LGPD

Entenda os termos técnicos da lei:

A LGPD aplica-se a 'dados pessoais', significando qualquer informação relacionada a uma pessoa identificável que possa ser direta ou indiretamente identificada, em particular por referência a um identificador. Só são protegidas pela LGPD as pessoas físicas, chamadas de: Titulares. A definição de dados pessoais fornece uma ampla variedade de identificadores pessoais para constituir dados pessoais, incluindo nome, número de identificação, dados de localização ou identificador on-line, refletindo mudanças na tecnologia e na maneira como as organizações coletam informações sobre as pessoas. A LGPD se aplica aos dados pessoais automatizados e aos sistemas de arquivamento manual (físico), onde os dados pessoais são acessíveis de acordo com critérios específicos. Isso pode incluir conjuntos de registros manuais ordenados cronologicamente, contendo dados pessoais.
É a pessoa física que possui relação contratual com o Controlador dos dados pessoais, ou que acesse algum tipo de serviço por ele ofertado sem necessidade de consumir algum produto ou usar algum serviço. Pode ser o consumidor; o empregado; o colaborador; o candidato a alguma vaga de emprego; o visitante de um site; o associado de um clube; o residente em um condomínio; etc.
Pessoa Física ou Jurídica, pública ou privada que decide sobre o tratamento de dados pessoais.
O tratamento é a operação realizada com os dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, modificação, comunicação, transferência, difusão e extração. O tratamento só pode ser realizado dentro das bases legais. Os dados pessoais são um direito de personalidade e devem ser tratados dentro dos princípios da LGPD.
As bases legais que permitem o tratamento de dados pessoais pelo Controlador e pelo Operador são:
  1. Consentimento
  2. Obrigação legal
  3. Execução de Políticas Públicas
  4. Institutos de Pesquisa
  5. Execução de Contrato
  6. Processo judicial ou administrativo
  7. Proteção da vida
  8. Serviços de Saúde
  9. Interesse legítimo
  10. Proteção do crédito
Pessoa Física ou Jurídica, pública ou privada que age em nome do Controlador. Controlador e Operador são chamados de Agentes de Tratamento.
Qualquer indicação dada livremente, específica, informada e inequívoca dos desejos do titular dos dados pessoais pelos quais ele, por uma declaração ou por uma ação afirmativa clara, signifique concordar com o processamento de dados pessoais relacionados a ele.
Quando outras leis determinam a realização de tratamento. Exemplo: INSS; FGTS; Receita Federal. Nessa hipótese, os dados pessoais devem ser obtidos apenas para um ou mais propósitos especificados na referida lei, e não devem ser tratados posteriormente de nenhuma maneira incompatível com esse objetivo ou com esses propósitos.
Quando a natureza da atividade exige a realização de tratamento. Exemplo: seleção de novos funcionários; acesso a instalações; etc. Nessa hipótese, os dados pessoais devem ser obtidos apenas para um ou mais propósitos especificados na atividade essencial, e não devem ser tratados posteriormente de nenhuma maneira incompatível com esse objetivo ou com esses propósitos.
São o Controlador e o Operador.
A LGPD refere-se a dados pessoais sensíveis como “categorias especiais de dados pessoais”. As categorias especiais incluem especificamente dados genéticos e dados biométricos ou qualquer outro dado que possa gerar um tratamento preconceituoso ou desigual como cor de pele; nacionalidade; religião; opção sexual; partido político; filiação a sindicato, etc. Quando processados para identificar exclusivamente um indivíduo, estes dados devem receber um camada extra de proteção.
São 10 os princípios que devem ser observados no tratamento de dados pessoais:
  1. Finalidade: não é possível tratar dados pessoais com finalidades genéricas ou indeterminadas.
  2. Adequação: o tratamento de dados pessoais deve ser compatível com a finalidade informada pela empresa.
  3. Necessidade: para o tratamento de dados pessoais as empresas devem utilizar apenas os dados estritamente necessários para alcançar as suas finalidades.
  4. Livre acesso: o titular dos dados tem o direito de consultar, de forma simples e gratuita, todos os dados que a empresa detenha a seu respeito.
  5. Qualidade dos dados: as empresas devem garantir que os dados pessoais dos titulares são verdadeiros e atualizados.
  6. Transparência: o tratamento dos dados pessoais devem ser tornados públicos ao titular, esclarecendo de forma clara, precisa e verdadeira todo o procedimento.
  7. Segurança: as empresas devem buscar procedimentos, meios e tecnologias que garantam a proteção dos dados pessoais de acesso por terceiros, ainda que não sejam autorizados, como nos casos de invasões ou vazamentos.
  8. Prevenção: as empresas devem adotar medidas prévias para evitar a ocorrência de danos em virtude do tratamento de dados pessoais.
  9. Não Discriminação: Os dados pessoais não podem ser usados para discriminar ou promover abusos contra os seus titulares.
  10. Prestação de Contas: As empresas devem provar a adoção de medidas que demonstrem a sua boa-fé e a sua diligência.
O ciclo de vida dos dados pessoais compreende:
  • Coleta
  • Processamento
  • Análise
  • Compartilhamento
  • Armazenamento
  • Reutilização
  • Eliminação
A LGPD exige que a retenção dos dados dure apenas o período do contrato. Além desse período é necessário o consentimento. As empresas são obrigadas a eliminar os dados e provar a sua eliminação, não sendo permitida a guarda eterna dos dados.
Os direitos dos titulares são:
  1. Confirmação e acesso: é o direito de solicitar para a empresa a confirmação da existência de tratamento e acesso aos seus dados pessoais (origem, inexistência de registro, critérios utilizados, finalidade do tratamento).
  2. Correção: poder requerer e ele mesmo proceder na correção de dados incompletos, inexatos ou desatualizados.
  3. Bloqueio ou eliminação: ter o direito de exigir a desvinculação dos seus dados pessoais, de requerer a suspensão temporária de qualquer operação de tratamento; requerer a exclusão de um ou de todos os dados pessoais que estiverem em desconformidade com a LGPD.
  4. Portabilidade: solicitar a transferência dos seus dados pessoais a outro fornecedor de serviço ou produto.
  5. Eliminação: pedir a eliminação dos seus dados pessoais tratados com o seu consentimento anterior.
  6. Revogação de consentimento: Direito de revogar o consentimento em relação ao tratamento de seus dados pessoais.
  7. Compartilhamento: Direito de receber informações sobre as entidades públicas e privadas com as quais os seus dados pessoais são compartilhados.
  8. Explicação: Direito de obter informação sobre as consequências de não fornecer o seu consentimento sobre determinado tratamento.
  9. Oposição: Direito de se opor ao tratamento realizado em desconformidade com a LGPD.
  10. Revisão de decisão automatizada: Direito de solicitar informações claras a respeito dos critérios e dos procedimentos utilizados para a tomada de decisão com base em tratamento automatizado.
Estes direitos são invocados pelo titular diretamente ao DPO da empresa.
Privacy by design é uma abordagem para projetos que promove a privacidade e a conformidade com a proteção de dados desde o início do projeto.
O Data Protection Officer – DPO é profissional responsável pela conformidade da empresa com a LGPD e pelas medidas e operações adotadas. É o responsável por se comunicar com a ANPD e com o titular.
ANPD – Autoridade Nacional de Proteção de Dados é o órgão fiscalizador e responsável por aplicar as penalidades.
  • Multa de 2% do faturamento da empresa até o teto de R$ 50 milhões de reais.
  • A multa pode ser diária.
  • A empresa deve providenciar na publicação de violação da lei.
  • Bloqueio ou eliminação dos dados pessoais.
  • Suspensão do Banco de dados por 6 meses
  • suspensão das atividades da empresa por 6 meses.

Você pode contar com a Conceitus para:

Garantir que sua empresa esteja em conformidade com a LGPD. Verificar se sua empresa tem uma base legal sólida.
Revisar, orientar, elaborar a sua Política de Privacidade nos termos da LGPD.
Revisão de contratos com terceiros, clientes e fornecedores verificando se estão em compliance com a LGPD.
Palestra LGPD Básico para entender a lei.
Práticas na área de Recursos Humanos; e-commerce e educação (cursinhos e academias).
Faz parte das boas práticas em proteção de dados o treinamento contínuo dos colaboradores.
Nós podemos ser seu DPO.