Intranet
SEMA BA

LGPD

Cartilha de Conformidade Sobre a Lei Geral de Proteção de Dados Pessoais

Em um mundo conectado, a LGPD é a bússola que nos orienta, lembrando-nos de que cada dado é uma história
e cada história merece ser protegida. V.L. DPO.

A LGPD é mais do que uma lei; é um compromisso com a salvaguarda da privacidade, construindo um ecossistema
digital onde confiança floresce. V.L. DPO.

É com grande satisfação que apresentamos esta cartilha dedicada à Lei Geral de Proteção de Dados (LGPD). Vivemos em uma era em que a informação tornou-se um ativo valioso, e a proteção dos dados pessoais é fundamental para garantir a privacidade e a segurança dos indivíduos.

  A LGPD, em vigor desde setembro de 2020, estabelece diretrizes claras para a coleta, tratamento e armazenamento de informações pessoais, afetando empresas de todos os tamanhos e setores. Este guia foi elaborado com o intuito de auxiliar organizações na compreensão dos princípios da LGPD e na implementação de práticas que estejam em conformidade com essa legislação.

Esta cartilha visa simplificar os requisitos da LGPD e oferecer diretrizes práticas para implementação, contribuindo para o desenvolvimento de uma cultura de privacidade eficaz.

Desejamos uma leitura produtiva e eficaz na compreensão da LGPD e na adoção de práticas que promovam a proteção dos dados pessoais.

A Lei 13.709/2018, conhecida como LGPD, entrou em vigor em 18 de setembro de 2020. Nos termos do artigo 1º da LGPD, a referida lei “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

A Cartilha sobre a Lei Geral de Proteção de Dados (LGPD) tem como objetivo esclarecer os pontos relevantes sobre o tema e trazer orientações quanto a sua aplicabilidade.  Estabelece, entre outros, conceitos e princípios aplicados e sugere algumas ações básicas para o programa de implementação.

Por isso, pensando na promoção da cultura da transparência e da proteção dos dados pessoais dos seus titulares, essa cartilha foi elaborada como parte do projeto de adequação da organização à LGPD, com o objetivo de repassar informações importantes sobre a lei protetora de dados pessoais a todos que compõem e realizam tratamento destas informações em nome da organização.


CONCEITOS E DEFINIÇÕES


Para melhor compreensão da LGPD, são apresentados abaixo os principais conceitos e definições relacionadas à Lei.

TITULAR

Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (art. 5, V). Observação: a LGPD fornece proteção apenas às pessoas físicas, não incluindo dados de pessoas jurídicas. Ex: dados pessoais de cliente pessoa natural; representantes de empresas; colaboradores terceirizados; colaboradores internos.

OPERADOR

Pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador (art. 5º, VII). Ex: empresas terceirizadas que realizam o tratamento de dados pessoais em nome da organização.

CONTROLADOR

Pessoa natural ou jurídica a quem compete as decisões referentes ao tratamento de dados pessoais (art. 5º, VI). Ex: o própria organização.

Observação: De acordo com a Autoridade Nacional de Proteção de Dados (ANPD), “não são considerados controladores (autônomos ou conjuntos) ou operadores os indivíduos subordinados, tais como os funcionários, os servidores públicos ou as equipes de trabalho de uma organização, já que atuam sob o poder diretivo do agente de tratamento”.

ENCARREGADO

Pessoa indicada pelo controlador que atua como canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD), o Data Protection Officer – DPO.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS – ANPD

É o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD, além de possuir atribuições relacionadas a proteção de dados pessoais e a privacidade em todo o território nacional (art. 5º, XIX).

ASSOCIAÇÃO NACIONAL DOS PROFISSIONAIS DE PRIVACIDADE – APDADOS

É agregadora de conhecimentos aos Encarregados | Data Protection Officers – DPOs do Brasil e exigidos pela LGPD – Lei Geral de Proteção de Dados – 13.709/2018 “Art. 41. Todo controlador deverá indicar um Encarregado pelo Tratamento de Dados Pessoais.”

DADOS PESSOAIS

A LGPD trouxe também a definição de dado pessoal em seu artigo 5º, I, como sendo “informação relacionada à pessoa natural identificada ou identificável”. Ex.: nome, CPF, RG, dados bancários, profissão, nacionalidade, endereço, localização etc.

DADOS PESSOAIS SENSÍVEIS

Ainda no artigo 5º, inciso II, a LGPD qualificou dado pessoal sensível como “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionamentos aos aspectos mais íntimos da personalidade de um indivíduo. Neste caso, para que a o tratamento seja feito de forma correta, é necessário que haja a adoção de mecanismos de segurança ainda maiores.

TRATAMENTO DE DADOS PESSOAIS

Interessante lembrar também a definição de tratamento apresentada pela LGPD (art. 5º, X), em que dispõe que tratamento será “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Segundo a LGPD, tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Ou seja, o simples acesso a um dado pessoal em uma tela de computador, por exemplo, já caracteriza o tratamento.

IMPORTÂNCIA DA PROTEÇÃO DE DADOS

A importância da proteção de dados é fundamental na sociedade moderna, impulsionada pela crescente digitalização e interconexão. Para que uma organização mantenha sua integridade e possa se desenvolver de forma saudável, a segurança de dados pessoais deve ser elevada à condição de prioridade.

A ausência de conformidade com a LGPD pode acarretar prejuízos que vão desde a perda de confiança devido à publicização de incidentes com dados pessoais até multas exorbitantes.

EXERCÍCIO DE DIREITOS PELOS TITULARES

Os titulares de dados pessoais têm direitos em relação às suas informações, sendo garantidos os direitos fundamentais à liberdade, à intimidade e à privacidade, nos termos do art. 17 da LGPD. “Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.”

Pensando nisso, a LGPD trouxe no Art. 18. “O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição” O Artigo 18, tem diversos direitos que podem ser

exercidos pelo titular de dados pessoais. São eles:

I.Confirmação da existência de tratamento;

II.Acesso aos dados;

III.Correção de dados incompletos, inexatos ou desatualizados;

IV.Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;

Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial.
VI.Eliminação dos dados pessoais tratados com o consentimento do titular,

exceto nas hipóteses previstas no art. 16.

Art . 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

I.- cumprimento de obrigação legal ou regulatória pelo controlador;

II.- estudo por órgão de pesquisa, garantida, sempre que possível,

a anonimização dos dados pessoais;

III.- transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou

IV.- uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

VII.Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII.Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX.Revogação do consentimento, quando os dados estivem sendo tratados com base nesse fundamento.

Para que o titular possa exercer esses direitos, o titular pode formalizar a solicitação pelos meios de comunicação fornecidos pela organização, seja de forma presencial ou remota através da Ouvidoria ou Portal Fale Conosco, vale ressaltar que a principal ponte de comunicação será o encarregado de dados, o DPO.

O prazo máximo para atendimento à solicitação do titular é de 15 dias corridos, a contar da data do requerimento do titular, nos termos do art. 19, inciso II da LGPD.

DEFINIÇÃO DE PAPÉIS

 

O controlador é responsável pela tomada de decisões acerca do tratamento de dados pessoais. É quem direciona os operadores acerca da manutenção, uso e guarda das informações.

A função do operador pode ser exercida por fontes externas à organização, as quais ficam responsáveis por executar as atividades conforme orientações do controlador. Ex.: empresas terceirizadas.

Tais definições aplicam-se a todos os prestadores de serviços externos que realizem tratamento de dados pessoais em nome da organização, visto que caracterizam como operadores e têm papel substancial na conformidade da Organização com a LGPD.

RESPONSABILIDADE DOS AGENTES

Tanto o controlador como o operador podem ser responsabilizados pelo tratamento indevido dos dados pessoais que causem danos patrimoniais, morais, individuais ou coletivos aos titulares. “Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.

Caso haja envolvimento de diversos controladores, por exemplo, a própria organização e outra empresa ou membro do Poder Público que esteja igualmente responsável pela tomada de decisões referente ao tratamento dos dados pessoais (Controladoria Conjunta), respondem solidariamente entre si, ou seja, ambos podem ser obrigados a pagar integralmente a multa imposta, por exemplo. Além disso, o operador que atuar diretamente no tratamento do dado pessoal e ocasionar o referido dano será equiparado ao controlador. Dessa forma, o operador responde também de maneira solidária pelos danos causados quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que este responderá conjuntamente com o controlador (art. 42, §1º, I e II).

1º A fim de assegurar a efetiva indenização ao titular dos dados:
I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;

II – os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.

Pode-se elencar como exemplos de fatos que podem acarretar a responsabilidade civil:

Vazamentos (data leaks – Violação de dados);
Não atendimento aos direitos do titular;
Tratamento em desconformidade com a LGPD.
Para mitigar a ocorrência destes riscos, é importante que a organização e todos que possuem vínculo com o tratamento de dados pessoais auxiliem nas informações de incidentes e controle de acesso aos dados a fim de manter a cultura de privacidade.

BASES LEGAIS E HIPÓTESES DE TRATAMENTO

A LGPD também traz diferentes bases legais e hipóteses de tratamento que justificam o tratamento de dados pessoais. Destaca-se que a lei separou as hipóteses de tratamento de dados pessoais em: “tratamento de dados pessoais” (art. 7º) e “tratamento de dados pessoais sensíveis” (art. 11º).

O tratamento de dados pessoais poderá ser realizado apenas nas seguintes hipóteses:

Mediante o fornecimento de consentimento pelo titular;
O tratamento de dados pessoais é realizado com o consentimento do titular..
II. Cumprimento de Obrigação Legal ou Regulatória:

O tratamento é necessário para o cumprimento de obrigação legal ou regulatória pelo controlador.
III. Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

Para a realização de estudos por órgão de pesquisa, garantida, sempre
que possível, a anonimização dos dados pessoais;

IV. Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

Para a execução do contrato de trabalho ou de compra e venda, O tratamento é necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular.
Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); O tratamento é necessário para o exercício regular de direitos em processo judiciais.
V. Para a proteção da vida ou da incolumidade física do titular ou de terceiros; O tratamento é necessário para a proteção da vida ou da incolumidade física do titular ou de terceiro.

VI. Para a tutela da saúde O tratamento é necessário para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde.

Interesses legítimos, O tratamento é necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem os direitos e liberdades fundamentais do titular.
VII. Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Ao passo que o tratamento de dados pessoais sensíveis poderá ser realizado, somente na ocorrência das seguintes hipóteses:

Quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) Cumprimento de obrigação legal ou regulatória pelo controlador;

b)Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c)Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis.

d) Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 307, de 23 de setembro de 1996 (Lei de Arbitragem).

e) Proteção da vida ou da incolumidade física do titular ou de terceiros;

Coleta de atestados médicos, realização de exames admissionais, uso de EPI, por exemplo

f) Tutela da saúde, exclusivamente, em procedimento realizado por profissionais

de saúde. É importante que as organizações e profissionais de saúde estejam cientes das obrigações da LGPD e adotem práticas que estejam em conformidade com a legislação, considerando a sensibilidade dos dados de saúde que podem ser tratados.

g) Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Embora a LGPD não tenha uma seção específica sobre prevenção à fraude, as medidas e princípios estabelecidos na lei contribuem para a criação de um ambiente mais seguro para os titulares de dados, reduzindo potenciais riscos de práticas fraudulentas. É importante que as organizações estejam em conformidade com a legislação e adotem boas práticas de segurança da informação para garantir a proteção dos dados pessoais.

SANÇÕES ADMINISTRATIVAS

A Lei Geral de Proteção de Dados Pessoais entrou em vigor em setembro de 2020 e suas sanções administrativas podem ser aplicadas desde agosto de 2021 (art. 52 da LGPD). As organizações que violarem a lei ou causarem incidentes de segurança poderão sofrer as penalidades previstas na Lei que variam de acordo com a gravidade, inclusive a organização. Sendo assim, as possíveis sanções são:

Advertência; Uma comunicação formal indicando que a infração ocorreu e que há a necessidade de corrigi-la.
Multa simples; de até 2 % do faturamento da pessoa jurídica, limitado a R$
50.000.000,00 (cinquenta milhões) por infração;

Multa diária; Multa diária, observando o limite total de 50 milhões de reais.
Publicização da infração; A ANPD pode tornar pública a infração, informando detalhes sobre a violação e as sanções aplicadas. Essa publicização visa aumentar a transparência e conscientizar a sociedade sobre a importância da proteção de dados.
Bloqueio dos dados pessoais; A autoridade pode determinar o bloqueio dos dados pessoais relacionados à infração. O bloqueio impede o acesso ou processamento dos dados, garantindo a proteção temporária dos mesmos.
Eliminação dos dados pessoais; A ANPD pode determinar a eliminação dos dados pessoais relacionados à infração. A eliminação implica na exclusão permanente desses dados, contribuindo para mitigar os riscos associados à infração.
Suspensão; parcial do funcionamento do banco de dados pelo período máximo de 6 meses, prorrogáveis por igual período;
Suspensão; do exercício da atividade de tratamento dos dados pessoais pelo período máximo de 6 meses, prorrogáveis por igual período;
Proibição parcial ou total; do exercício de atividades relacionadas a tratamento de dados.
Destaca-se que aquele que não contribuir com as diretrizes estabelecidas pela organização em relação à privacidade e proteção de dados poderá sofrer penalidades administrativas, civis e criminais.

Sua ajuda é muito importante para a organização se adequar à LGPD!

DOCUMENTAÇÃO E A LGPD

TODOS os processos que envolvem dados pessoais devem estar documentados. O Encarregado de Dados (DPO), é o ponto focal nessa atividade, o qual torna-se responsável por gerenciar os registros, zelar e manter atualizadas as documentações relativas ao tratamento de dados pessoais.

REGISTRO DAS OPERAÇÕES DE TRATAMENTO DE DADOS PESSOAIS

Consiste no Registro das Operações de Tratamento dos Dados Pessoais realizados pela organização (art. 37 da LGPD). Este registo permite que a organização tenha uma visão completa de todos os dados pessoais que são tratados e, consequentemente, a identificação de quais processos estes dados estão utilizados, bem como o seu respectivo ciclo de vida. Trata-se de um documento vivo com necessidade de revisão periódica.

Neste documento é possível identificar:

Quem são os agentes de tratamento;
Descrição do tratamento;
Qual a finalidade do tratamento;
Quais espécies de dados pessoais são tratadas;
Quais categorias de titulares e sua relação com o controlador;
Se há o compartilhamento de dados pessoais na própria organização e com terceiros;
As bases legais que legitimam o tratamento dos dados pessoais.

RELATÓRIO DE IMPACTO À PRIVACIDADE DE DADOS (RIPD)

O Relatório de Impacto à Privacidade de Dados (RIPD) é um instrumento previsto pela Lei Geral de Proteção de Dados (LGPD) no Brasil. Esse relatório é uma avaliação detalhada que deve ser conduzida por organizações quando realizam atividades de tratamento de dados que envolvem um elevado risco à privacidade dos titulares dos dados.

O RIPD tem a função de identificar, analisar e minimizar potenciais riscos de incidentes envolvendo dados pessoais, bem como indicar se a operação de tratamento de dados pessoais possui, ou não, respaldo legal para a sua realização (art. 5º, XVII).

A elaboração do RIPD é necessária em algumas situações específicas, conforme estabelecido no (art. 38 da LGPD). Especificamente, o RIPD deve ser realizado quando o tratamento de dados pessoais envolver:

Decisões automatizadas com base em dados pessoais: Se o tratamento de dados resultar em decisões automatizadas que afetem os interesses dos titulares,
Tratamento de dados sensíveis ou de crianças e adolescentes: Quando o tratamento envolve dados sensíveis ou dados de crianças e adolescentes.
Transferência internacional de dados:Se houver a transferência internacional de dados pessoais para países que não garantam um nível adequado de proteção de dados.
O RIPD deve conter, pelo menos, as seguintes informações:
Descrição do tratamento: Detalhes sobre as atividades de tratamento de dados, incluindo finalidades, meios, e formas de coleta.
Análise de riscos: Avaliação dos riscos à privacidade dos titulares dos dados decorrentes do tratamento.
Medidas de mitigação: Descrição das medidas adotadas para mitigar os riscos identificados.
Responsabilidades e técnicas utilizadas: Indicação das técnicas e dos processos utilizados para assegurar o cumprimento da LGPD.
O RIPD é uma ferramenta importante para garantir que organizações identifiquem, compreendam e abordem proativamente os riscos à privacidade associados ao tratamento de dados pessoais. Além disso, em alguns casos, a consulta prévia à Autoridade Nacional de Proteção de Dados (ANPD) pode ser necessária antes da realização de determinadas atividades de tratamento de dados de alto risco. Solicitando o documento a ANPD. Entre os critérios que possivelmente serão utilizados pela ANPD para identificar esse alto risco estão os seguintes pontos:
Fundamentados no legítimo interesse do controlador; Tratamentos baseados no legítimo interesse do controlador podem ser considerados de alto risco, especialmente se houver potencial impacto significativo nos direitos e liberdades dos titulares dos dados.
Realização de tratamento automatizado, incluindo a definição de perfis; Atividades que envolvem decisões automatizadas, como a definição de perfis, podem ser consideradas de alto risco, especialmente quando essas decisões têm impacto significativo nos titulares dos dados.
Tratamento de dados pessoais sensíveis em larga escala; O tratamento de dados pessoais sensíveis, como informações sobre saúde, origem racial ou étnica, orientação sexual, entre outros, em larga escala, pode ser considerado de alto risco devido à sensibilidade desses dados.
Avaliação de Impacto à Proteção de Dados (AIPD): A realização de uma Avaliação de Impacto à Proteção de Dados (AIPD) é um indicativo de que o tratamento é considerado de alto risco.
Transferências Internacionais de Dados: Atividades que envolvem transferências internacionais de dados para países sem adequação podem ser consideradas de alto risco.

GESTÃO DE CONTRATOS E A LGPD

A gestão de contratos desempenha um papel crucial no contexto da Lei Geral de Proteção de Dados (LGPD) no Brasil. Os contratos são instrumentos legais que estabelecem as condições para o tratamento de dados pessoais por parte de diferentes entidades, e, portanto, a gestão adequada desses contratos é essencial para garantir a conformidade com as normas de privacidade.

Aqui estão algumas considerações relacionadas à gestão de contratos e a LGPD:
Cláusulas Contratuais de Proteção de Dados: Os contratos devem incluir cláusulas específicas relacionadas à proteção de dados, conforme exigido pela LGPD. Essas cláusulas devem abordar aspectos como a finalidade do tratamento, as medidas de segurança adotadas e a responsabilidade das partes envolvidas.
Responsabilidades das Partes: Os contratos devem definir claramente as responsabilidades de cada parte em relação ao tratamento de dados pessoais. Isso inclui o controlador (responsável pelas decisões sobre o tratamento) e o operador (entidade que realiza o tratamento em nome do controlador).
Transferência de Dados para Terceiros: Se houver a transferência de dados pessoais para terceiros, como fornecedores ou parceiros de negócios, os contratos devem abordar essa transferência de forma transparente e em conformidade com as normas da LGPD.
Confidencialidade e Segurança da Informação: Cláusulas relacionadas à confidencialidade e segurança da informação são essenciais. Os contratos devem estabelecer medidas para proteger os dados pessoais contra acessos não autorizados, vazamentos ou qualquer forma de tratamento indevido.
Notificação de Incidentes de Segurança: Os contratos devem definir os procedimentos para notificação em caso de incidentes de segurança que possam afetar a segurança dos dados pessoais. A LGPD exige a comunicação de incidentes à Autoridade Nacional de Proteção de Dados (ANPD) e, em alguns casos, aos titulares dos dados.
Prazo de Retenção de Dados: O contrato deve especificar o prazo pelo qual os dados pessoais serão armazenados e as condições para a sua eliminação ao final desse período.


SIGILO E PROTEÇÃO DE DADOS PESSOAIS NA TERCEIRIZAÇÃO


Nos casos de compartilhamento ou contratação de terceirizadas, é importante zelar pela

CONFIDENCIALIDADE e PRIVACIDADE dos dados pessoais compartilhados entre as empresas. O compartilhamento dos dados somente deve ocorrer em casos imprescindíveis e inerentes à execução do contrato, de forma a zelar sempre pela proteção e sigilo dos dados (art. 5º, XVI).

TRATAMENTO DE DADOS PESSOAIS DE TERCEIROS NA GESTÃO DE CONTRATOS
O tratamento de dados pessoais de terceiros na gestão de contratos está sujeito às disposições da Lei Geral de Proteção de Dados (LGPD) no Brasil. Ao lidar com dados pessoais de terceiros durante a gestão de contratos, é crucial garantir que as práticas estejam em conformidade com os princípios e requisitos estabelecidos pela LGPD. Aqui estão algumas considerações importantes:

Transparência e Finalidade: Informe claramente os terceiros sobre a coleta e o tratamento de seus dados pessoais.
Base Legal para o Tratamento: Certifique-se de que há uma base legal válida para o tratamento dos dados pessoais dos terceiros.
Cláusulas Contratuais de Proteção de Dados: Inclua cláusulas específicas nos contratos que regem o tratamento de dados pessoais.
Segurança da Informação: Implemente medidas de segurança apropriadas para proteger os dados pessoais de terceiros contra acessos não autorizados, vazamentos ou qualquer forma de tratamento indevido.
Limitação da Retenção: Determine um prazo de retenção adequado para os dados pessoais e as condições para sua eliminação após o término do contrato.
Notificação em Caso de Incidentes: Estabeleça procedimentos claros para notificar terceiros e a Autoridade Nacional de Proteção de Dados (ANPD).
Avaliação de Impacto à Proteção de Dados (AIPD): Considere a realização de Avaliações de Impacto à Proteção de Dados (AIPD) se o tratamento envolver riscos significativos à privacidade dos terceiros.
Responsabilidade: Assegure-se de que as responsabilidades em relação ao tratamento de dados pessoais estejam claramente definidas entre as partes envolvidas no contrato.
Treinamento e Conscientização: Treine os colaboradores envolvidos na gestão de contratos para garantir que compreendam e cumpram os requisitos da LGPD relacionados ao tratamento de dados pessoais.

MEDIDAS TÉCNICAS E ADMINISTRATIVAS DE SEGURANÇA

Essas medidas são essenciais para garantir que as organizações cumpram os requisitos da LGPD e protejam efetivamente os dados pessoais dos titulares. A implementação bem-sucedida de medidas técnicas e administrativas de segurança contribui para a construção de um ambiente confiável e seguro para o tratamento de dados pessoais. Com o propósito de se preservar a segurança dos dados pessoais, os agentes de tratamento devem adotar medidas técnicas e administrativas de segurança aptas a proteger os dados pessoais (art. 6º, inciso VII da LGPD).

Para tanto, sugere-se a implementação de controles físicos e lógicos nos sistemas, tomando algumas medidas técnicas recomendadas pela LGPD: Ex.: Armazenamento de documentos físicos em locais com segurança, Backup e Recuperação, Criptografia, Anonimização e Pseudonimização, Atualizações de Software, etc.

INCIDENTES DE SEGURANÇA SEGUNDO A LGPD


Incidentes de segurança são eventos indesejados ou inesperados que têm grande probabilidade de comprometer as operações e ameaçar a segurança da informação.

Estes podem representar violações de dados pessoais e assim deverão ser tratados não só pela equipe de segurança da informação, mas também por todos os colaboradores, os quais têm a responsabilidade de prezar pela segurança dos dados e comunicar quaisquer possíveis incidentes.

NOTIFICAÇÃO E RESPOSTA ÀS VIOLAÇÕES DE DADOS


A abordagem da LGPD em relação a incidentes de segurança visa garantir que tanto os titulares dos dados quanto a Autoridade Nacional de Proteção de Dados (ANPD) sejam informados de maneira adequada em caso de violações.

Incidente de segurança: é qualquer evento que não faz parte da operação padrão de um serviço. Pode causar uma interrupção do serviço ou uma redução da sua qualidade.
Violação de dados pessoais: é uma espécie de incidente de segurança que pode levar à destruição, perda, alteração, divulgação não autorizada ou acesso indevido a dados pessoais.
Medidas Adequadas de Proteção: Se o controlador adotar medidas que eliminem o risco de impacto aos titulares dos dados, a notificação pode ser dispensada.
Disposições Contratuais: Se houver disposições contratuais estabelecendo a obrigação de confidencialidade e segurança da informação, a notificação pode ser dispensada, desde que a violação não represente risco aos titulares dos dados.
Manutenção de Registro: O controlador é obrigado a manter um registro de todas as violações de dados pessoais, contendo informações sobre a violação, as medidas adotadas e os resultados.
Os gestores das unidades e das gerências da organização têm papel de suma importância na comunicação de incidentes que possivelmente violem os direitos dos titulares (art. 48), haja visto o grande volume de dados sob sua responsabilidade.

Tais responsáveis também têm função colaborativa com as investigações que venham a ser realizadas em decorrência do incidente.

Caso seja identificado um alto risco concreto de dano aos titulares, as violações de dados deverão ser comunicadas tanto à ANPD quanto aos titulares pelo controlador ou Encarregado, no prazo de até 02 (dois) dias úteis, a fim de que estes tenham ciência para atuarem com prazo razoável contra o vazamento de dados.

O objetivo do processo de resposta a incidentes é minimizar os danos que poderiam ser causados pela violação de dados pessoais, reduzir o tempo de ação e os custos de recuperação.

Aqueles que identificam o incidente têm papel fundamental na comunicação e colaboração no tratamento de incidentes que possam gerar danos aos titulares de dados pessoais.

PRESTAR INFORMAÇÕES SOLICITADAS AO ENCARREGADO

Os direitos dos titulares de dados podem ser exigidos a qualquer momento e oportunidade.

Por isso, quando necessário, o Encarregado da organização poderá solicitar informações às áreas responsáveis pelo tratamento dos dados pessoais para melhor atendimento às solicitações dos titulares. Neste momento, é dever de todos os departamentos responder e prestar informações de forma rápida e suficiente quando necessário.

O COMPROMISSO DE TODOS COM A PROTEÇÃO DE DADOS PESSOAIS É ESSENCIAL!

TODOS que se relacionam em algum momento com a organização e realizam tratamento de dados pessoais em seu nome devem zelar pela PRIVACIDADE na execução das atividades, bem como a conscientização daqueles que possuam acesso a dados pessoais, a fim de se evitar a aplicação de sanções previstas na LGPD.

Conclusão

  • Chegamos ao final desta cartilha dedicada à Lei Geral de Proteção de Dados (LGPD), e esperamos que as informações apresentadas tenham sido valiosas e esclarecedoras para a compreensão e implementação dos requisitos dessa legislação crucial.
  • Ao longo destas páginas, buscamos fornecer uma visão abrangente dos princípios, direitos e responsabilidades estabelecidos pela LGPD. A proteção de dados pessoais é um compromisso essencial para qualquer organização, e sua conformidade com as regulamentações é uma demonstração clara do respeito à privacidade dos indivíduos.

Agradecimentos

  • Agradecemos a você, caro leitor, por dedicar seu tempo à leitura desta cartilha. Esperamos que as informações aqui contidas sejam úteis em seu esforço contínuo para proteger e gerenciar dados pessoais de maneira responsável.

Consulta

  • Reiteramos nosso compromisso com a promoção da privacidade e proteção de dados. Que esta cartilha seja uma ferramenta valiosa na construção de práticas sólidas de gestão de dados pessoais.
  • Agradecemos pela sua atenção e dedicamos nosso esforço contínuo para manter o compromisso com a privacidade em um mundo cada vez mais digital. Estamos à disposição para esclarecer dúvidas adicionais e oferecer suporte no processo de implementação, e Adequação da LGPD em sua organização. Não hesite em nos contatar.