Table of Contents
PDPE: Privacy and Data Protection Essentials
2. Lei 13.709/2018 (Lei Geral de Proteção de Dados)
3. Medida Provisória Nº 869, de 27 de Dezembro de 2018
4. Lei 13.853/2019 (Que altera a Lei 13.709/2018)
5. Lei 13.709/2018 (Compilado após a Lei 13.853/2019)
6. Página principal da trilha da Exin Privacy and Data Protection:
7. Página específica para o exame desse curso Exin Privacy and Data Protection Essentials
8. Programa Oficial com os tópicos do exame Exin Privacy and Data Protection Essentials (Syllabus)
Iso/Iec 27001
Privacy & Data Protection Foundation
Privacy & Data Protection Practitioner
DPO
Formação em:
Segurança da Informação Gerenciamento de Riscos Direito Digital
Atua como:
Papel Consultivo Orienta sobre práticas Suporta Políticas Faz Treinamentos Avalia Impactos
Questionário
- Em relação ao escopo de aplicação da Lei Geral de Proteção de Dados, qual opção abaixo é verdadeira?
- Qual opção abaixo não é uma exceção para a aplicação da Lei?
- Em relação as dados anonimizados, é aplicável a Lei Geral de Proteção de Dados?
- As empresas públicas e sociedades de economia mista que atuam em regime de concorrência, terão o mesmo tratamento que:
- As imagens de pessoas geradas através de câmeras de segurança (CFTV) são consideradas:
- Como a lei define a pessoa a quem se referem os dados pessoais que são objetos de algum tratamento?
- É pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais:
- É uma pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador:
- Qual das seguintes opções não é uma atribuição da Autoridade Nacional de Proteção de Dados?
O Encarregado de Proteção de Dados atua:
Qual das seguintes opções não é um princípio estabelecido na Lei Geral de Proteção de Dados?
A) Como ponto central de contato entre titulares, agência nacional e as instituições
B) Com um papel técnico, executando projetos a respeito das práticas a serem tomadas em relação à proteção de dados pessoais
C) Com políticas, treinamentos e impactos em mudanças ou criação de novos produtos ou serviços
1)Qual das seguintes opções não é um princípio estabelecido na Lei Geral de Proteção de Dados?
*boa fé
2)Qual princípio tem como característica a limitação do tratamento ao mínimo necessário, para a realização de suas finalidades? *necessidade
3)Qual princípio tem como característica que seja informado, de forma clara e acessível, aos titulares, as informações sobre o tratamento de seus dados pessoais
*Transparência
4)Qual princípio possui como característica que controladores e operadores devem adotar medidas técnicas e administrativas, aptas a proteger os dados pessoais?
*segurança
5)Qual princípio tem como característica a adoção de medidas auditáveis (que possuam rastreabilidade de sua execução), capazes de comprovar a proteção de dados pessoais?
*responsabilização e prestação de contas
1) Se exemplificarmos através do resultado de exame de um paciente, onde é detectado que ele possui uma doença contagiosa, e essa informação pode proteger esse paciente e até mesmo outras pessoas. Qual base legal justifica um hospital realizar tratamento dessas informações?
*proteção da vida
2)Qual base legal é uma manifestação livre, informada e inequívoca, pela qual o titular concorda com o tratamento de seus dados pessoais, para uma finalidade determinada.
* consentimento
3)O armazenamento do registro de acesso a internet, pelos provedores, para o cumprimento da
Lei do Marco Civil da Internet, não depende do consentimento do titular dos dados. Qual base legal que justifica esse tratamento de dados?
*cumprimento de obrigação legal
4)Na Lei Geral de Proteção de Dados existem 10 bases legais para justificar o tratamento de dados pessoais. Qualquer operação de tratamento é necessário ter uma base legal associada?
*não
5)Um ex-colaborador solicita a exclusão de todos os seus dados pessoais da base de dados da última empresa em que trabalhou. A empresa informa que nem todos os dados podem ser apagados. Qual a base legal que justifica a não exclusão de todos os dados desse ex-colaborador?
*exercício regular de direitos
1)Qual das opções abaixo não é um direito garantido na Lei Geral de Proteção de Dados?
* segurança
2)Qual direito está associado ao princípio do livre acesso e que mediante requisição do titular, pode ocorrer em 2 formatos (simplificado e completo)?
*acesso aos dados
1)Qual pilar da segurança da informação é uma propriedade em que é garantido de que a informação
está correta, é apresentada sem erros, não deve ser adulterada ou corrompida. *integridade
2)Qual pilar da segurança da informação é uma propriedade em que é garantido de que a informação
está correta, é apresentada sem erros, não deve ser adulterada ou corrompida. *disponibilidade
3)Qual pilar da segurança da informação é a propriedade que garante de que a informação é acessada
somente por usuários com o devido direito.
*confidencialidade
4)A Lei Geral de Proteção de Dados especifica que o controlador deve comunicar a Autoridade Nacional e ao titular,
a ocorrência de incidente de segurança, que possa acarretar risco ou dano relevante aos titulares. Qual o prazo estabelecido para que ocorra a comunicação?
*prazo razoável
5)Para as entidades e órgãos públicos há a possibilidade sanção através de multa?
*nao
1)Esse conceito está relacionado a práticas de controle e segurança para proteger as informações incorporadas desde a criação do produto ou serviço, e não adaptada durante outras fases, em que quanto mais tarde falhas de seguranças forem identificadas em produto/serviço, mais caro será a sua correção.
A qual conceito está relacionado essa afirmação?
*privacy by design
2)Esse conceito adota a configuração de privacidade mais restritiva possível como padrão, a fim de garantir a proteção dos dados pessoais de forma automática, ainda que nenhuma interação ou parâmetros tenham sido ativados pelo usuário.
*privacy by default
3)Podemos considerar que o conceito de Privacy by default é um exemplo de aplicação do conceito Privacy by design?
*sim
4)O Relatório de Impacto sobre Proteção de Dados (RIPD) tem como base o gerenciamento do risco, avaliando, mitigando a necessidade e a proporção das medidas necessárias para minimizar as possibilidades desse risco.
Esse relatório deve ser elaborado somente na criação de um novo produto/serviço? *não
5)Sobre as práticas, habilidades e recursos de segurança da informação que auxiliam a organização a minimizar os riscos associados, qual item abaixo não faz parte desse escopo?
*mapa de dados
Curso II
Compliance: dever de estar em conformidade com atos, normas e leis, para seu efetivo cumprimento.
Tópico 1
O que é informação? : “Informação é o dado com significado, processado de forma a ser útil.” (XEXÉO, 2007)
O que são dados pessoais? :I - informnação relacionada à pessoa natural identificada ou identificável. (LGPD, artigo 4º, Inciso I
O que são dados sensíveis? : II - dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. (LGPD, artigo 4º, Inciso II
O que são dados anonimizados?“ III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios téncnicos razoáveis e disponíveis na ocasição de seu tratamento; (LGPD, artigo 4º, Inciso III
Dados digitais X dados Analógicos - ambos merecem o mesmo tipo de atenção e devem ser mapeados.
Dados estruturados : quando pertencentes a um banco de dadou ou planilha, organizados sob a forma de tabela e sequencialmente dispostos em cada registro.
Dados não estruturados : são os dados que carecem de uma estrutura prévia de alocação, podendo aparecer sob diferentes formatos e meios de armazenamento. Exemplos: um pdf, uma página do facebook, twitter, instagram, etc:
- Dados pessoais constantes em um texto qualquer, que tenha sido digitalizado em formato PDF.
- Imagens de pessoas postadas em redes sociais.
- Textos, áudios ou vídeos constantes de aplicativos de troca de mensagens, como o WhatsApp.
Importante: quando se pensa em dados pessoais, deve-se proteger também os dados não estruturados, pois muitas vezes, é deles que vazam características e detalhes que podem comprometer a privacidade, a intimidade ou a hora do titular.
A Tecnologia da Informação tem papel fundamental na LGPD pois possui insumos que proporcionam rápida disseminação de dados pessoais, principalmente pela quebra de duas restrições técnicas que no passado dificultavam tratamento de dados no passado:
- a capacidade de armazenamento de dados.
- a velocidade de processamento dos dados.
As principais legislações de proteção de dados pelo mundo tem como base manter:
- A liberdade.
- A privacidade.
- A capacidade de autodeterminação informativa das pessoas. (poder do individuo determinar e controlar a utilização de seus dados pessoais.)
Tópico 2
EVOLUÇÃO HISTÓRICA DA LEGISLAÇÃO DE DADOS PESSOAIS
Na medida que o comércio internacional se intensificou, houve necessidade aprimorar as leis de proteção de dados. As atividades de processamento de dados passaram a ser feitas em diversas partes do mundo.
Os seguintes fatores permitiram que os mesmos processadores que operavam na Europa ou EUA, estivessem em uso, ao mesmo tempo, em países distantes como Índia ou China:
- o aprimoramento das redes de telecomunicações.
- a quebra de barreiras comerciais.
- os acordos de cooperação técnicos.
2.1 Legislação de proteção de dados: um fenômeno da globalização
2.2 O compliance na origem do sistema de proteção de dados pessoais Quando falamos em proteção de dados pessoais como um sistema, destaca-se, ele deriva diretamente dos padrões das chamadas normas de compliance
- a boa-fé,
- a ética e
- a responsabilidade
Tópico 3
[…]
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;
[…]
XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;
O CÓDIGO DE DEFESA DO CONSUMIDOR
Promulgado pela Lei nº 8.078 , de 11 de setembro de 1990, o Código de Defesa do Consumidor (CDC) estabeleceu em seu Art. 43:
§ 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos.
§ 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.
§ 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas.
§ 4° Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres são considerados entidades de caráter público.
§ 5° Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir ou dificultar novo acesso ao crédito junto aos fornecedores.
§ 6º Todas as informações de que trata o caput deste artigo devem ser disponibilizadas em formatos acessíveis, inclusive para a pessoa com deficiência, mediante solicitação do consumidor.
O MARCO CIVIL DA INTERNET
A Lei nº 12.965 , de 23 de abril de 2014, conhecida como Marco Civil da Internet, estabeleceu uma série de princípios e garantias, direitos e deveres para o uso da Internet no Brasil.
O Marco Civil da Internet, além de garantir a privacidade e proteção de dados pessoais, assegura a disponibilização desses dados mediante ordem judicial.
Os incisos I a III e VII a X do Art. 7º, dessa legislação, abordam os direitos dos titulares de dados pessoais:
I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;
II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei;
III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;
[…] VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;
IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;
X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;
Além disso, em sua Seção II, nos Artigos 10 a 12, o Marco Civil tratou de alguns aspectos da responsabilidade de proteção dos dados pessoais pelos provedores de acesso e nas operações realizadas através da Internet, prevendo algumas sanções.
4 ENTENDENDO A LGPD – A NOSSA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
Objetivos
- Desenvolvimento da personalidade
- Liberdade
- Proteger Direitos Fundamentais
- Privacidade
FUNDAMENTOS
O artigo 2º da LGPD apresenta os fundamentos que serviram de base para a elaboração da lei, e que devem ser visitados para sua correta interpretação:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
APLICABILIDADE
Não se aplica a LGPD, quando o tratamento de dados pessoais for realizado:
- Por pessoa natural para fins, exclusivamente, particulares e não econômicos.
- Para fins jornalísticos ou artísticos.
- Para fins acadêmicos, desde que observadas as bases legais.
- Para fins exclusivos da segurança pública, defesa nacional ou segurança do Estado.
- Para atividades de investigação e repressão de crimes.
- Em função de dados provenientes de países que não tenham leis aderentes ao sistema de proteção de dados pessoais, no mesmo grau conferido pela lei brasileira e que não sejam compartilhados com agentes de tratamento brasileiros.
PRINCIPAIS CONCEITOS
Para melhor compreensão da LGPD, é importante que você assimile alguns termos e conceitos que são empregados ao longo de todo o texto legal. Clique nos ícones a seguir para conhecê-los.
- Titular
Pessoa natural a quem se refere os dados pessoais que são objeto de tratamento.
- Tratamento
Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
- Agentes de Tratamento
O controlador e o operador.
- Controlador
Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
- Operador
Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
- Encarregado
Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
- Autoridade Nacional
Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
- Consentimento
Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
PRINCÍPIOS A SEREM OBSERVADOS
A LGPD estabelece, em seu Art. 6º, alguns princípios norteadores, os quais devem ser utilizados nas situações em que houver alguma dúvida interpretativa ou nos casos em que a legislação for omissa.
Vamos conhecê-los?
Finalidade
- Propósitos legítimos, específicos, explícitos e informados ao titular.
Adequação
- Compatibilidade do tratamento com as finalidades informadas ao titular.
Livre Acesso
- Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma, duração e integridade do tratamento.
Qualidade dos Dados
- Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados.
Transparência
- Item de lista não ordenadaGarantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento.
Segurança
- Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
Prevenção
- Adoção de medidas para prevenir a ocorrência de danos.
Não Discriminação
- Impossibilidade de tratamento para fins discriminatórios, ilícitos ou abusivos.
Responsabilização e Prestação de Contas
- Item de lista não ordenadaDemonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.
Os princípios norteadores devem ser observados como exigência mínima para uma boa atividade de tratamento de dados pessoais, conforme estabelece o Art. 6º da Lei Geral de Proteção de Dados.
AS BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS
A Lei nº 13.709 estabelece, em seu Art. 7º, dez hipóteses em que é permitido realizar o tratamento de dados pessoais.
Consentimento do titular
É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Esse consentimento deve ser dado por escrito ou por qualquer outro meio que demonstre a manifestação da vontade do titular, através de cláusulas destacadas.
Importante
O controlador deve provar que o consentimento foi dado pelo titular, para finalidades determinadas.
Uma das restrições em se utilizar o consentimento como base legal, é que ele poderá ser revogado a qualquer momento, de forma fácil e gratuita. Isso poderá inviabilizar completamente a continuidade do tratamento dos dados.
Cumprimento de obrigação legal ou regulatória pelo controlador
Significa que, mesmo sem o consentimento do titular, o controlador deve guardar dados pessoais, processá-los, transmiti-los ou compartilhá-los, por força de lei ou de algum regulamento normativo.
Dentre esses dados estão:
- Dados pessoais constantes em documentos fiscais, por exigência da legislação tributária/fiscal;
- Dados referentes aos empregados, por conta das leis trabalhistas;
- Dados a serem armazenados por determinado período, por conta de normas setoriais.
Pela administração pública, para a execução de suas finalidades
Hipótese em que o tratamento de dados pessoais, pela administração pública, se justifica, para possibilitar a execução de políticas promovidas pelo setor público.
Exercício regular de direitos em processo judicial, administrativo ou arbitral
Esta hipótese apresenta as situações em que o tratamento de dados pessoais se legitima para fins de operacionalização e execução de processos.
Exemplos:
- Processo judicial de reconhecimento de paternidade.
- Processo jucidial de reparação de danos causado em acidentes de veículos.
- Processo administrativo para suspenção de multas.
- Processo arbitral referente a desacordo comercial.
Proteção da vida ou da incolumidade física do titular ou de terceiros
Essa hipótese permite o tratamento de dados do titular ou de terceiros, em situações em que estes estejam expostos a riscos, perigo de morte ou suscetíveis a causar-lhes danos físicos graves.
Tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária
Entende-se por tutela da saúde, os cuidados a serem empregados visando proteger, preservar ou reestabelecer a saúde dos agentes sujeitos de direito.
Os procedimentos realizados por profissionais de saúde têm interpretação extensiva, mas pode-se adotar, por padrão, aqueles descritos no Rol de Procedimentos e Eventos em Saúde – 2018, da Agência Nacional de Saúde Suplementar (ANS).
Atendimento aos interesses legítimos do controlador ou de terceiros
É um critério bastante subjetivo, em que há a possibilidade de se tratar dados pessoais, desde que não se contraponham aos direitos e liberdades fundamentais do titular e sejam somente os dados, estritamente, necessários e relacionados com as atividades praticadas pelo controlador dos dados.
Um exemplo clássico é o envio de publicidade/oferta de serviços aos clientes.
Importante Essa hipótese não se aplica aos dados pessoais sensíveis!
Proteção do crédito Dispensa o consentimento do titular de dados pessoais em situações em que a coleta é realizada para pesquisa e análise de riscos relacionados à concessão de crédito.
Esse é o caso dos scores de crédito para financiamentos bancários ou para identificação da situação de inadimplência junto ao SERASA/SPC.
OS DIREITOS DO TITULAR DOS DADOS PESSOAIS
Sendo a LGPD uma lei para a proteção de dados pessoais, um de seus pontos mais impactantes é o estabelecimento dos direitos do titular, previstos em seus Artigos 17 e 18.
Além da garantia da titularidade dos dados, ou seja, a pessoa física que forneceu o dado é proprietária dele, a lei também estabelece que, mediante requisição, o titular poderá solicitar ao controlador dos dados algumas informações. Para conhecê-las, observe a imagem a seguir.
- Confirmação da existência de tratamento
- Acesso aos dados
- Correção de dados
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
- Portabilidade dos Dados a outro fornecedor
- Eliminação dos dados pessoais tratados com o consentimento do titular
- Informação da entidades públicas e privadas com as quais o controlador realizaou uso compartilhados de dados
- Revogação de consentimento.
OS TRATAMENTOS REALIZADOS PELO PODER PÚBLICO
Nos tratamentos de dados do poder público, a LGPD procurou, principalmente, preservar algumas leis anteriores, no que diz respeito à transparência e ao direito à informação.
De tal sorte que, embora no conjunto da LGPD, as obrigações de empresas públicas e privadas sejam bastante semelhantes, existem pequenos pontos em que a ANPD ainda terá que fornecer explicações, como é caso de aplicação de uma multa a um órgão do próprio governo.
A TRANSFERÊNCIA INTERNACIONAL DE DADOS A LGPD destinou todo o seu capítulo V para tratar da transferência internacional de dados.
No Art. 33 já encontramos o princípio da reciprocidade:
I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
Ou seja, para que possamos enviar dados para fora do país, será obrigatório que o país de destino possa oferecer semelhante grau de proteção ao conferido pela lei brasileira.
Além disso, a LGPD apresenta algumas situações em que é permitida a transferência de dados como:
- na adoção de cláusulas padrões contratuais e
- na adoção de normas públicas globais.
AGENTES DE TRATAMENTO
Quando mencionamos os agentes de tratamento de dados, estamos nos referindo sempre a dois quadros. Clique nos ícones a seguir para conhecê-los.
Controlador de Dados
Aquele que irá tomar a decisão com base nos dados tratados. Pode ser tanto uma pessoa física quanto jurídica.
Operador de Dados
É a pessoa física ou jurídica que realiza o tratamento dos dados pessoais em nome do controlador.
Nesse aspecto, é importante refletir que a responsabilidade civil sobre incidentes de vazamentos de dados, independentemente de onde o fato tenha ocorrido (no operador ou no controlador), será de ambos os agentes, que responderão, solidariamente, por eventuais indenizações.
O ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS - DPO
A LGPD prevê, em seu Art. 41, para toda empresa controladora de dados, a obrigatoriedade da nomeação de um encarregado pelo tratamento de dados pessoais.
Também conhecido como DPO – Data Protection Officer, nomenclatura advinda da GDPR europeia, o encarregado de dados poderá ser uma pessoa física ou jurídica, a qual deverá ter sua identidade e informações de contato divulgadas publicamente, de preferência, através do site da empresa. Ele atuará como um canal de comunicação da empresa, interagindo com os titulares de dados e com a ANPD - Autoridade Nacional de Proteção de Dados. Entre suas atribuições legais, estão importantes atividades.
Atividades do DPO
- Analisar reclamações e comunicações dos titulares, prestar esclarecimentos e tomar providências.
- Receber comunicação da ANPD e tomar providências.
- Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados.
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementar.
SEGURANÇA E BOAS PRÁTICAS
A LGPD, como uma boa norma de conformidade, dedicou todo o seu Capítulo VII para tratar da questão da segurança e das boas práticas no tratamento dos dados pessoais.
Em seu Art. 46, a lei determina que os agentes de tratamento deverão adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Você sabia que a ANPD poderá dispor sobre os padrões técnicos mínimos a serem adotados?
As medidas protetivas devem ser consideradas desde a concepção do produto e/ou serviço até sua execução (princípios do privacy by design/privacy by default).
Atenção
A manutenção das medidas de segurança deverá prosseguir mesmo após o término do tratamento de dados.
Os incidentes de segurança relevantes deverão ser comunicados à ANPD, em prazo razoável (a ser definido pela ANPD) e deverão mencionar, no mínimo:
- A natureza dos dados pessoais afetados.
- Informações sobre os titulares envolvidos.
- Medidas técnicas e de segurança utilizadas.
- Riscos relacionados ao incidente.
- Motivos da demora, caso a comunicação não seja imediata.
- Medidas adotadas para reverter ou mitigar os prejuízos.
ANPD poderá exigir providências do controlador como:
- divulgar os fatos nos meios de comunicação (publicização) e
- adotar medidas para reverter ou mitigar os efeitos do incidente.
Na avaliação da gravidade, a ANPD irá levar em conta a comprovação de medidas técnicas adequadas à proteção de dados (considerados os limites técnicos dos serviços).
Os sistemas utilizados no tratamento de dados pessoais deverão atender aos princípios, requisitos de segurança e padrões de boas práticas e de governança previstos na lei e normas regulamentares.
FISCALIZAÇÃO E PENALIDADES Como toda lei que visa proteger e preservar algum bem, ela só terá efeito prático e garantia de funcionamento, se possuir força coercitiva, sob a ameaça de aplicações de sanções.
Nada impede, porém, que outros órgãos do governo promovam o cumprimento da lei, nas esferas de suas competências, como é o caso do Ministério Público e dos PROCONs, que já vêm atuando nesse sentido, antes mesmo da entrada em vigor da lei.
É importante destacar que a chamada “publicização da infração”, significa dizer que o controlador deverá informar aos titulares dos dados e à ANPD, caso ocorra algum incidente de segurança que resulte em risco ou dano relevante para os titulares, devendo ainda divulgá-lo perante os meios de comunicação, informando as condições em que ocorreu, tais como:
- Quando aconteceu o incidente?
- Quais dados pessoais foram prejudicados?
- Quem foram os titulares afetados?
- Qual o volume de dados atingido?
- Quais as medidas mitigatórias adotadas para reverter/fazer cessar o dano imposto aos titulares?
Já para a aplicação das penalidades, serão levados em conta os seguintes fatores:
- gravidade e a natureza das infrações,
- boa-fé do infrator,
- vantagem do infrator,
- condição econômica do infrator,
- reincidência,
- grau do dano,
- cooperação do infrator,
- existência de mecanismos e procedimentos internos capazes de minimizar o dano,
- existência de política de boas práticas e governança,
- pronta adoção de medidas corretivas,
- proporcionalidade entre a gravidade da falta e a intensidade da sanção.
SANÇÕES PREVISTAS NA LGPD NO AMBITO DA ANPD
- Advertência
- Obrigação de ampla divulgação do incidente em meios de comunicação;
- Eliminação dos dados pessoais
- Bloqueio dos dados pessoais
- Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- Multa diária, que não ultrapasse o valor máximo por infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; e
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
ANPD – AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
Como já mencionamos, a ANPD é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional. Ela possui várias atribuições previstas na LGPD, podendo expedir normas regulatórias complementares à lei.
A ANPD trata-se de uma autarquia pública, nos mesmos moldes das agências reguladoras, porém, constituída sob regime especial, vinculada à Presidência da República. Segue composição da ANPD:
Conselho diretor » Conselho Nacional da Proteção de Dados e da Privacidade » Corregedoria.
Ouvidoria » Órgão de Assessoramento Jurídico Próprio » Unidades Administrativas e Unidade Especializadas.
Sem orçamento próprio, a ANPD é uma entidade que encontrará sérias dificuldades para se estabelecer em um primeiro momento. Sua estrutura demandará grandes investimentos, tanto em termos de instalações físicas quanto de pessoal. Constitui-se por ora, em um dos grandes pontos de interrogação que ainda precisarão ser esclarecidos pelo governo até a entrada da lei em vigor.
Cenário Atual do Brasil na proteção de dados pessoais
Você já deve ter ouvido ou lido alguma reportagem sobre o vazamento de dados pessoais em alguma grande empresa. Segundo a pesquisa anual da IBM, “Cost of a Data Breach”, em 2019, o Brasil foi o quarto colocado em termos de volume de informações vazadas. Preocupante, não é mesmo?
Conforme já apresentamos neste curso, a LGPD, além de colocar o Brasil no grupo de países que protegem o titular de dados pessoais, traz um novo olhar para esse tipo de dado.
Basicamente, podemos dizer que essa legislação terá impacto sobre como as organizações coletam, armazenam e analisam os dados pessoais de seus clientes e colaboradores. Os cuidados com o armazenamento devem buscar garantir que esses dados não sejam vazados. Assim, após a entrada em vigor dessa lei, espera-se que o Brasil passe a ocupar uma posição melhor nesse ranqueamento realizado pela IBM.
REFLITA E RESPONDA
A LGPD surgiu com o objetivo principal de proteger os cidadãos brasileiros do uso abusivo e indiscriminado de seus dados pessoais. Entretanto, esse direito à proteção não pode ser absoluto, pois existem situações em que o uso dos dados pessoais por parte de terceiros, mesmo que sem o consentimento do titular, se justifica. Essas situações estão relacionadas na LGPD e podem constituir-se em casos de não aplicabilidade da lei, ou nas chamadas “bases legais”, em que há fundamentação legal para a utilização de dados pessoais.
Tomando como exemplo, o caso em que uma pessoa teve alguns de seus dados biométricos (reconhecimento facial) capturados por um sistema de câmeras de monitoramento da polícia, instaladas num parque da cidade, com a única finalidade de identificar possíveis criminosos foragidos da lei, poderíamos afirmar que:
a) A captura realizada pela polícia é totalmente ilegal, tendo em vista que a lei protege os dados pessoais sensíveis como é o caso dos dados biométricos.
b) Existem bases legais que podem justificar a captura de tais dados como é o caso da proteção da vida e da incolumidade física do titular ou de terceiros.
c) A autoridade policial poderá realizar a captura de dados pessoais, desde que com fins exclusivos para a realização de atividades de segurança pública, constituindo-se não em uma base legal, mas sim em uma situação de não aplicabilidade da LGPD.
d) Deverá ser analisado o contrato firmado entre a Secretaria de Segurança Pública e a empresa que realiza o monitoramento por câmeras, a fim de identificar a presença do devido consentimento.
O QUE FAZER PARA FICAR EM DIA COM A LGPD
A adequação das empresas para atender à nova lei geral de proteção de dados pessoais não é uma tarefa simples. O primeiro passo a ser dado é a busca:
- pelo entendimento da legislação e
- pela conscientização de todos os envolvidos neste processo.
Todas as empresas, em maior ou menor grau, acabarão sendo afetadas, sendo que merecem atenção especial:
As organizações que tratam grandes volumes de dados pessoais, como as empresas de tecnologia e comunicação, redes de varejo, escolas e universidades.
As empresas cujas atividades possuem relação com dados sensíveis ou fortemente regulamentadas setorialmente, como é o caso das empresas nas áreas de saúde e financeira.
Importante: O planejamento das ações é fundamental.
Deve-se articular um projeto que leve em consideração as adequações técnicas e administrativas que serão necessárias, bem como ter por objetivo a implantação de um programa de governança em privacidade, capaz de estabelecer a cultura da proteção de dados pessoais no âmbito da organização. Além disso, dependendo do caso, deve-se considerar a necessidade da contratação de apoio especializado, a fim de garantir um processo de adequação de conformidade efetivo e documentado.
CONSCIENTIZAÇÃO O primeiro grande passo a ser dado, na busca da conformidade com a LGPD, é a conscientização de todos os envolvidos com o tratamento de dados pessoais.
Para tal, de acordo com o porte de cada empresa, é importante eleger um comitê de adequação, representando os diferentes setores da empresa. Ele será responsável por oferecer o suporte necessário na execução do projeto de adequação.
Outra recomendação, é que se busque divulgar, da maneira mais assertiva possível, as informações sobre a LGPD e seus impactos.
Você sabia que existe um farto material de apoio disponível na Internet sobre os impactos da LGDP, tanto em órgãos governamentais como em instituições privadas de apoio à conformidade? Quer conhecer alguns desses materiais?
Para conhecer o material desenvolvido pela Serpro sobre a LGPD, clique aqui . Perceba que nesse site há materiais direcionados ao cidadão, à empresa e ao governo sobre essa lei. Já, clique aqui você terá acesso a um material, também sobre a LGPD, elaborado por profissionais operadores do direito, tecnologia, compliance e estudantes, de diferentes estados do Brasil.
ADEQUAÇÕES TÉCNICAS
Após nivelar o conhecimento das pessoas a respeito do assunto, pode-se começar o planejamento das adequações técnicas que serão necessárias.
Geralmente, neste momento, a participação do CIO (Chief Information Officer) será fundamental, envolvendo-se diretamente nas ações voltadas para a adequação de sistemas e dos mecanismos de segurança da informação.
Agora, observe algumas dessas ações.
- atualização de ferramentas de segurança
- Vpn's e comunicação segura
- Redesenho de processos internos ligados aos fluxos de dados e armazenamento e controle de cópia de segurança
Muitas dessas medidas ainda poderão ser influenciadas pelos aludidos “padrões técnicos” mínimos de operação, a serem estabelecidos pela ANPD através da publicação de normas complementares.
ADEQUAÇÕES ADMINISTRATIVAS
Os controladores e operadores poderão estabelecer regras de boas práticas e de governança. Estas regras devem contemplar o seguinte:
- Procidimentos para tratamentos de dados pessoais,
- Mecanismos para reclamações e petições de titulares,
- Normas de segurança internas relacionada ao acesso físico,
- Obrigações contratuais específicas,
- Ações educativas e,
- Mecanismos de supervisão e mitigação de riscos.
Uma recomendação, relacionada às adequações administrativas, é para que as empresas implantem um Programa de Governança em Privacidade, que, no mínimo:
- demonstre o comprometimento do controlador com as boas práticas de proteção de dados pessoais,
- seja aplicável a todo o conjunto de dados pessoais,
- possa ser adaptável à estrutura, escala e volume de operações,
- estabeleça políticas e salvaguardas adequadas para impactos e riscos,
- busque relação de confiança e transparência com o titular,
- esteja integrado a sua estrutura geral de governança,
- preveja um plano de respostas a incidentes e remediação,
- possua monitoramento, para ser avaliado e atualizado periodicamente,
- ofereça provas de efetividade,
- mantenha regras de boas práticas e de governança publicadas.
A CULTURA DA PROTEÇÃO DE DADOS Além dos aspectos técnicos e administrativos que serão trabalhados para a busca da conformidade legal na proteção de dados pessoais, há ainda um outro fator, talvez um pouco mais subjetivo, mas, igualmente fundamental para o sucesso de qualquer programa de privacidade: o estabelecimento da cultura da proteção de dados.
Mas, você sabe como fazer isso?
Esse trabalho resume-se substancialmente a disseminar valores pela organização, de forma a refletir para que cada ação exercida, cada decisão tomada, sempre leve em consideração os aspectos necessários para a proteção de dados pessoais.
Tais valores não devem se resumir às práticas empresariais, mas devem ser assimilados de forma a constituir uma nova maneira de se pensar e agir, considerando nossos direitos enquanto titulares de dados, mas, também, nossos deveres, enquanto agentes de tratamento de dados, no sentido de preservar os direitos dos outros e de buscar a melhoria contínua de todos os processos que envolvem o tratamento de dados pessoais.
Passo a passo para a empresa se adequar à LGPD Para se adequar à LGPD, sua empresa precisa seguir seis importantes passos.
Vamos conhecê-los?
- Passo 1 - Conhecimento da legislação: Procure se informar a respeito da LGPD. Vá a palestras, eventos e workshops. Compreenda os objetivos da lei, assimile seus principais conceitos e o modo de funcionamento da ANPD. Dissemine esse conteúdo pela empresa, procurando despertar o interesse pelo assunto.
- Passo 2 - Comitê interno: Monte um comitê interno para a adequação à LGPD. Reúna profissionais de diferentes setores, principalmente os que lidam diretamente com dados pessoais. Não esqueça de envolver as áreas de tecnologia e de recursos humanos. Além disso, busque o apoio da alta direção.
- Passo 3 - Data mapping: Realize um amplo levantamento de todos os dados pessoais tratados pela empresa. Peça ajuda do Comitê. Esse é um trabalho complexo e fundamental para que as organizações possam responder às demandas geradas pela LGPD. Identifique os processos, os dados pessoais e suas características, como: forma de coleta, local de armazenagem, finalidade de uso, tempo de guarda, entre outras. Depois, envolva a área jurídica, para classificar as bases legais em cada situação.
- Passo 4 - Identificação dos riscos: Relacione os riscos aos quais os dados pessoais estão sujeitos. Leve em conta os controles atuais e calcule o impacto e a probabilidade desses riscos ocorrerem. Ao final, monte uma matriz de riscos, identificando as prioridades.
- Passo 5 - Plano de ações: Monte um planejamento das ações necessárias para mitigar os riscos envolvidos. Defina o que deve ser feito, responsáveis e datas. Seu plano de ações deve se basear em três pilares: pessoas, processos e tecnologia. Lembre-se de que serão necessárias mudanças de procedimentos, revisão documental e investimentos.
- Passo 6 - Monitoramento do programa: Após ter implementado as ações necessárias, crie indicadores para medir a efetividade do seu programa de privacidade. Ele deve ser um organismo vivo dentro da empresa. Atualize-o periodicamente e mantenha os colaboradores capacitados continuamente, estabelecendo uma cultura interna de proteção de dados pessoais.
REFLITA E RESPONDA
A LGPD recomenda, como boas práticas de segurança e governança de dados, a adoção de determinadas medidas, tanto na esfera administrativa quanto na esfera técnica, que podem constituir-se em indicadores do nível de conformidade atingindo pela empresa.
Entre essas medidas, consta expressamente na lei, a adoção de:
a) Técnicas de criptografia baseadas em transposição.
b) Redesenho de processos de controle de acessos lógicos.
c) Medidas para revisão de termos de uso e contratos mantidos com operadores de dados.
d) Programa de governança em privacidade, dotado de alguns requisitos mínimos.