e o cumprimento de obrigação legal/regulatória são bons exemplos.
4.4. Teremos que deletar os dados se a pessoa pedir
É importante lembrar que alguns dados são armazenados e tratados para cumprir demandas legais e regulatórias, por exemplo, ou ainda para a prestação do serviço contratado. Assim, nem todo dado poderá ser deletado quando a pessoa pedir. Cada caso será analisado, para que a melhor orientação seja dada ao solicitante.
4.5. Não podemos enviar dados para fora do Brasil
A transferência internacional de dados é permitida na LGPD sob condições específicas.
4.6. Não poderemos mais compartilhar dados com parceiros, tampouco ter acesso aos dados deles
A empresa deverá ser transparente em relação à origem dos dados e com quem eles são compartilhados, e poderá compartilhar/acessar seguindo o disposto na LGPD.
4.7. Posso usar dados sensíveis a favor de minorias, como em ações afirmativas O uso de dados sensíveis é extremamente restrito, permitido somente se o titular consentir ou quando o uso for indispensável para cumprimento de obrigação legal, exercício regular de direitos e em determinadas situações para prevenção à fraude, conforme definido pela legislação.
5. QUANDO E COMO ACIONAR O DPO
Qualquer comunicação e solicitação relativa ao tratamento de dados pessoais devem ser encaminhadas pelos titulares dos dados diretamente ao DPO, pelo endereço eletrônico: dpo@guep.com.br
6. SAIBA MAIS SOBRE A LGPD E OUTRAS REGULAMENTAÇÕES AO REDOR DO MUNDO Acesse o link abaixo e saiba mais!
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm Ou procure por GDPR (General Data Protection Regulation), CCPA (California Consumer Privacy Act), APP (Australian Privacy Principles).
