preloader
Your address will show here +12 34 56 78
Fique por Dentro, Legislação
Decidimos reunir uma lista de termos e destaques para ajudar a entender melhor o que é a LGPD. O conteúdo é baseado em material feito por Marcos Sêmola, sócio da Ernst & Young para Cybersecurity.

Sobre a LGPD

A Lei se aplica a: Empresas estabelecidas no Brasil e empresas que ofereçam serviços a brasileiros.

A Lei não se aplica a: Dados corporativos e de negócio, dados para fins particulares e não econômicos e dados para fins jornalísticos, artísticos, acadêmicos, penais, investigativos, e de segurança pública.

Termos

Dado pessoal: Informação relacionada à uma pessoa natural identificada ou identificável;

Dado pessoal sensível: Raça e etnia, convicção religiosa, opinião política, filiação sindical, dados de saúde, opção sexual, genético-biométrico ou dados de crianças;

Dado anonimizado: Aquele cujo titular não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Uma vez anonimizado, o dado não é mais considerado pessoal salvo quando o processo de anonimização puder ser revertido;

Estado dos dados: Podem ser: em uso, em movimento, em nuvem, em repouso, estruturados e não estruturados;

Tratamento de dados pessoais: Se refere à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração dos dados;

Titular do dado: Pessoa natural que detém direitos estabelecidos pela LGPD sobre seus dados pessoais;

Controlador do dado: Pessoa física ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados pessoais;

Operador do dado: Pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.

Siglas:

ROPA (Record of Processing Activities) – Registro de operações: O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem desde a sua coleta até a sua exclusão, indicando quais dados serão coletados, sua base legal, finalidades, tempo de retenção, e as práticas de segurança;

DPIA (Data Protection Impact Assessment) – Relatório de impacto: Ferramenta para ajudar a identificar e minimizar os riscos na proteção de dados, que poderá ser requerida pela ANPD.

É a documentação com as atividades de tratamento de dados que podem gerar riscos aos titulares, bem como informações sobre a implementação de medidas de mitigação de danos;

ANPD (Autoridade Nacional de Proteção de Dados): É uma autoridade pública federal independente estabelecida para supervisionar e fiscalizar a execução da Lei Geral de Proteção de Dados (13.709/2018).

Deverá funcionar da mesma forma que outras agências reguladoras, podendo estabelecer diretrizes para a proteção de dados pessoais no Brasil.

Será composta por um Conselho Diretor, um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, um órgão de apoio jurídico e unidades especializadas para à aplicação da LGPD.

Enquanto a ANPD não estiver formada, o decreto que estrutura a ANPD ainda pode sofrer alterações. Até aqui, ele traz três eixos temáticos: normatização, educação e articulação institucional, e fiscalização e supervisão;

DPO (Data Protection Officer): Pessoa física ou jurídica nomeada pelo controlador, que atuará como um canal de comunicação entre o controlador, os titulares dos dados e a autoridade de proteção de dados (no caso do Brasil a ANPD).
0

Fique por Dentro
A Autoridade Nacional de Proteção de Dados (ANPD) é uma entidade em formação que será orientadora e fiscalizadora das empresas de acordo com o previsto na LGPD. Inclusive, a lei garante a autonomia técnica necessária para a autoridade realizar suas atividades de forma imparcial, apesar de ser ligada à Presidência da República.

Primeiramente, sua responsabilidade será de orientação das empresas quanto às exigências da nova Lei, principalmente no primeiro momento em que ainda podem surgir dúvidas e dificuldades na aplicação de medidas.

Além disso, provavelmente terá uma atuação menos pró-ativa, sendo acionada a partir de denúncias ou pedidos de orientação pelas próprias empresas. Isso devido à dificuldade natural em ativamente fiscalizar a grande quantidade de empresas que serão afetadas pela LGPD.

Não só a ANPD terá a característica orientadora, como também será um espaço para a sociedade enviar dúvidas e sugestões. Também é onde devem ser enviadas denúncias relacionadas à LGPD para serem apuradas e investigadas.

Depois de orientar e fiscalizar, a Autoridade Nacional de Proteção de Dados também poderá advertir empresas que não estejam em concordância com a LGPD. Por fim, se ainda houver descumprimento, ela poderá penalizar empresas conforme as especificações no último tópico.

Como foi criada

A criação da autoridade já estava prevista na Lei Geral de Proteção de Dados Pessoais. Porém, o dispositivo da lei que criava a ANPD foi vetado por Michel Temer. Logo depois, em dezembro de 2018, através de uma medida provisória, foi recriada. Depois, foi aprovada em maio de 2019 pela Câmara e pelo Senado, e sancionada em julho de 2019 pelo presidente da República.

Para que serve

De acordo com o Artigo 55-J da LGPD, compete à ANPD, entre outras obrigações:
  • zelar pela proteção dos dados pessoais, nos termos da legislação;
  • elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
  • fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
  • promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
  • promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
  • solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei;
  • realizar auditorias, ou determinar sua realização, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
  • celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos;
  • comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
  • implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.

Será composta por quem?

A ANPD será composta por um Conselho Diretor, um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, um órgão de apoio jurídico e unidades especializadas para à aplicação da LGPD.

O colegiado do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto por 23 titulares, não remunerados, com mandato de dois anos. Serão esses:
  • 6 do Executivo Federal;
  • 1 do Senado Federal;
  • 1 da Câmara dos Deputados;
  • 1 do Conselho Nacional de Justiça;
  • 1 do Conselho Nacional do Ministério Público;
  • 1 do Comitê Gestor da Internet no Brasil;
  • 4 da sociedade civil com atuação comprovada em proteção de dados pessoais;
  • 4 de instituição científica, tecnológica e de inovação e
  • 4 de entidade do setor empresarial ligado à área de tratamento de dados pessoais.

O objetivo do governo é preencher em torno de 15 funções previstas ainda em 2019. Dentre essas 15 estariam cinco assentos do conselho diretor, seus assessores e profissionais para a área de coordenação geral de normatização.

Isso porque, como a existência da ANPD está prevista na LGPD, ela poderia já ter possibilidade de operar em agosto de 2020, quando a lei entrará em vigor. Inclusive, a falta de estruturação da ANPD é um dos argumentos na proposta que busca prorrogar essa data para 2022.

O que ela vai poder fazer?

A Autoridade Nacional de Proteção de Dados terá também o caráter punitivo, em casos de descumprimento contínuo da LGPD após advertências. No entanto, é importante lembrar que, de acordo com a Serpro, a atividade principal será orientação.

De acordo com o Capítulo VIII, Seção I, Artigo 52 da LGPD, “Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
  • advertência, com indicação de prazo para adoção de medidas corretivas;
  • multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária, observado o limite total a que se refere o inciso II;
  • publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração.”
0

Fique por Dentro
A LGPD tem sido discutida a muito tempo, e é um marco para a proteção de dados. O tema se tornou muito importante após os diversos escândalos de vazamento de dados dos últimos anos. Mas, se o problema é proteção de dados, o que o Compliance tem a ver com isso?

Duas coisas muito importantes tornam o Compliance o setor fundamental para a adequação da empresa à LGPD. O primeiro, é porque é dever do Compliance garantir que a empresa esteja de acordo com legislações referentes a ela. Por exemplo, precisa estabelecer processos e políticas para assegurar o cumprimento das leis no dia a dia.

Além disso, a LGPD é uma lei que, se não seguida à risco, pode acarretar danos imensos à reputação e imagem da empresa, além de multas pesadas. Isso é especialmente possível devido à grande publicidade e cobrança que têm vindo dos incidentes envolvendo dados de usuários.

Ou seja, o Compliance, afinal, tem o dever de garantir a segurança de dados de acordo com a LGPD da mesma forma que previne contra riscos derivados de outras legislações. Criando processos, políticas, documentos, programas de prevenção e gestão de riscos. E uma das recomendações mais importantes nesse processo é a nomeação de um Data Protection Officer (DPO).

O que é o Data Protection Officer (DPO)

O DPO é uma pessoa (ou empresa) nomeada pela pessoa jurídica que detêm os dados que precisam ser tratados (a controladora). Ele será o elo entre essa pessoa jurídica, os titulares dos dados (pessoas nominais aos quais os dados se referem) e a Autoridade Nacional de Proteção de Dados (ANPD), que ainda está em processo de elaboração.

É recomendado que seja uma pessoa ou área independente da empresa, ou até terceirizada. Assim, ela pode exercer suas atividades sem restrições e intermediações da empresa, já que nem sempre as medidas ou investigações serão em prol dos interesses imediatos da empresa.

Outra recomendação é que a identidade e informações de contato dessa pessoa, ou de um responsável pelo setor, estejam disponíveis. É preciso que funcionários, clientes e demais pessoas externas possam acessar o DPO para fazer questionamentos, tirar dúvidas e exigir seus direitos previstos na LGPD.

O que faz o DPO

O Data Protection Officer deve ter conhecimentos não só sobre dados, mas de processos de Governança Corporativa. Ele deve ser o responsável por fazer fiscalização e governança de acordo com a LGPD, e orientar funcionários e terceiros da empresa em como proteger e manusear devidamente os dados que a empresa possui.

Além disso, deve estar pronto para receber reclamações e denúncias e responder questionamentos de pessoas sobre o uso de dados na empresa. Por fim, é também a pessoa responsável por dialogar com a Autoridade Nacional de Proteção de Dados e prestar qualquer esclarecimento a ela e outras agências reguladoras.

Minha empresa precisa de um DPO?

A adoção de um DPO não é obrigatória para todas as empresas. A LGPD especifica que empresas que detêm um volume alto de dados pessoais ou sensíveis (raça e etnia, convicção religiosa, opinião política, filiação sindical, dados de saúde, opção sexual, genético-biométrico, ou dados de crianças) precisam sim ter um profissional destinado à proteção dos dados.

No entanto, é recomendado que qualquer empresa que tenha recursos para investir em um DPO faça isso. É um sinal de compromisso com a ética e segurança, importante não só para a reputação da empresa, mas para a ANPD. Além disso, as empresas ao redor do mundo têm sofrido sanções pesadas em incidentes envolvendo dados. Por isso, tudo indica que a ANPD também fará uma fiscalização rigorosa.


 
0