CARTILHA LGPD
LGPD E PROTEÇÃO DE DADOS PESSOAIS
LGPD
Lei nº 13.709/2018
(Lei Geral de Proteção de Dados Pessoais)
ENCARREGADO DE PROTEÇÃO DE DADOS (DPO)
Adilson Magalhães
APROVAÇÃO
Comitê Gestor de Privacidade e Proteção de Dados
ELABORAÇÃO
Claranet Technology
ADAPTAÇÃO
Claranet Technology
SOBRE ESTA CARTILHA
Esta cartilha consolida um conjunto de questões para facilitar a compreensão da Lei Geral de Proteção de Dados (LGPD) e seus impactos na CLARANET TECHNOLOGY, orientando o controlador, encarregado e operadores sobre seus respectivos deveres e destacando os direitos dos titulares de dados pessoais que se relacionam com a organização.
ENCARREGADO DE PROTEÇÃO DE DADOS (DPO)
O encarregado de proteção de dados na Claranet Technology é o sr. Adilson Magalhães, podendo ser contatado pelo e-mail:
OBJETIVOS DA CARTILHA GERAL DE PROTEÇÃO DE DADOS - LGPD:
- Introduzir o assunto de maneira simples e didática
- Esclarecer quanto aos fundamentos da proteção de dados pessoais
- Informar quanto aos principais conceitos relativos à LGPD
- Demonstrar os principais atores envolvidos
- Fornecer exemplos adequados à realidade da Claranet Technology
- Conscientizar sobre os direitos dos titulares de dados
1. O que é a Lei Geral de Proteção de Dados pessoais – LGPD?
A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei n. 13.709, de 2018) dispõe sobre o tratamento de dados pessoais das pessoas naturais (vivas), definindo as hipóteses (bases legais) em que tais dados podem legitimamente ser utilizados por terceiros e estabelecendo mecanismos para proteger os titulares dos dados contra usos inadequados.
A Lei é aplicável ao tratamento de dados realizado por pessoas naturais(vivas) ou por pessoas jurídicas de direito público ou privado, e tem, conforme o art. 1º, o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Esta cartilha apresenta um resumo dos pontos principais da Lei, de modo que todos os colaboradores conheçam o tema, se engajem na adequação da Claranet Technology à LGPD e, ao mesmo tempo, saibam quais são seus direitos e deveres.
2. Quais dados são protegidos pela LGPD?
A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais(vivas), estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da Lei.
A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais(vivas), estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da Lei.
3. Fundamentos da Proteção de Dados
A LGPD traz claramente quais são os fundamentos relacionados à proteção de dados pessoais, que servem para embasar toda e qualquer ação que envolva seu tratamento. São eles:
4. O que são dados pessoais?
A LGPD adota, no art. 5º. inciso I, um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável.
Assim, além de informações básicas de identificação, a exemplo de nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros dados que estejam relacionados com uma pessoa natural, tais como seus hábitos de consumo, sua aparência e aspectos de sua personalidade.
Assim, além de informações básicas de identificação, a exemplo de nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros dados que estejam relacionados com uma pessoa natural, tais como seus hábitos de consumo, sua aparência e aspectos de sua personalidade.
Segundo art. 12. § 2º, da LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
Exemplos ilustrativos:
5. O que são dados pessoais sensíveis?
Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionamentos aos aspectos mais íntimos da personalidade de um indivíduo. Assim, de acordo com o art. 5º, II, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
Exemplos ilustrativos:
Gênero, Religião, Biometria.
6. O que são dados anonimizados?
São dados relativos ao titular, mas que não identificam o titular, considerando a utilização de técnicas de razoáveis e disponíveis na ocasião de seu tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um titular.
Por exemplo:
Dados anonimizados são utilizados em pesquisas científicas, análises comportamentais, estatísticas, não permitindo que o titular seja identificado.
7. O que é tratamento de dados pessoais, de acordo com a LGPD?
Segundo a LGPD, no art. 5º. tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
CICLO DE VIDA NO TRATAMENTO:
Dados pessoais e/ou sensíveis podem existir por curto ou até longo prazo.
Exemplo: Dados coletados na Newsletters e dados de cadastro de cliente.
8. Quais são os princípios para se tratar os dados pessoais?
Segundo o art. 6º da LGPD, são esses os princípios:
- Finalidade
- Adequação
- Necessidade
- Livre acesso
- Qualidade dos Dados
- Transparência
- Segurança
- Prevenção
- Não discriminação
- Responsabilização e Prestação de Contas
9. Quais são as hipóteses (bases legais) para o tratamento de dados pessoais previstas na LGPD?
O tratamento de dados pessoais poderá ser realizado em qualquer uma das seguintes hipóteses consignadas expressamente na LGPD, como é o caso das previstas no art. 7º:
- Mediante o fornecimento de consentimento pelo titular;
- Para o cumprimento de obrigação legal ou regulatória pelo controlador;
- Para a execução de políticas públicas, pela administração pública;
- Para a realização de estudos por órgão de pesquisa;
- Para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
- Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
- Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- Para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; e
- Para a proteção do crédito.
As bases legais para o tratamento de dados pessoais sensíveis estão previstas no art. 11 da LGPD. Já no caso de transferência internacional de dados pessoais, é necessário atender às hipóteses legais indicadas no art. 33.
10. Quais são as hipóteses (bases legais) utilizadas para tratar os dados pessoais na CLARANET TECHNOLOGY?
Na CLARANET TECHNOLOGY utilizamos as seguintes hipóteses (bases legais) de tratamento de dados pessoais:
- Mediante consentimento pelo titular;
- Para o cumprimento de obrigação legal ou regulatória pelo controlador;
- Para efeitos contratuais;
- Para a tutela da saúde;
- Para atender aos interesses legítimos do controlador;
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
11. Quando é permitido tratar os dados pessoais?
O conhecimento dos direitos do titular contribui para planejar a adequação da instituição à Lei LGPD. Os principais direitos do titular de dados pessoais estão descritos no Capítulo III da LGPD, entre os quais se destacam, resumidamente, os seguintes:
12. Quem são os atores previstos na LGPD?
Titular dos dados:
Pessoa física (viva) a quem se referem os dados pessoais que são objeto de tratamento.
Agentes de Tratamento:
Controlador: É quem decide como serão tratados os dados pessoais. “Quando você coleta dados, você é o controlador.”
Operador: É quem realiza o tratamento de dados em nome do controlador.
ANPD – Autoridade Nacional de Proteção de Dados
Órgão da administração pública no Brasil, responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.
Encarregado de Proteção de Dados
Pessoa indicada pelo Controlador para atuar como canal de comunicação entre o controlador, o titular dos dados e a ANPD, além de orientar os funcionários do controlador sobre boas práticas de tratamento de dados.
13. Quem são os atores na CLARANET TECHNOLOGY?
Titular dos dados:
- Colaborador(a) ou Excolaborador;
- Cliente;
- Usuário da internet;
- Fornecedor ou Prestador de Serviço.
Agentes de Tratamento:
Controlador: A CLARANET BRASIL desenvolve o papel de controladora.
Operador: Os parceiros de Benefícios e Fornecedores de Serviços são Operadores dos dados que a CLARANET BRASIL controla.
ANPD – Autoridade Nacional de Proteção de Dados
Órgão da administração pública no Brasil, responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.
Website: https://www.gov.br/anpd/pt-br
Encarregado de Proteção de Dados
O Sr. Adilson Magalhães é o Encarregado pelo Tratamento de Dados Pessoais (“DPO”), exercendo a função de atuar como canal de comunicação entre a Controladora, Titulares dos Dados Pessoais e a ANPD.
Informa-se, por fim, a forma de contato com nosso Encarregado pelo Tratamento de Dados Pessoais:
Via e-mail: dpo@br.clara.net
14. Ações na Adequação LGPD
- Mapear a entrada e o tratamento dos dados pessoais
- Mapear riscos internos e externos e elaborar relatório de impacto
- Gerenciar pedidos de titulares e órgãos reguladores
- Criar uma cultura de segurança e proteção de dados
- Adaptar processos para a proteção de dados
- Treinar e capacitar os responsáveis pelo tratamento de dados pessoais
- Focar em boas práticas de compliance e governança
- Exigir compliance da proteção de dados de fornecedores e parceiros
- Eleger um Encarregado de Proteção de Dados(DPO) com conhecimentos sobre proteção de dados
- Adotar o uso de novos produtos com o princípio de privacy by design
15. Como os Titulares dos Dados podem exercer seus direitos?
De acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei 13.709/2018, a Claranet, disponibiliza o canal através do e-mail governanca@br.clara.net para que o titular do dado (requerente) fique ciente que para exercer o seu direito de acesso à informação, os dados do titular estão protegidos e por este motivo o requerente fica ciente de sua responsabilidade civil e criminal pela utilização indevida ou ilícita dos dados obtidos perante a Claranet.
16. O que é o Mapeamento(Inventário) de Dados Pessoais?
Uma das primeiras etapas de qualquer organização é a realização do mapeamento (Inventário) de Dados Pessoais.
O Inventário de Dados Pessoais representa documento primordial no sentido de documentar o tratamento de dados pessoais realizados pela instituição, em alinhamento ao previsto pelo art. 37 da LGPD.
O inventário consiste em uma excelente forma de fazer um balanço do que o órgão e a entidade faz com os dados pessoais, identificando quais dados pessoais são tratados, onde estão e quais operações são realizadas com eles.
17. A ANPD pode aplicar sanções pelo descumprimento da lei LGPD?
Cabe lembrar, em primeiro lugar, que os dispositivos da LGPD que tratam de sanções administrativas entraram em vigor em 1º de agosto de 2021. Após essa data, a ANPD poderá aplicar, após procedimento administrativo que possibilite a ampla defesa, as seguintes sanções administrativas:
- advertência, com indicação de prazo para adoção de medidas corretivas; • multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total a que se refere o inciso II;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; e
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
A LGPD determina que a ANPD deverá editar regulamento próprio sobre sanções administrativas, que deverá ser objeto de consulta pública, contendo as metodologias que orientarão o cálculo do valor-base das sanções de multa. Tais metodologias devem ser previamente publicadas.
18. Qual é a responsabilidade dos colaboradores?
Todos os processos devem prever a proteção de dados pessoais na CLARANET TECHNOLOGY, sendo que cada colaborador é responsável, em sua respectiva esfera de atribuição, por preservar e proteger os dados pessoais sob sua responsabilidade, estando, para isso, sob a orientação do Código de Ética e Conduta da CLARANET TECHNOLOGY.
Qualquer fator ou conduta que possa causar dano ou impacto envolvendo dados pessoais, sensíveis, proteção de dados o colaborador deverá comunicar imediatamente ao seu gestor e a área de TI para que avaliem e tomem as medidas necessárias.
Exemplo: extravio de laptop, mensagem de e-mail suspeita, etc.
19. Quais os sites oficiais da LGPD e ANPD respectivamente?
LGPD
Você pode acessar o sítio eletrônico da LGPD – Lei Geral de Proteção de dados através =>
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
ANPD
Você pode acessar o sítio eletrônico da ANPD – Autoridade Nacional de Proteção de Dados através =>
20. Apoio Claranet na Jornada LGPD
Todas as instituições do setor Privado e Público devem se adequar perante a LGPD no Brasil, isto é fato.
Lembrando que além da adequação, é necessário a sustentação do Tripé: Processos, Compliance e Tecnologia que suportam a LGPD, Privacidade e Proteção de Dados.
Para apoiar nesta Jornada LGPD a Claranet possui metodologia e profissionais especializados para auxiliar na condução.
Visite nossa página e fale com um dos nossos especialistas para agendar uma conversa:
Agende aqui uma consultoria LGPD