Escolar Documentos
Profissional Documentos
Cultura Documentos
Como resposta, nos últimos anos, diversos países criaram normas, buscando
regulamentar a segurança das informações dos cidadãos. Neste ponto,
o General Data Protection Regulation (GDPR), editado na Europa em 2016, e
o California Consumer Pricavy Act (CCPA), nos EUA, em 2018, representam
grandes referências mundiais em proteção de dados.
O efeito, portanto, foi a criação de uma nova ordem jurídica que determina a
reestruturação na organização de empresas e empreendedores, envolvendo
investimentos em segurança dos dados em todos os níveis, já que a falta de
adequação pode acarretar diversas consequências.
LGPD
A Lei Geral de Proteção de Dados, Lei nº 13.709/2018, ou simplesmente
LGPD, foi editada para proteger, principalmente, a privacidade das pessoas,
através da regulamentação do uso de dados de pessoas físicas por empresas,
órgãos públicos ou ainda por outra pessoa física.
Preciso me adequar?
Todos aqueles que, de alguma forma, recebem ou usam dados de pessoas
devem estar atentos à LGPD, especialmente quando houver fins econômicos
envolvidos.
► Evitar punições: com o uso dos dados individuais protegidos por lei, o Poder
Judiciário, com base na responsabilidade civil e penal, bem como os agentes
fiscalizatórios, como a Autoridade Nacional de Proteção de Dados (ANPD), têm
à sua disposição diversas punições pedagógicas e reparatórias para aqueles
que descumprirem a lei. Merece destaque o fato de que a tutela desses direitos
pelos Tribunais já se encontra vigente e vem sendo aplicada.
Início
Visão geral
Aplicação
Aplicação Geral
Quando uma pesssoa física ou jurídica, seja da iniciativa privada ou da
administração pública, utiliza dados pessoais de qualquer cidadão, inclusive
por meios digitais, deve cumprir as regras da LGPD.
Regras e Exceções
Regras de aplicação da LGPD:
- comunicação;
Fundamentos
Direito à Privacidade: base sobre a qual a LGPD se estrutura, garantida por
meio da inviolabilidade da intimidade, da honra, da imagem e da vida privada.
Autodeterminação Informativa: direito de o titular das informações controlar e
ser objetivamente informado acerca da finalidade e utilização dos seus dados.
Liberdade de Expressão, de Informação, Comunicação e Opinião: reflete o
direito de acesso às informações do titular dos dados.
Desenvolvimento Econômico e Tecnológico, e Inovação: a LGPD visa trazer
maior segurança jurídica aos novos cenários criados pelos avanços da
tecnologia.
Livre Iniciativa, Concorrência e Defesa do Consumidor: retrata o
reconhecimento da necessidade de criar regras de atuação para ambientes de
grande competitividade e assimetria nas relações jurídicas.
Livre Desenvolvimento da Personalidade, Dignidade e Exercício da Cidadania
pelas Pessoas: assegura às pessoas o direito de determinar e exercer suas
próprias vontades.
Princípios da LGPD
Em relação aos princípios, que se traduzem em direitos e deveres impostos
pela norma, observa-se que, na LGPD, a boa-fé, isto é, a lealdade entre as
partes, deve estar sempre presente na utilização de dados.
Conceitos da Norma
Por se tratarem de regras gerais para proteção de dados, a própria LGPD traz
organizados, de forma didática, os conceitos dos seus principais termos,
viabilizando sua compreensão.
Dado Pessoal
Base legal: artigo 5º, inciso I
Art. 5°. Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
Exemplos:
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião polí
religioso, filosófico ou político, dado referente á saúde ou à vida sexual, dado genético ou biométrico, qua
São dados vinculados à pessoa que digam respeito à sua intimidade, capazes
de gerar discriminação. Entende-se, inicialmente, que o rol apresentado pela
LGPD é apenas exemplificativo.
Cita-se, como exemplo, a imagem de uma pessoa, cuja utilização pode ser
apenas para fins de elaboração de um documento (dado pessoal) ou para
candidatar-se a uma vaga de emprego (dado pessoal sensível).
Dado Anonimizado
Base legal: artigo 5º, inciso III
Art. 5°. Para os fins desta Lei, considera-se:
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização d
seu tratamento;
Trata-se de um dado referente a uma pessoa que não possa ser mais
identificada, através de meios técnicos razoáveis e disponíveis. De acordo com
o dicionário, anonimizar significa tornar anônimo, ocultar-se. Os dados
anonimizados não são protegidos pela LGPD, salvo se for possível sua
reversão.
Anonimização
Base legal: artigo 5º, inciso XI
Art. 5°. Para os fins desta Lei, considera-se:
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por m
associação, direta ou indireta, a um indivíduo;
Pseudonimização
Base legal: artigo 13, § 4º
Art. 13, § 4º. Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado
um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambien
Neste caso, os dados não são apagados, como ocorre na anonimização, mas
sim dissociados, ou seja, separados, sendo possível, inclusive, identificar o
caminho para se chegar ao titular do dado.
Banco de Dados
Base legal: artigo 5º, inciso IV
Art. 5°. Para os fins desta Lei, considera-se:
Titular
Base legal: artigo 5º, inciso V
Art. 5°. Para os fins desta Lei, considera-se:
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto do tratamento;
É a pessoa física "dona dos dados" que serão utilizados e a quem se dirige a
proteção da LGPD.
Controlador
Base legal: artigo 5º, inciso VI
Art. 5°. Para os fins desta Lei, considera-se:
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões r
Operador
Base legal: artigo 5º, inciso VII
Art. 5°. Para os fins desta Lei, considera-se:
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados
Encarregado
Base legal: artigo 5º, inciso VIII
Art. 5°. Para os fins desta Lei, considera-se:
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicaçã
Nacional de Proteção de Dados (ANPD);
Agentes de Tratamento
Base legal: artigo 5º, inciso IX
Art. 5°. Para os fins desta Lei, considera-se:
Tratamento
Base legal: artigo 5º, inciso X
Art. 5°. Para os fins desta Lei, considera-se:
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, pro
transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou con
difusão ou extração;
Consentimento
Base legal: artigo 5º, inciso XII
Art. 5°. Para os fins desta Lei, considera-se:
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratam
É a forma, clara e evidente, em que o titular concorda com a utilização dos seus
dados para uma finalidade específica. Para isso, deve não só receber todas as
informações que envolvem o seu uso, como também ter a possibilidade de
conceder ou não essa autorização. A partir do conceito, é possível estabelecer
os requisitos essenciais para que o consentimento seja considerado válido:
o livre;
o informado;
o inequívoco; e
o para uma finalidade específica.
Bloqueio
Base legal: artigo 5º, inciso XIII
Art. 5°. Para os fins desta Lei, considera-se:
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pesso
Eliminação
Base legal: artigo 5º, inciso XIV
Art. 5°. Para os fins desta Lei, considera-se:
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados independen
XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organis
RIPD - Relatório de Impacto de
Proteção de Dados Pessoais
Base legal: artigo 5º, inciso XVII
Art. 5°. Para os fins desta Lei, considera-se:
XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a d
gerar riscos às liberdade civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismo
Órgão de Pesquisa
Base legal: artigo 5º, inciso XVIII
Art. 5°. Para os fins desta Lei, considera-se:
XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídic
as leis brasileiras, com sede e foro no país, que inclua em sua missão institucional ou em seu objetivo soc
científico, tecnológico ou estatístico;
Autoridade Nacional
Base legal: artigo 5º, inciso XIX
Art. 5°. Para os fins desta Lei, considera-se:
XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar
Vigência
A Lei n° 13.709/2018 foi publicada em 15.08.2018 com a previsão para entrar
em vigor, em princípio, no dia 18.02.2020, conforme a redação original do artigo
65.
Alterações Legislativas
Conforme visto acima, a LGPD tinha previsão para entrar em vigor, a princípio,
no dia 18.02.2020, segundo a redação original do artigo 65.
Entretanto, a Medida Provisória n° 869/2018, convertida na Lei n° 13.853/2019,
alterou esse dispositivo para estabelecer novas vigências:
- Inciso I: 28.12.2018 para os artigos que tratam das partes integrantes da
fiscalização, ou seja, a Autoridade Nacional de Proteção de Dados (ANPD) e o
Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (artigos
55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B).
Esta previsão foi mantida, tendo entrado em vigor de fato no dia 28.12.2018;
- Inciso II: 15.08.2020, quanto aos demais artigos da LGPD. Essa data,
entretanto, foi novamente prorrogada e subdividida pelas seguintes normas:
(...)
§ 12. Aprovado projeto de lei de conversão alterando o texto original da medida provisória, esta manter-
projeto.
Desta forma, conclui-se que os demais artigos da LGPD, aqueles para os quais
não há previsão de data de vigência específica, entraram em vigor em
18.09.2020.
Agentes de Tratamento
Conceito
A Lei n° 13.709/2018, no artigo 5, inciso IX, define como agentes de tratamento
aqueles que assumem o papel de controlador e operador nas atividades que
envolvem, de alguma forma, o uso de dados pessoais.
Obrigações
Controlador
Como Identificar
Atribuições
Operador
Como Identificar
Atribuições
Responsabilidades
Este efeito apenas não será aplicado quando for possível demonstrar que:
Definição
Definição legal: é a pessoa indicada pelo controlador e operador para atuar,
principalmente, como canal de comunicação entre o controlador, os titulares
dos dados e a Autoridade Nacional de Proteção de Dados - ANPD (artigo 5°,
inciso VIII, da LGPD).
É também conhecido como DPO (Data Protection Officer) pela legislação
Europeia (GDPR).
Na prática: é o responsável por ajudar as empresas, que fazem uso dos dados
pessoais, a cumprirem as regras sobre privacidade da LGPD. Por isso, o DPO é
uma ponte entre todas as partes envolvidas na proteção de dados.
Obrigatoriedade
A indicação do DPO, segundo a LGPD, é um dever do controlador (artigo 41 da
LGPD).
Atribuições
A LGPD lista como atribuições para o DPO (artigo 41, § 2º):
» Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos
e adotar providências;
» Receber comunicações da autoridade nacional e adotar providências;
» Orientar os funcionários e os contratados da entidade a respeito das práticas
a serem tomadas em relação à proteção de dados pessoais (por exemplo,
oferecer treinamento); e
» Executar as demais atribuições determinadas pelo controlador ou
estabelecidas em normas complementares.
» Analisando o ciclo de vida dos dados pessoais, para que o tratamento esteja
de acordo com os princípios, fundamentos, direitos e deveres da LGPD;
Responsabilidades
A LGPD estabelece, como regra, a responsabilização pelos danos decorrentes
de seu descumprimento ao controlador e operador, já que cabe a estes o
tratamento dos dados pessoais.
Conceito
A LGPD é uma norma que regulamenta o tratamento de dados pessoais,
inclusive nos meios digitais, por pessoa natural, ou por pessoa jurídica de
direito público, ou privado, com o objetivo de proteger os direitos fundamentais
de liberdade e de privacidade e o livre desenvolvimento da personalidade da
pessoa natural (artigo 1° da LGPD).
Fundamentos
A LGPD assegura ao cidadão a titularidade dos seus dados pessoais, para
assim garantir os seus direitos fundamentais de liberdade, intimidade e
privacidade.
Intimidade e Privacidade
O cidadão tem direito de ter sua intimidade e privacidade respeitados. Com
isso, a sua proteção é a base da LGPD.
É possível citar aqui uma opinião política ou religiosa exposta em rede social.
Neste caso, o cidadão exerce o direito da livre manifestação do pensamento
garantido pela Constituição. Essa informação não pode ser usada por
controladores contra o próprio titular dos dados, por exemplo, na análise de
crédito.
Autodeterminação Informativa
Direito do titular de decidir ou ser informado sobre qualquer procedimento
realizado com os seus dados pessoais, inclusive de se opor, solicitando até
mesmo a paralisação, quando não houver o seu consentimento ou justificativa
legal ou contratual para o tratamento do dado (artigo 2°, inciso II, da LGPD).
Direito de Ação
A defesa dos interesses e dos direitos dos titulares de dados, de acordo com a
LGPD, poderá ser exercida em juízo, de forma individual ou coletiva (artigo 22
da LGPD).
Livre Acesso
Cabe, aos agentes de tratamento (controlador e operador), garantir, em todas
as situações em que ocorrer utilização de dados pessoais, o acesso facilitado
do seu titular, de forma clara, adequada e objetiva, às informações relacionadas
a (artigo 9° da LGPD):
Direitos do Titular
Com a LGPD, ficou reconhecido que o cidadão é o verdadeiro dono das
informações que lhe dizem respeito, como expressão do seu direito
constitucional à privacidade e intimidade. Isso significa que, em geral, os dados
de cada pessoa só são fornecidos segundo a sua vontade.
Cabe à ANPD regulamentar os prazos para setores específicos (artigo 19, § 3°,
da LGPD);
» Correção (artigo 18, inciso III da LGPD): direito de corrigir dados incompletos,
inexatos ou desatualizados;
» Consentimento (artigo 18, incisos VI, VIII e IX, da LGPD): é a forma em que o
titular concorda com uso dos seus dados. Tem grande importância para a
LGPD, sendo considerado, em muitos casos, como regra. Para ser válido, deve
corresponder a uma manifestação livre, informada, consciente e direcionada
para uma finalidade determinada. Entretanto, a norma traz exceções em que há
autorização legal para tratamento dos dados sem o consentimento do titular,
previstos nos artigos 7° e 11.
» Direito de Petição (artigo 18, § 1°, da LGPD): o titular pode reclamar junto à
ANPD, e aos organismos de defesa do consumidor, a utilização indevida dos
seus dados pessoais, inclusive se opor ao uso, quando fundamentado em
qualquer hipótese que dispense o consentimento (§§ 1° e 8° do artigo 18 da
LGPD);
» Informação: direito de ser informado, com destaque, sempre que o uso dos
dados pessoais for condição para fornecimento de produto ou serviço, ou,
ainda, para o exercício de direito (artigo 9°, § 3°).
Observa-se que a expressão "de imediato" disposta na norma não define com
precisão o lapso temporal para a resposta dos agentes de tratamento ao
requerimento do titular. Como medida de cautela e até regulamentação da
ANPD (artigo18, §3°), é prudente que a mesma seja fornecida no menor prazo
possível. Para isso, é essencial a criação de procedimentos específicos para
gestão dos requerimentos dos titulares capazes de atendê-los com eficácia e
agilidade. Neste contexto, o processo de mapeamento concluído é
imprescindível, já que através dele será possível identificar que dados possuem
e para quais finalidades.
Conceito
Segundo a LGPD, tratamento de dados é toda operação realizada em
informações pessoais que envolva coleta, produção, recepção, classificação,
utilização, acesso, reprodução, transmissão, distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação ou controle da
informação, modificação, comunicação, transferência, difusão ou extração.
Glossário
A partir de seu conceito, observa-se que o tratamento de dados estará presente
em inúmeras situações. Assim, para fins exemplificativos e melhor
compreender sua aplicação, encontram-se listadas abaixo atividades que
podem estar inseridas neste contexto e seus significados:
Bases Legais
Para que os agentes de tratamento (controlador e operador) utilizem os dados
respeitando a LGPD, é necessário observar alguns requisitos, como: verificar o
tipo de dado, a sua finalidade e o fundamento (base legal) que autoriza a sua
utilização.
Finalidade
A finalidade para qual o dado será utilizado é um requisito a ser observado uma
vez que, a partir dela, determinado dado pode se caracterizar em determinado
momento como “pessoal” e em outro como “pessoal sensível”. Por este motivo,
não basta solicitar o dado, é preciso determinar e informar os objetivos que
serão atendidos com ele.
Como regra geral, apenas será possível realizar o tratamento quando houver
consentimento do titular, ou seja, quando a pessoa física, dona dos dados, for
informada das razões para sua utilização e, expressamente, concordar com
isso. Esse é o principal fundamento para o tratamento de dados.
Bases Legais
Em âmbito trabalhista, as Convenções e Acordos Coletivos têm força de lei e nesse sentido há
debate sobre a possibilidade desses instrumentos estabelecerem regras sobre proteção e uso de dados
Neste caso, os dados, sempre que possível, devem ser anonimizados, ou seja, não devem mais ser
capazes de identificar, de forma permanente, o seu titular
Para a execução de contrato ou algum procedimento preliminar ao contrato, mas, neste último caso,
apenas por solicitação do titular.
O legítimo interesse, entretanto, não permitirá o tratamento dos dados quando se estiver diante de
direitos e liberdades fundamentais, sendo estes o direito à vida, à liberdade, à igualdade, à segurança
e à propriedade do titular, e que exijam a proteção dos dados pessoais
Neste caso, não seria razoável, por exemplo, permitir que o titular solicitasse a exclusão dos seus
dados de cadastros como SPC e SERASA, argumentando a falta de consentimento para este fim
A prevenção, entretanto, não permitirá o tratamento dos dados quando se estiver diante de direitos e
liberdades fundamentais, sendo estes o direito à vida, à liberdade, à igualdade, à segurança e à
propriedade do titular, e que exijam a proteção dos dados pessoais
Conclui-se que nas hipóteses acima enquadradas como "não" autorizadas, será
necessário o consentimento do titular para o tratamento do dado.
Consentimento do Titular
O consentimento é conceituado pelo inciso XII do artigo 5° da LGPD como a
manifestação livre, informada e inequívoca pela qual o titular concorda com o
tratamento de seus dados pessoais para uma finalidade determinada.
Requisitos de Validade
Com isso, quando for necessário coletar diversos dados, o controlador deve
indicar pontualmente a finalidade de cada dado e permitir que o titular
concorde individualmente com cada um.
Dados Públicos
Por outro lado, dados com acesso público são aqueles que, por previsão legal,
se tornaram acessíveis ou disponíveis para conhecimento de todos. É o que
ocorre, por exemplo, em relação à propriedade de um imóvel, de um protesto
público de dívida ou uma certidão de nascimento. Para uso dessas
informações, será preciso verificar a finalidade, a boa-fé e o interesse público
que fundamentaram sua disponibilização. A partir desta análise, será
necessário o consentimento do titular, caso não haja outra justificativa, dentre
as previstas nos artigos 7° e 11° da LGPD, que autorize seu uso.
Em todo caso, tanto para dados tornados públicos quanto àqueles com acesso
público, é preciso garantir os direitos do titular e cumprir os princípios e
fundamentos da LGPD (artigo 7°, §§ 3°, 4° e 7°, da LGPD).
Com isso, a base legal que autoriza a utilização de determinado dado pessoal
deve receber especial atenção, evitando-se a fundamentação no consentimento
sempre que houver outra mais específica, como, por exemplo, o cumprimento
de obrigação legal ou legítimo interesse do controlador, respeitados seus
requisitos específicos.
Legítimo Interesse
O artigo 10 da LGPD determina que o legítimo interesse apenas poderá permitir
utilização de dados pessoais para finalidades legítimas, analisadas a partir de
situações concretas, dentre as quais estão:
Como exemplo, é possível citar uma empresa de telefonia móvel que tem, em
seus registros, dados pessoais dos titulares como nome, telefone, email e
endereço. Espera-se dessa controladora o fornecimento do serviço de
telefonia. Por isso, a transferência desses dados, por exemplo, a uma empresa
de internet parceira, sem consentimento para este fim, frustraria as legítimas
expectativas desses titulares, caracterizando o descumprimento deste
requisito.
Compartilhamento de Dados
Conceito
Requisitos
Responsabilidade Solidária
Anonimização e Pseudoanonimização
Anonimização
» seja permanente e irreversível. Assim, não deve ser possível chegar ao titular
percorrendo o caminho inverso, nem mesmo por aquele que realizou o
processo de anonimização.
Entretanto, caso este processo possa ser revertido, todos os dados daquele
titular, inclusive aqueles que poderiam ser considerados como anonimizados,
continuam recebendo a proteção da LGPD, uma vez que a impossibilidade de
reversão deste procedimento é uma condição imposta pela norma.
Processo de Anonimização
Observa-se aqui que a LGPD traçou limites que devem ser adaptados ao longo
do tempo, considerando os avanços tecnológicos, as capacidades específicas
de cada controlador e todo o ciclo de utilização do dado, já que, um dado
anonimizado em determinado momento pode ser considerado identificável em
período futuro.
Caberá ainda a ANPD, além de fiscalizar, tratar também sobre regras e técnicas
que deverão ser utilizadas nesse procedimento (§ 3º do artigo 12 da LGPD).
Ilustrativamente
Pseudoanonimização
Vantagens
Na prática, a pseudoanimização pode ser inserida nas condutas de boas
práticas dos agentes de tratamento, na medida em que:
Ilustrativamente
Significa dizer que, quando um dado de uma pessoa física é, de alguma forma,
levado para o exterior, é preciso ficar atento à LGPD.
Esta autoriz
Para países ou organismos internacionais que proporcionem grau de proteção de dados
estabelecer
pessoais adequado ao previsto nesta Lei
LGPD)
Quando a transferência for necessária para a cooperação jurídica internacional entre órgãos
públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de
Aplicação i
direito internacional
à integridad
Quando a transferência for necessária para a proteção da vida ou da incolumidade física do
titular, ou de terceiro
Quando não
Quando a autoridade nacional autorizar a transferência
possível sol
Quando a transferência for necessária para a execução de política pública ou atribuição legal
Aplicação im
do serviço público
Aplicação i
Quando o titular tiver fornecido o seu consentimento específico e em destaque para a
ser informa
transferência, com informação prévia sobre o caráter internacional da operação, distinguindo
internaciona
claramente esta de outras finalidades
6° da LGPD
Quando necessário para atender as hipóteses previstas nos incisos II, V e VI do artigo 7º da Aplicação im
LGPD cumpriment
procedimen
judicial, adm
internaciona
Destaca-se q
é preciso bu
Criança e Adolescente
A LGPD estabelece, no artigo 14 e seus parágrafos, os cuidados que devem ser
tomados quando houver dados pessoais de crianças e adolescentes.
Não será exigido o consentimento, entretanto, quando a coleta dos dados for
necessária justamente para se entrar em contato com os pais ou responsável,
desde que esses dados sejam utilizados uma única vez, ou ainda para a
proteção da criança, sendo que, em nenhum caso, os dados poderão ser
repassados ou compartilhados sem consentimento específico dos pais ou
responsáveis.
Em todo caso, a LGPD prevê que não se deve solicitar dados que não sejam
estritamente necessários, com isso, aqueles que são apenas importantes, úteis
ou interessantes devem ser dispensados, inclusive para crianças e
adolescentes (inciso III do artigo 6° da LGPD).
Término do Tratamento
Com a LGPD, empresas e empreendedores não podem mais ter os dados
pessoais à sua disposição indefinidamente, principalmente pelos riscos de
vazamentos ou uso indevido. Por este motivo, a norma traz princípios e regras
que limitam o seu uso indiscriminado.
Término do Tratamento
Como regra geral, os dados pessoais devem ser eliminados de forma segura
quando não se justificar mais o seu tratamento. É o que dispõe a parte inicial
do artigo 16 da LGPD.
► A LGPD deve ser integralmente cumprida quanto aos deveres dos agentes
de tratamento e direitos dos titulares também neste período;
O objetivo é viabilizar a:
Sobre a prescrição, é preciso ainda ter atenção a casos específicos em que seu
prazo estará impedido ou suspenso de correr, já que isso altera a sua
contagem e, consequentemente, o período em que os dados serão mantidos
após o tratamento. Cita-se, por exemplo:
- Artigo 440 da CLT aplicado às relações trabalhistas, que dispõe que contra os
menores de 18 anos não corre nenhum prazo de prescrição; e
- Artigo 198 do Código Civil (Lei 10.406/2002), o qual determina que também
não corre prescrição contra os menores de 16 anos, os ausentes do país em
serviço público da União, dos Estados ou dos Municípios e os que se acharem
servindo nas Forças Armadas, em tempo de guerra.
4. Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que
anonimizados os dados.
Conceito
Diante de toda proteção imposta pela LGPD, para se verificar quais condutas
devem ser adotadas para sua correta implantação, o primeiro passo é o
mapeamento dos dados utilizados pelos agentes de tratamento.
Objetivos
Com o mapeamento, se torna possível identificar como os dados caminham no
empreendimento, viabilizando alguns objetivos, dentre os quais, destacam-se:
Procedimentos
Para realizar o mapeamento, é necessário o envolvimento de todos os setores
que, de alguma forma, lidam com dados pessoais, incluindo uma análise
jurídica e técnica para identificação das possíveis vulnerabilidades.
► direito de requerer:
► direito de ser informado, com destaque, sempre que o uso dos dados
pessoais for condição para fornecimento de produto ou serviço, ou, ainda, para
o exercício de direito (artigo 9°, § 3°);
► direito de que o uso dos dados pessoais com acesso público esteja limitado
à finalidade, à boa-fé e ao interesse público que justificaram sua
disponibilização (artigo 7°, § 3°);
Cabe lembrar que todas as informações que identificam ou que podem vir a
identificar uma pessoa são consideradas dados pessoais e aquelas capazes de
gerar discriminação contra o seu titular caracterizam-se como dados pessoais
sensíveis.
Finalidade
Uma das bases para o cumprimento da LGPD, sobre a qual cabem duas
análises fundamentais:
- não é possível realizar qualquer operação em dados sem especificar a sua
finalidade. Por isso, nesta etapa, deve-se verificar se há finalidade específica
para cada dado utilizado;
Base Legal
Nesse ponto, é preciso relacionar o dado, seu titular e a razão pela qual está
sendo utilizado com as hipóteses previstas no artigo 7° (para dados pessoais),
no artigo 11 (para dados pessoais sensíveis) ou no artigo 14 (para dados de
crianças e adolescentes) da LGPD.
Assim, as operações realizadas nos dados poderão ter como base, por
exemplo, a depender de cada caso, um contrato, obrigação legal, legítimo
interesse, consentimento, proteção da vida, integridade física ou saúde do
titular, proteção ao crédito ou prevenção à fraude.
Checklist
2- Quais dados?
Relacionar, para cada dado, os objetivos que serão alcançados e o que será
feito com ele.
4- Categorizar os dados.
Organizar os dados por tipos: pessoal, pessoal sensível ou de criança e
adolescente.
Verificar qual hipótese dos artigos 7º, 11 e 14 da LGPD autoriza o uso de cada
dado. É preciso lembrar que o mesmo dado pode ter, em momentos diferentes,
finalidades distintas. Por este motivo, para cada finalidade, é preciso o
enquadramento da base legal.
Processos
Processos
Inclusive, deve-se analisar como ocorre o início do tratamento dos dados (por
coleta, acesso, compartilhamento, transferência, etc.), visto que, a partir dele,
será necessário observar se a conduta, que autoriza o uso dos dados, foi
efetivamente adotada. Significa dizer que se, anteriormente, o enquadramento
da base legal foi identificado, aqui deve-se verificar se ela está aplicada.
Operações de Tratamento
Deve-se listar:
Autorização
Fluxo
Checklist
Questionamentos para auxílio nesta etapa:
Listar a origem da coleta dos dados, verificando se está autorizada pela norma
e corretamente aplicada.
1°) Início do tratamento: coleta ou recebimento dos dados para verificação das
qualificações do candidato. É realizado por meio físico ou digital? Apenas
dados estritamente necessários foram solicitados ou recebidos? Dados
desnecessários foram não recepcionados ou descartados? Há consentimento
para coleta desses dados?
Lembrar que se a base legal legitimadora for o consentimento, este deve ser
específico, destacado de outras cláusulas e refletir, de fato, a vontade do titular
dos dados.
Agentes de Tratamento
Agentes de Tratamento
Checklist
É preciso listar todos os que participam do fluxo dos dados, para se verificar a
necessidade de aditivo contratual e ainda a possibilidade de redução do
número de pessoas envolvidas.
Caso afirmativo, é preciso relacionar quais são essas empresas, porque motivo
há o compartilhamento, a base legal que o autoriza e se há consentimento ou
ciência do titular dos dados. Verificar, inclusive, a necessidade de pactuar
aditivo contratual para constar o cumprimento à LGPD.
Ciclo de Vida
Ciclo de Vida
Checklist
Relacionar qual o fundamento legal para que o dado possa ser armazenamento
após o cumprimento da sua finalidade. Por este motivo, deve-se ter
conhecimento de toda legislação aplicada ao negócio (sejam trabalhistas,
relacionadas a obrigações acessórias, de direito do consumidor, etc.).
Medidas de Segurança
Medidas de Segurança
Checklist
Conceito e Objetivos
A LGPD dispõe, no artigo 50, que controladores e operadores poderão
estabelecer regras de boas práticas e governança para definir sua organização,
funcionamento, procedimentos de segurança, obrigações, ações educativas,
mecanismos de supervisão e mitigação de riscos, além de outros relacionados
ao tratamento de dados pessoais.
Objetivos
Diretrizes
Para desenvolver suas regras de boas práticas, é preciso estar ciente que a
LGPD não estabelece como devem ser definidas, já que cada atividade tem
suas particularidades, além de tipos, volume de dados e operações específicas.
Aplicação
Com os dados mapeados e identificadas as necessidades de adequação,
caberá definir a política de boas práticas e governança, isto é, as condutas que
deverão ser adotadas para que toda a atividade esteja continuamente em
conformidade com a proteção dos dados.
1. Conscientização
2. Segurança da Informação
Controle de acesso aos dados: somente poderão ter contato com informações
pessoais os profissionais que forem designados para essa função. O acesso
deve ser controlado e registrado;
3. Política de Privacidade
5. Consentimento ou Ciência
7. Encarregado
Importante
Conceito
O artigo 5°, inciso XVII, da LGPD define o Relatório de Impacto à Proteção de
Dados Pessoais (RIPD) como o documento de responsabilidade do controlador,
no qual serão descritos os processos de uso de dados que podem gerar riscos
às liberdades civis e aos direitos fundamentais, bem como as medidas
adotadas para mitigação desses riscos.
Objetivos
O RIPD é um documento de responsabilidade do controlador, que tem como
principais objetivos:
Aspectos Relevantes
Responsabilidade
Pluralidade de RIPD
Obrigatoriedade
Conteúdo Mínimo
Elaboração
Destaca-se, inicialmente, que não há, na LGPD ou ainda em regulamento da
ANPD, orientações específicas sobre a elaboração do Relatório de Impacto.
Entretanto, a partir dos conteúdos mínimos exigidos, dos objetivos a serem
atingidos e das referências deste relatório no GDPR (Regulamento Europeu), é
possível identificar o seguinte passo a passo.
- artigo 42: o tratamento dos dados puder causar dano patrimonial, moral,
individual ou coletivo aos titulares;
- Sobre os dados: cabe destacar aqui os tipos e quantidade de dados que são
coletados, especificando aqueles considerados sensíveis pela LGPD, a
frequência e o período com que são tratados e mantidos, e ainda o número de
titulares envolvidos e sua abrangência geográfica, buscando definir a extensão
do tratamento dos dados;
- A partir da base legal que fundamenta o tratamento dos dados, seu objetivo é
alcançado? Há outras formas de ser atingidos?
Busca-se aqui indicar que a integridade dos dados está sendo resguardada.
o acesso, modificação ou remoção não autorizadas;
o perda ou roubo;
o solicitação de dados em excesso;
o esclarecimentos insuficientes ao titular, especialmente quanto à
finalidade e compartilhamento;
o direitos dos titulares não garantidos (como, tratamento sem
consentimento ou perda de acesso);
o falha na gestão de consentimento e de retenção de dados.
7° Passo: relacionar as medidas protetivas
Por exemplo: para o risco de acesso não autorizado, a medida adotada será
controle por senha, biometria ou outro mecanismo, com registro de histórico.
Efeito do risco: redução para um limite mínimo aceitável.
8° Passo: aprovação e assinatura do relatório
Revisão
Passo a Passo
Diante de todas as orientações e esclarecimentos tratados sobre a LGPD, é
importante estabelecer uma sequência neste processo de adequação. Muito
embora, a norma não traga orientações neste sentido, segue abaixo os pontos
de especial atenção.
1. Legislação
1° Passo - Estudar a LGPD e demais normas relacionadas à atividade
A LGPD é uma lei que vem estabelecer uma nova ordem na forma de lidar com
dados pessoais, atingindo a todas as áreas que se valem dessas informações,
seja comercialmente ou não.
Por ser uma norma geral, traça diretrizes, ao mesmo tempo em que determina
o cumprimento das leis específicas sobre cada matéria, como, por exemplo, o
Código de Defesa do Consumidor, Código Tributário Nacional, Código Civil, CLT,
etc (artigo 64 da LGPD). Por esse motivo, o conhecimento do ordenamento
jurídico é essencial para sua implantação.
2. Encarregado (DPO)
2° Passo - Nomear o Encarregado (DPO)
3. Mapeamento de Dados
3° Passo - Mapear os Dados que transitam por todas as áreas do negócio
4. Boas Práticas
4° Passo - Elaborar o Manual de Boas Práticas e Governança
5. Treinamento
5° Passo - Treinamento e Capacitação de Equipes
Todos aqueles que lidam com dados pessoais devem estar cientes das novas
regras estabelecidas em razão da LGPD. Assim, os treinamentos e
capacitações visam garantir a conscientização, alinhamento e engajamento
para a nova cultura empresarial.
6. Relatório de Impacto
6° Passo - Relatório de Impacto de Proteção de Dados
7. Transparência
7° Passo - Transparência
As condutas adotadas pela empresa, para a proteção dos dados, devem ser de
conhecimento de todos: clientes, empregados, consumidores, fornecedores,
parceiros e Autoridade de Proteção.
- Criar um canal de comunicação com fácil acesso, seja pelo site, e-mail,
telefone, redes sociais, etc.;
- Consentimento, seja para restringir o uso dos dados em que este já tenha sido
dado, ter informação quanto à sua extensão ou até mesmo para revogá-lo;
8. Revisão Periódica
8° Passo - Revisão Periódica
Aplicação
A proteção estabelecida pela LGPD tem aplicação direta nas relações de
trabalho, principalmente porque os dados pessoais estão presentes desde o
momento da entrega do currículo até a fase pós-contratual, quando permanece
a necessidade de manter documentos do extinto contrato de trabalho, durante
o prazo previsto em Lei.
Via de regra, figuram como titular dos dados o trabalhador; como controlador, o
empregador ou o contratante; e como operadores, aqueles que, em razão do
compartilhamento, realizam alguma operação de tratamento. Portanto, a LGPD
impõe uma adequação às rotinas trabalhistas em todas as suas fases para que
os dados pessoais sejam tratados em conformidade com a Lei e em respeito
aos direitos fundamentais de privacidade, intimidade, honra e imagem do titular
dos dados.
Empregador Doméstico
Quanto às relações de trabalho doméstico, há divergência doutrinária sobre a
aplicação da LGPD, já que, neste contrato, a prestação de serviços ocorre em
âmbito familiar e residencial sem fins econômicos, sendo que a Lei n°
13.709/2018 estabelece expressamente que não há aplicação da proteção dos
dados quando o tratamento for realizado por pessoa física para fins
exclusivamente particulares e não econômicos, como, via de regra, ocorre no
trabalho doméstico (inciso I do artigo 4º da LGPD).
Agentes de Tratamento
Para a LGPD, são agentes de tratamento apenas o controlador e o operador de
dados (inciso IX do artigo 5º da LGPD).
Controlador
Operador
Encarregado - DPO
Conceito e Obrigatoriedade
O encarregado é a pessoa, física ou jurídica, indicada pelo controlador e
operador para atuar como um canal de comunicação entre o controlador, os
titulares dos dados e a ANPD (inciso VIII do artigo 5° da LGPD). É também
chamado de DPO (Data Protection Officer), em razão do tratamento dado pelo
regulamento europeu, sendo o responsável por orientar
o cumprimento da Lei Geral de Proteção de Dados.
Sua indicação, apesar de prevista como obrigatória pela LGPD, poderá ter sua
dispensa regulamentada pela ANPD a partir de condições específicas das
operações de tratamento (§ 3° do artigo 3° da LGPD).
Dispensa do Encarregado
Grupo Econômico
Empregado como Encarregado
- Liberdade;
- Intimidade e
- Privacidade.
Dados Pessoais tornados Públicos
Assim, mesmo aqueles dados que foram tornados públicos pelo empregado,
continuam sendo dados pessoais e permanecem recebendo a proteção da Lei
Geral de Proteção de Dados.
São elas:
- Para o cumprimento de obrigação legal ou regulatória pelo controlador (inciso
II do artigo 7º da LGPD);
- Para o exercício regular de direitos em processo judicial, administrativo ou arb
itral (inciso VI do artigo 7º da LGPD);
- Para a proteção da vida ou da incolumidade física do titular ou de terceiro (inci
so VII do artigo 7º da LGPD);
Por tais motivos, e por se considerar que o empregado não tem plena
capacidade de se opor ao tratamento dos dados nas relações trabalhistas, é
que o consentimento tem sido considerado como base legal a ser aplicada em
hipóteses específicas no contrato de trabalho, especialmente quando refletir
em benefícios ao trabalhador.
8.
Peticionar em relação aos seus dados contra o controlador perante a autorida
de nacional (1° do artigo 18)
Sempre que o trabalhador verificar que os seus dados estão sendo usados de
maneira irregular pelo empregador, por exemplo, para finalidades diversas
daquelas informadas no momento da contratação, ou ainda, sem amparo legal,
poderá manifestar-se perante a ANPD, que deverá instaurar procedimento
administrativo para apurar os fatos.
O titular poderá opor-se a uma operação realizada com os seus dados que
esteja fundamentada em uma das hipóteses de dispensa de consentimento,
caso verifique o descumprimento das regras da LGPD. Dessa forma, quando o
empregado observar que o empregador não coletou o consentimento com
fundamento em cumprimento de dever legal, por exemplo, e verificar que não
há previsão legal para o uso do seu dado pessoal, poderá opor-se a esse
tratamento.
Requerimento sem Custos ao Titular
O requerimento para o exercício dos direitos será atendido sem custos para o
titular, nos prazos e nos termos previstos em regulamento (§ 5° do artigo 18 da
LGPD).
Prazo para a Resposta
- Por meio de declaração clara e completa, que indique a origem dos dados, a
inexistência de registro, os critérios utilizados e a finalidade do tratamento,
observados os segredos comercial e industrial, fornecida no prazo de até 15
dias, contato da data do requerimento do titular (inciso II do artigo 19 da
LGPD).
Tratamento de Dados
Conceito
Alteração da Finalidade
Havendo alteração sobre a finalidade específica do tratamento, forma e
duração, a identificação do controlador, e sobre as informações acerca do uso
compartilhado de dados e a finalidade, o empregador deverá informar ao
empregado, especificamente o teor dessas alterações, o qual poderá, nas
situações que exigem o seu consentimento, revogá-lo caso não concorde com
a alteração (§ 6° do artigo 8º da LGPD).
Compartilhamento
Conceito
Consentimento
Termo de Consentimento
Termo de Ciência
Recrutamento e Seleção
O recrutamento corresponde à atração de candidatos para uma oportunidade
de emprego, enquanto, na seleção, o objetivo é analisar e escolher o
profissional que se enquadre no perfil da vaga a ser preenchida.
Como regra, deve haver o consentimento para coleta dos dados, os quais
devem também estar vinculados a uma finalidade. Assim, informações apenas
úteis, interessantes ou importantes, porém desnecessárias, ainda que com
consentimento do candidato, não podem ser coletados. Esta conduta, além de
medida de adequação, representa, aos agentes de tratamento, menor risco de
incidente de segurança.
Dados Sensíveis
Os dados sensíveis são aqueles capazes de gerar preconceito ou
discriminação a uma pessoa física, para os quais são citados como exemplo,
origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato,
estado civil, número de filhos, dado referente à saúde que indique doença pré-
existente, ou à vida sexual, dado genético ou biométrico, quando vinculado a
uma pessoa física (artigo 5º, inciso II da LGPD).
Condutas Proibidas
A obtenção de certos dados configura prática discriminatória. Assim, é
necessário ter cautela quanto aos dados obtidos mediante as condutas
listadas a seguir:
Com isso, essa certidão apenas pode ser solicitada, no processo de seleção do
candidato em análise, quando o posto de trabalho justificar tal consulta e para
um objetivo direcionado. Considerando que a coleta de dados em processo
seletivo fundamenta-se no consentimento, a finalidade para este dado deve
relacionar o cumprimento de previsão legal, natureza do ofício ou grau de
confiança exigido para a função.
São exemplos que autorizam a coleta deste dado as funções que exijam o
manuseio ou transporte de dinheiro, conforme artigo 16 da Lei n° 7.102/83.
Nesta hipótese, a solicitação de certidão de antecedentes criminais será
possível em razão de previsão legal.
O dado relativo ao número de filhos (menor sob guarda, enteados que sejam
dependentes economicamente) também pode ser considerado como sensível,
visto que, em certos casos pode levar a desclassificação do candidato.
Portanto, apenas poderá ser obtido na fase de seleção, caso o cargo ofertado
tenha remuneração compatível com o teto máximo para pagamento do
benefício do salário família ou para fins de declaração de imposto de renda.
Temas Controvertidos
1. Questionamento sobre Gênero
Nesta etapa, os dados sensíveis poderão ser obtidos desde que seja para
cumprir a Lei, visando a proteção do trabalhador e mediante consentimento
que indique a finalidade específica (artigo 8° da LGPD). Portanto, será
necessário analisar, se realmente, a função justifica a obtenção do dado gênero
do candidato.
É cada vez mais comum o uso constante das redes sociais, inclusive para
recrutamento de candidatos, de acordo com perfis que sejam compatíveis com
a política do empregador. Para tanto, utilizam-se de informações públicas
lançadas na internet pelo titular dos dados.
3. Organizações de Tendência
Para que os dados sejam mantidos para futuras contratações, deverá obter o
consentimento específico do titular, informando:
Boas Práticas
Para adequação à LGPD nas rotinas trabalhistas, especialmente na fase pré-
contratual, é recomendável estabelecer um procedimento padrão de
conformidade, para o qual segue uma sugestão:
Documento Físico
Documento Digital
Do mesmo modo, caso a empresa receba currículos por e-mail, deve ser
direcionado para um responsável autorizado para receber esse documento.
Termo de Consentimento
Neste termo, devem constar as finalidades específicas para coleta de cada
dado, a forma de exercício dos direitos de titular, a garantia de revogação,
prazo de retenção e a forma de descarte, cabendo ao candidato o direito de
revogar o consentimento a qualquer momento, por procedimento expresso,
gratuito e facilitado (§ 5° do artigo 8° e inciso IX do artigo 18 da LGPD).
2º Passo: Cautelas
Por este motivo, é dever do controlador identificar quais dados pessoais são
estritamente necessários, suas finalidades e as bases legais que amparam o
seu tratamento, sendo que se deve buscar a que seja mais específica e
proporcione maior segurança, cabendo inclusive fundamentar-se em mais de
uma.
Simplificação do eSocial
CPF
Dado pessoal: número de inscrição no cadastro de pessoa
física
Finalidades:
Carteira de
Identidade Muito embora o Registro Geral (RG) tenha como
objetivo identificar o cidadão em todo o território
nacional, conforme previsto no artigo 6° da Lei nº
7.116/83 e no artigo 9° do Decreto n° 9.278/2018, a
partir da versão Simplificada do eSocial, este documento
deixou de estar previsto na relação de informações
cadastrais do empregado a serem enviadas no evento S-
2200, de acordo com os Leiautes do eSocial Versão S-
1.0
CNH (Carteira
Nacional de Finalidade: identificar a autorização do trabalhador para
Habilitação) se dirigir, quando a função exigir, conforme artigo 140 da
Lei n°9.503/97
Finalidades:
Certidão de
Casamento Finalidade:
- Concessão da licença casamento prevista no inciso I do
artigo 473 da CLT;
Finalidades:
Registro dos
Empregados Além dos dados listados acima, a Portaria SPREV/ME nº
1.195/2019 prevê, em seu artigo 2º, que compõem o
Portaria registro de empregados os dados relativos à admissão no
SPREV/ME Nº emprego, duração e efetividade do trabalho, férias,
1.195/2019 acidentes e demais circunstâncias que interessem à
proteção do trabalhador, dentre outros:
- Reconhecimento facial e dados biométricos, utilizados para acesso a empresa
ou controle de jornada;
Atestado Médico
2. Dados Biométricos
Por outro lado, há quem defenda que o controle de ponto eletrônico é meio
mais fidedigno para anotar a jornada do empregado, ou seja, é a forma que
menos gera riscos de adulteração das marcações. Portanto, sendo o meio mais
adequado, o empregador está amparado ao tratamento deste dado sensível,
mesmo sem o consentimento do trabalhador, com fundamento no § 2° do
artigo 74 da CLT, na Portaria MTE nº 1.510/2009 e nas alíneas a e g do inciso II
do artigo 11 da LGPD, com o objetivo de prevenir a adulteração dos controles
de ponto, o que, se ocorresse, seria prejudicial ao trabalhador.
3. Câmeras de Segurança
6. Não será permitida, de forma direta ou indireta, nos exames médicos por
ocasião da admissão, mudança de função, avaliação periódica, retorno,
demissão ou outros ligados à relação de emprego, a testagem do trabalhador
quanto ao HIV (artigo 2° da Portaria MTE n° 1.246/2010);
Menor de 18 anos
A LGPD estabeleceu regras especiais para o tratamento de dados pessoais de
crianças e adolescentes, sendo que, nas relações de trabalho, essas regras
geram reflexos nos contratos de aprendizagem, no estágio e no contrato de
emprego do menor, quando firmados com pessoa que não tenha 18 anos
completos.
Compartilhamento
Rescisão Contratual
É lícito ao menor firmar recibo pelo pagamento dos salários. Porém na rescisão
do contrato de trabalho, é proibido ao menor de 18 anos dar, sem assistência
dos seus responsáveis legais, quitação ao empregador pelo recebimento da
indenização que lhe for devida (artigo 439 da CLT).
Autônomo
Na contratação de autônomo, também ocorre a coleta de dados pessoais do
trabalhador e a necessidade de prestar informação na GFIP e no eSocial.
Portanto, nesta contratação, também será necessário atender ao que dispõe a
LGPD para que o tratamento de dados pessoais do autônomo seja regular.
Desse modo, as medidas preventivas e de boas práticas também são aplicáveis
na contratação deste trabalhador.
- Consentimento;
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Proteção da vida ou da incolumidade física do titular ou de terceiro;
Teletrabalho
O teletrabalho é a prestação de serviços preponderantemente fora das
dependências do empregador, com a utilização de tecnologias de informação e
de comunicação que, por sua natureza, não se constituam trabalho externo.
Está regulamentado nos artigos 75-A ao 75-E da CLT.
Negociação Coletiva
Cláusulas sobre Proteção de Dados
A CLT, no seu artigo 8º, prevê que, na falta disposições legais ou contratuais,
será possível a utilização do direito comparado (direito internacional), mas
sempre de maneira que nenhum interesse de classe ou particular prevaleça
sobre o interesse público. Portanto, diante dessa autorização legal, surgem
entendimentos no sentido de que a negociação coletiva poderá tratar de regras
relativas à proteção de dados.
Neste sentido, a Constituição Federal de 1988 estabelece no artigo 8º, inciso III,
que ao sindicato cabe a defesa dos direitos e interesses coletivos ou
individuais da categoria, inclusive em questões judiciais ou administrativas.
Retenção de Documentos
Quando para a realização de determinado ato for exigida a apresentação de
documento de identificação, a pessoa que fizer a exigência fará extrair, no
prazo de até cinco dias, os dados que interessarem devolvendo em seguida o
documento ao seu exibidor, conforme artigo 2° da Lei nº 5.553/68.
Compartilhamento de Dados
Quando ocorre o Compartilhamento
Cláusulas Contratuais
Contabilidade
Entidade Sindical
Obrigações Acessórias
GFIP/SEFIP
O Manual de Orientação da SEFIP, versão 8.4, exige uma série de informações do trabalhador, tanto empr
momento da transmissão da GFIP, como por exemplo:
- Número e a série da Carteira de Trabalho e Previdência Social
- Data de nascimento
- Data de admissão
RAIS
Para as empresas que ainda enviam a RAIS, por se enquadrarem no 3° Grupo do eSocial, é importante obs
sobre dados pessoais e até dados sensíveis, como:
- Código PIS/PASEP/NIT
- CPF
- Sexo do trabalhador
- Raça/cor
- Escolaridade
ESOCIAL
Instituído com o objetivo de unificar a prestação de informações pelo empregador referente à escrituração
sistema, há transferência de inúmeros dados pessoais e sensíveis de trabalhadores e dependentes.
São listados a seguir os principais dados pessoais a serem transmitidos no eSocial nos eventos:
- CPF
- Sexo do trabalhador
- Atestado médico: descrição da natureza da lesão, diagnóstico provável, código da tabela de Classificação
que emitiu o atestado, número de inscrição no órgão de classe, sigla da UF do órgão de classe
- Informações do responsável pelos registros ambientais: CPF, Órgão de classe ao qual o responsável pelo
órgão de classe, sigla da UF
Termo de Consentimento
O tratamento de dados, em razão do contrato de trabalho, fundamentado no
consentimento deve ser realizado com cautela e restrito às hipóteses em que o
empregado tem de fato a possibilidade de se opor, como é o caso, por exemplo,
da concessão de um benefício.
Isto porque a relação trabalhista tem como premissa a assimetria entre as
partes em função da hipossuficiência do empregado, o que tem levado ao
entendimento de que o consentimento, como regra, não reflete a livre e
inequívoca vontade do trabalhador.
Quando esta for a base legal que autoriza o tratamento, é preciso ter atenção
aos seus requisitos de validade: manifestação livre, informada, inequívoca, para
uma finalidade determinada e fornecido por escrito ou qualquer meio que
demonstre a vontade do trabalhador (inciso XII do artigo 5º e artigo 8° da
LGPD).
Recomenda-se que seja fornecido por escrito, ainda que essa forma não seja
obrigatória por lei, em cláusula destacada ou por termo específico, podendo ser
por e-mail, plataforma ou aplicativo, já que é dever do empregador demonstrar
que a manifestação do consentimento ocorreu nos termos da LGPD (§ 1° do
artigo 8º da LGPD).
Princípio da Transparência
Ainda que o tratamento de dados esteja amparado em outras bases legais que
não o consentimento, é necessário que o empregador indique para quais
finalidade está coletando os dados pessoais, o que pode ser feito no próprio
contrato de trabalho, em um termo de ciência ou na Política de Privacidade
dirigida aos empregados.
Boas Práticas
Passo a Passo
É
imprescindível evitar a coleta de dados em excesso ou sem finalidade específic
a.
No que diz respeito aos dados sensíveis, além de coletar apenas aqueles que
sejam indispensáveis e fundamentados no artigo 11 da LGPD, as medidas de
proteção devem ser aplicadas com maior rigor, tendo em vista que incidentes
de segurança ou tratamento inadequado a esses dados têm maior potencial de
causar danos aos titulares.
7º Passo: Não Guardar Documentos de Identificação
Término do Tratamento
De acordo com o artigo 15 da LGPD, o término do tratamento de dados
pessoais ocorrerá nas seguintes hipóteses:
Ocorrendo uma dessas hipóteses, o tratamento dos dados deve ser encerrado,
cabendo, via de regra, sua eliminação.
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que
anonimizados os dados.
Conservação de Dados
Os dados pessoais poderão ser mantidos, mesmo após o término do
tratamento, nas relações trabalhistas nas seguintes situações (artigo 16 da
LGPD):
►Uso exclusivo do controlador, proibido seu acesso por terceiro e desde que
anonimizados os dados
Ocorre, por exemplo, quando o empregador armazena dados pessoais dos seus
ex trabalhadores para fins estatísticos e fiscalizatórios, como por exemplo, para
comprovação de cumprimento da cota de aprendiz, pessoa portadora de
deficiência ou ainda entrevista realizada na rescisão contratual para
percepções sobre a cultura organizacional do empregador.
Revogação do Consentimento
Armazenamento de Dados
Anonimização
Os dados anonimizados, via de regra, não são protegidos pela LGPD, salvo se o
procedimento puder ser revertido. Estes dados poderão ser usados, por
exemplo, para fins estatísticos, com o objetivo de aperfeiçoamento da
inteligência artificial, obtenção de informações sobre análises de
comportamento, entre outros.
Desse modo, após o término do contrato de trabalho e fim do tempo permitido
para guarda dos documentos, o controlador poderá armazenar dados de seus
ex trabalhadores, desde que anonimizados, como, por exemplo: apurar a média
de idade dos seus empregados, a ocorrência de acidentes de trabalho,
comprovação quanto ao cumprimento de cota de aprendiz ou de pessoa
portadora de deficiência, entre outras.
Prazos de Guarda
Para atender às fiscalizações da Secretaria do Trabalho, da Receita Federal,
bem como para responder às ações judiciais, os empregadores poderão
manter documentos após o término da relação de trabalho, fundamentando-se
na obrigação legal e no exercício do direito de defesa, dispensando-se, nestes
casos, o consentimento do trabalhador (incisos II e VI do artigo 7º, e inciso II,
alíneas “a” e “d” do artigo 11º da LGPD).
► Reclamatória Trabalhista
► Fiscalização Trabalhista
Boas Referências
A declaração de bons antecedentes funcionais ou carta de recomendação ou
referência não possui previsão na legislação trabalhista, ou seja, o ex
empregador não está obrigado a fornecê-la no momento da rescisão do
contrato de trabalho ou em eventual solicitação posterior, salvo se houver
previsão nas normas coletivas.
Não Concorrência
A cláusula de não concorrência reflete a impossibilidade de o trabalhador
realizar negociação por conta própria, ou por terceiros, que caracterize
concorrência à empresa para a qual trabalha ou prejudique o serviço.
Sua validade, em regra, tem aplicação durante a relação de trabalho, mas nada
impede que seja estendida após o seu término, desde que haja a concordância
do trabalhador, previsão no contrato de trabalho ou em termo aditivo e
definição de um limite temporal para a sua vigência, por exemplo, durante um
ano após o término do contrato de trabalho.
Trabalhador Falecido
A LGPD não trata expressamente da proteção de dados para pessoas falecidas,
apesar de mencionar que o titular do direito é a pessoa natural, para a qual sua
existência termina com a morte, de acordo com o Código Civil (artigo 6º da Lei
nº 10.406/2002).
Eliminação de Dados
Procedimento
Assim, quando o dado pessoal não for mais objeto de nenhuma operação de
tratamento, deve ser eliminado. Para garantir a eliminação segura de dados
pessoais, o empregador/contratante deve:
- Verificar o tempo de guarda previsto em Lei, ou se este dado deve ser
conservado por prazo indeterminado;
- Identificar todos os meios em que este dado possa ter sido replicado e
guardado (compartimentos físicos e eletrônicos); e
Eliminação Obrigatória
Boas Práticas
Para que na fase pós contratual, os agentes de tratamento estejam em
consonância com as regras de proteção de dados pessoais, é necessário
estabelecer condutas preventivas.
Dados sem amparo legal para conservação devem ser eliminados. Destaca-se
a possibilidade de manutenção de dados de ex trabalhadores fundamentados
no seu consentimento expresso, desde que para uma finalidade específica,
previsto expressamente e com prazo estabelecido. Em relação aos tratamentos
realizados com base no consentimento, o controlador deve sempre possibilitar
ao trabalhador titular dos dados o direito à revogação a qualquer momento,
mediante manifestação expressa e por procedimento gratuito e facilitado (§ 5°
do artigo 8º da LGPD).
Aplicação
Muito embora o objetivo da LGPD seja a proteção de dados das pessoas
naturais, é certo que nas relações comercias, ainda que entre pessoas jurídicas,
há sempre inúmeros dados de pessoas físicas sendo transferidos, o que impõe
a observância das diretrizes previstas nesta norma também nessas relações.
Por este motivo, sempre que se estiver diante de operações de tratamento que
envolvam dados de pessoas físicas, as medidas de proteção previstas na LGPD
devem estar implementadas.
Direitos do Titular
A pessoa física, titular dos dados, sempre deve ter garantido o direito de obter
do controlador as informações previstas no artigo 18 da LGPD.
Com isso, é necessário que, na coleta dos dados, o titular tenha conhecimento
ou, se for o caso, dado seu consentimento inequívoco, de que suas
informações estão sendo compartilhadas com demais agentes de tratamento,
para dessa forma, ter a possibilidade de exercer livremente seus direitos.
É fundamental então que, nas relações entre co-controladores ou controladores
e operadores, estejam ajustados contratualmente e de forma transparente os
meios para atendimento aos titulares.
Compartilhamento de Dados
O conceito de uso compartilhado de dados está previsto no inciso XVI do artigo
5º da LGPD, como sendo a comunicação, difusão, transferência internacional,
interconexão de dados pessoais ou tratamento compartilhado de bancos de
dados pessoais por órgãos e entidades públicos no cumprimento de suas
competências legais, ou entre esses e entes privados, reciprocamente, com
autorização específica, para uma ou mais modalidades de tratamento
permitidas por esses entes públicos, ou entre entes privados.
Conceito
Prestação de serviços a terceiros é conceituado como a transferência feita pela
contratante da execução de quaisquer de suas atividades, inclusive sua
atividade principal, a outra pessoa jurídica de direito privado, prestadora de
serviços (artigo 4º-A da Lei 6.019/74).
Atividade Fim
Atividade fim é a atividade principal da empresa, aquela que consta como objet
o do contrato social, ou seja, é o motivo pelo qual a empresa existe.
Com a inclusão do artigo 5º-A na Lei nº 6.019/74, pela Lei nº 13.429/2017,
ficou expressamente permitida a terceirização de quaisquer atividades do
tomador dos serviços, inclusive da sua atividade principal.
Controlador e Operador
Na terceirização de serviços, será necessário identificar a posição de cada
empresa, a fim de definir se as contratantes se enquadram como co-
controladoras ou controladora e operadora, o que dependerá da finalidade do
tratamento. Por este motivo, deve-se analisar qual o objeto do contrato de
prestação de serviços.
Compartilhamento
De acordo com o que determina o § 5° do artigo 7º da LGPD, o controlador que
obteve o consentimento do titular, e necessitar comunicar ou compartilhar
dados pessoais com outros controladores, deverá obter consentimento
específico do titular para esse fim, ressalvadas as hipóteses legais de dispensa
do consentimento.
Direitos Trabalhistas
De acordo com o artigo 4°-C da Lei 6.019/74, são asseguradas aos
empregados da empresa prestadora de serviços, quando e enquanto os
serviços forem executados nas dependências da tomadora, além de outras que
podem ser previstas contratualmente, as mesmas condições relativas a:
- Alimentação garantida aos empregados da contratante, quando oferecida em
refeitórios;
- Utilização dos serviços de transporte;
- Treinamento adequado, fornecido pela contratada, quando a atividade o exigir;
- Medidas sanitárias, de proteção à saúde e segurança no trabalho e de
instalações adequadas à prestação do serviço.
Além disso, o titular também tem direito de obter dos controladores, em relação
aos seus dados, a qualquer momento e mediante requerimento expresso
(artigo 18 da LGPD):
Exercício dos Direitos pelo Titular
Adequação Contratual
A terceirização deve ser formalizada mediante contrato de prestação de serviço
s, conforme artigo 5-A da Lei n° 6.019/74.
De acordo com o que estabelece o artigo 5°-B da Lei nº 6.019/74, o contrato de
prestação de serviços conterá:
- Qualificação das partes;
- Especificação do serviço a ser prestado;
- Prazo para realização do serviço, quando for o caso;
- Valor.
Em razão da LGPD, é imprescindível que o contrato de prestação de serviços
esteja atualizado com disposições sobre a proteção de dados. É dever das
empresas contratantes conferir reciprocamente se estão adequadas à LGPD,
especialmente em razão do artigo 42 da LGPD que estabelece a
responsabilidade solidária entre os agentes de tratamento.
Procedimentos
Para garantir o tratamento regular dos dados, bem como, o exercício dos
direitos pelo titular, os agentes de tratamento devem adotar medidas de
segurança e boas práticas, dentre elas, algumas que merecem destaque, estão
indicadas a seguir:
Conceito
O grupo econômico é caracterizado, pela legislação trabalhista, sempre que
uma ou mais empresas, embora com personalidade jurídica própria, estiverem
sob a direção, controle ou administração de outra, ou ainda quando, mesmo
guardando cada uma sua autonomia, demonstrem efetiva comunhão de
interesses e atuação conjunta (§§ 2° e 3° do artigo 2° da CLT).
Em termos práticos, o grupo econômico pode ser identificado como o conjunto
de pessoas jurídicas que se unem para potencializar a sua produtividade,
diminuindo custos, visando maior lucratividade e crescimento circunstancial no
mercado.
Empresa Multinacional
As empresas multinacionais, ou ainda empresas brasileiras localizadas no
exterior, também estarão sujeitas às regras da LGPD sempre que (artigo 3º da
LGPD):
Encarregado
De acordo com o artigo 41 da LGPD, o controlador deverá indicar o
encarregado pelo tratamento de dados pessoais.
Nesta hipótese, permitida pela legislação trabalhista, desde que não haja
previsão em sentido contrário no contrato de trabalho, haverá
compartilhamento de dados pessoais do trabalhador entre as empresas do
grupo econômico, que deverá constar no contrato de trabalho, ou em termo
aditivo, em respeito ao princípio da transparência e da autodeterminação
informativa, previstos no inciso II do artigo 2° e no inciso VI do artigo 6° da
LGPD.
Direitos do Titular
Segundo a LGPD, o titular dos dados pessoais vai exercer os seus direitos
mediante requerimento expresso apresentado ao controlador (§ 3° do artigo 18
da LGPD).
Boas Práticas
Condutas de boas práticas devem ser adotadas para que o tratamento de
dados pessoais ocorra em respeito à LGPD.
Conceito
O sistema de Franquia Empresarial é regulamentado pela Lei nº 13.966/2019,
que revogou a Lei nº 8.955/94.
Implantação
Para a implantação da franquia, o franqueador deverá fornecer ao interessado
Circular de Oferta de Franquia, escrita em língua portuguesa, de forma objetiva
e acessível, que conterá, obrigatoriamente, algumas informações, dentre elas
(artigo 2º da Lei nº 13.966/2019):
Relação completa de todos os franqueados, subfranqueados ou
subfranqueadores da rede e, também, dos que se desligaram nos
últimos 24 meses, com os respectivos nomes, endereços e telefones
(inciso X do artigo 2º da Lei nº 13.966/2019).
Controlador e Operador
O controlador é o agente de tratamento a quem cabe tomar as decisões
referentes ao tratamento de dados pessoais (inciso VI do artigo 5º da LGPD).
Encarregado - DPO
O encarregado é a pessoa indicada pelo controlador e operador para atuar
como canal de comunicação entre o controlador, os titulares dos dados e a
Autoridade Nacional de Proteção de Dados (inciso VIII do artigo 5º da LGPD).
Adequação Contratual
Diante das regras de Proteção de Dados pessoais, será necessário adequar o
contrato de franquia para que contenha disposições sobre a proteção de
dados, já que nesta relação há, pelo menos, tratamento de dados pessoais de
empregados, franqueados e clientes.
Relações de Consumo
Em uma relação de consumo, normalmente é necessário o preenchimento de
cadastros, onde o consumidor informa seu nome completo, CPF, endereço, e-
mail, telefone, entre outros, ou seja, inúmeros dados pessoais são fornecidos
para possibilitar a aquisição de produtos ou serviços, o que torna o
cumprimento da LGPD obrigatória.
Marketing Digital
Outro ponto de impacto causado pela Lei Geral de Proteção de Dados está
atrelado ao marketing digital, visto que, atualmente, se trata do principal meio
de coleta de dados pessoais.
Estratégias Promocionais
O contexto digital transformou as ações de marketing, proporcionando
estratégias promocionais em sites, plataformas digitais, aplicativos, que
direcionam o consumidor para participar de sorteios de prêmios e ganhar
descontos em produtos, só que, para isso, o usuário deve realizar o
preenchimento de um cadastro, no qual precisa informar alguns dados
pessoais, como nome, endereço, CPF, Identidade, telefone, e-mail, entre outros.
Portanto, coletar dados de potenciais clientes é, sem dúvida, uma grande
estratégia de marketing.
Boas Práticas
Assim, diante das diretrizes impostas pela Lei Geral de Proteção de Dados, o
controlador deverá adotar condutas de conformidade com a Lei, dentre as
quais, destacam-se
- Coletar o consentimento do titular, sempre que não houver outra base legal
que autorize o tratamento dos dados;
- Verificar se há previsão legal que autorize o uso dos dados pessoais, com a
dispensa do consentimento;
- Informar ao titular que os seus dados serão salvos e podem vir a ser utilizados
novamente, para anúncios de produtos ou serviços (ações de remarketing);
- Fixar um prazo para a guarda dos dados ou observar o prazo legal, se houver;
Ocorrência
Segundo o artigo 44 da LGPD, o tratamento de dados pessoais será irregular
quando deixar de observar a legislação ou quando não fornecer a segurança
que o titular dele pode esperar, consideradas as circunstâncias relevantes,
entre as quais:
Em linhas gerais, o uso indevido dos dados pode ser caracterizado quando as
regras de proteção de dados previstas na LGPD não são aplicadas ou
intencionalmente descumpridas, podendo acarretar um incidente com os dados
pessoais e, consequentemente, a responsabilização dos agentes de
tratamento.
Ciclo de Vida dos Dados
Para que o tratamento de dados pessoais seja regular, é necessário aplicar e
cumprir as medidas previstas na LGPD. Nesta análise, tem um papel importante
o ciclo de vida dos dados traçado após o mapeamento.
Coleta
É requisito essencial para a LGPD identificar os dados que precisam de fato ser
coletados, a fim de se obter o mínimo necessário para o tratamento, o qual
deve ser direcionado para uma finalidade específica e estar fundamentado em
uma base legal que ampara o tratamento (artigo 6º da LGPD).
Processamento
Término
4. Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que
anonimizados os dados (inciso IV do artigo 16 da LGPD).
Com isso, fica claro que a retenção de dados por prazo indefinido, sem uma
base legal que a autorize, configura o uso indevido dos dados, capaz de
responsabilizar os agentes de tratamento por essa conduta.
As condições de organização;
O regime de funcionamento;
Os procedimentos, incluindo reclamações e petições de titulares;
As normas de segurança;
Os padrões técnicos;
As obrigações específicas para os diversos envolvidos no tratamento;
As ações educativas;
Os mecanismos internos de supervisão e de mitigação de riscos e
outros aspectos relacionados ao tratamento de dados pessoais.
É recomendado também:
Controlador e Operador
A LGPD, em seu artigo 42, determina que o controlador ou o operador que, em
razão das operações de tratamento de dados pessoais, causar dano
patrimonial, moral, individual ou coletivo, em violação à legislação de proteção
de dados, será obrigado a repará-lo.
1. Existência de dano:
- dano individual é o que atinge apenas o titular dos dados e dano coletivo o
que afeta a sociedade ou parte dela.
Controlador
Operador
Neste momento, ainda inicial na aplicação da LGPD, não é possível afirmar que
a intenção do legislador foi afastar a responsabilidade do controlador quando
suas orientações não tiverem sido seguidas e houver a equiparação do
operador, principalmente porque, no inciso II do §1° do artigo 42 da LGPD, ficou
prevista a responsabilidade solidária dos controladores que estiverem
diretamente envolvidos no tratamento do qual decorreram danos ao titular dos
dados.
Responsabilidade Solidária
Responsabilidade Civil
O dever de reparação de um dano é denominado como responsabilidade civil, a
qual se subdivide, para fins de comprovação, em: subjetiva e objetiva.
Destaca-se que esta classificação tem impacto direto ao titular dos dados, já
que, se demonstrado o estrito cumprimento das normas de proteção pelo
agente de tratamento, poderia ser afastado o dever de reparação, ainda que
tenha ocorrido o dano, caso prevaleça o entendimento da responsabilidade
subjetiva.
Exclusão da Responsabilidade
Não haverá dever de reparação pelos agentes de tratamento quando
comprovarem que (artigo 43 da LGPD):
Será necessário demonstrar que não ocorreu o uso dos dados alegado pelo
titular.
2. Tratamento regular
- O resultado e os riscos que razoavelmente dele se esperam;
- As técnicas de tratamento de dados pessoais disponíveis à época em que foi r
ealizado.
Como identificar um Tratamento Irregular
- Qual o tipo de dado objeto do tratamento irregular?
- É possível identificar os titulares? Há dados de crianças e adolescentes?
- Qual a operação de tratamento (coleta, guarda, compartilhamento, eliminação,
produção, entre outras)?
- Ocorreu o uso ilícito por terceiros?
- Foi realizado compartilhamento não autorizado pelo titular?
Esses questionamentos podem contribuir para a identificação da origem do
tratamento irregular e possibilitar a sua adequação a Lei. O RIPD (Relatório de
Impacto à Proteção de Dados Pessoais), se existente, também pode ser útil
para essa análise.
Nesta situação, o dano foi causado em razão de uma ação do próprio titular ou
por conduta de uma pessoa estranha ao tratamento dos dados.
Relações de Consumo
Quando o titular dos dados for também um consumidor, devem ser observadas
as regras de responsabilidade civil previstas na Lei n° 8.078/90 (CDC – Código
de Defesa do Consumidor).
Relações de Consumo
Em uma relação de consumo, normalmente é necessário o preenchimento de
cadastros, onde o consumidor informa seu nome completo, CPF, endereço, e-
mail, telefone, entre outros, ou seja, inúmeros dados pessoais são fornecidos
para possibilitar a aquisição de produtos ou serviços, o que torna o
cumprimento da LGPD obrigatória.
Marketing Digital
Outro ponto de impacto causado pela Lei Geral de Proteção de Dados está
atrelado ao marketing digital, visto que, atualmente, se trata do principal meio
de coleta de dados pessoais.
Assim, as empresas do ramo de tecnologia de informação e de marketing,
quando coletam dados e formulários por meio de landing pages (página de
divulgação de um produto), devem instituir Política de Privacidade em
conformidade com a Lei Geral de Proteção de Dados.
Estratégias Promocionais
O contexto digital transformou as ações de marketing, proporcionando
estratégias promocionais em sites, plataformas digitais, aplicativos, que
direcionam o consumidor para participar de sorteios de prêmios e ganhar
descontos em produtos, só que, para isso, o usuário deve realizar o
preenchimento de um cadastro, no qual precisa informar alguns dados
pessoais, como nome, endereço, CPF, Identidade, telefone, e-mail, entre outros.
Portanto, coletar dados de potenciais clientes é, sem dúvida, uma grande
estratégia de marketing.
Boas Práticas
Assim, diante das diretrizes impostas pela Lei Geral de Proteção de Dados, o
controlador deverá adotar condutas de conformidade com a Lei, dentre as
quais, destacam-se
- Coletar o consentimento do titular, sempre que não houver outra base legal
que autorize o tratamento dos dados;
- Verificar se há previsão legal que autorize o uso dos dados pessoais, com a
dispensa do consentimento;
- Fixar um prazo para a guarda dos dados ou observar o prazo legal, se houver;
Criação
A Autoridade Nacional de Proteção de Dados (ANPD) é um órgão da
administração pública federal, com autonomia técnica e decisória, a quem
compete, principalmente, zelar, regulamentar e fiscalizar a proteção dos dados
pessoais em cumprimento à Lei n° 13.709/2018.
Competências
A ANPD, no exercício da sua função de zelar pela proteção de dados, com a
preservação do segredo empresarial e do sigilo das informações, deve (artigo
55-J da LGPD):
Função Normativa -
Função Fiscalizatória Função Consultiva
Regulatória
Apreciar as petições de
titular dos dados (após
Elaborar regulamentos e
comprovação de Deliberar, na esfera
procedimentos sobre
reclamação não administrativa, sobre a
proteção de dados, a
solucionada pelo interpretação da Lei, as
partir de consulta pública
controlador). suas competências e os
e análise de impacto
Implementar mecanismos casos omissos
regulatório
simplificados para o
registro de reclamações
Editar procedimentos
simplificados para Micro Promover o conhecimento
e Pequenas Empresas, Fiscalizar e aplicar das normas e das políticas
Iniciativas empresariais sanções em caso de públicas sobre proteção de
de caráter incremental, violação à LGPD dados pessoais e das
startups ou empresas de medidas de segurança
inovação
Promover e elaborar
Dispor sobre publicidade
estudos sobre as
das operações de Celebrar compromissos
práticas nacionais e
tratamento, respeitados o com agentes de
internacionais de
segredo comercial e tratamento
proteção de dados
industrial
pessoais e privacidade
Estimular a adoção de Comunicar às
padrões para serviços e autoridades
produtos que facilitem o competentes as Ouvir os agentes de
controle pelos titulares, infrações penais das tratamento e a
considerando a atividade quais tiver sociedade em matérias
e porte dos responsáveis conhecimento de interesse relevante e
Implementar Garantir que o tratamento prestar contas sobre
mecanismos de dados de idosos seja suas atividades
simplificados para o efetuado de maneira
registro de reclamações simples, clara e acessível
Atribuições Vigentes
Para o cumprimento das normas de proteção, a atividade da Autoridade
Nacional foi tratada pela LGPD, em muitos casos, como indispensável. Isto
porque alguns procedimentos, no tratamento dos dados, dependem
diretamente da sua atuação, tanto na sua função fiscalizatória, quanto
regulatória.
Regulamentações Pendentes
Por outro lado, há disposições que se encontram ainda pendentes de
regulamentação pela ANPD para produzirem efeitos, das quais, cabe
mencionar:
Incidente de Segurança
Considera-se incidente de segurança o evento confirmado ou ainda sob
suspeita, que implique em acessos não autorizados, em situações acidentais
ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de
tratamento inadequado ou ilícito (artigo 46 da LGPD).
Comunicação à ANPD
A comunicação, em caso de incidente de segurança, deve ser feita em prazo
razoável, conforme será definido pela ANPD.
Determinações da ANPD
Por outro lado, é possível que algumas medidas corretivas precisem ser
adotadas pelos agentes de tratamento em razão de requerimento dos titulares.
- Sem custos;
- De imediato, como regra geral, já que caso o controlador não possa atender
imediatamente a solicitação, é seu dever:
- Comunicar que não é agente de tratamento dos dados e indicar, sempre que
possível, o agente; ou
- Imediatamente, em formato simplificado; ou
Procedimentos
- Criar um padrão para atendimento das solicitações dos titulares com registro,
conferência da identidade e resposta dentro do prazo legal. Havendo correção,
eliminação, anonimização ou bloqueio de dados, o controlador deverá,
imediatamente, comunicar aos agentes de tratamento com os quais tenha
compartilhado os dados para que apliquem o mesmo procedimento, exceto
nos casos em que esta comunicação seja comprovadamente impossível ou
implique esforço desproporcional (§ 6° do artigo 18 da LGPD).
- Analisar as solicitações que não precisam ser atendidas, o amparo legal para
a negativa e dar ciência ao titular dos dados. Como exemplo, cita-se o
requerimento de eliminação dos dados, com os quais o controlador ainda deve
cumprir obrigações legais. O fundamento para não atendimento da solicitação
encontra-se no inciso II do artigo 7°, para o caso de dados pessoais, e alínea a
do inciso II do artigo 11 para dados pessoais sensíveis;
Utilização de ferramentas de
segurança da informação, a exemplo Utilizar
de: antivírus, monitoramento de redes, crachás de identificação para empregado
controle de acessos a sites e aos s e visitantes
programas utilizados
Adotar
Identificação
critérios para acesso às áreas restritas
de logins de acesso ativos e inativos,
como lista de empregados autorizados e
excluindo-se contas inativas
registros de acesso
Registro das etapas de tratamento de d Utilizar
ados câmeras de vídeo em pontos estratégicos
Implantação Categorizar os dados e armazená-los em
de: assinatura, certificado digital e ambiente controlado, para evitar acesso
criptografia não autorizado
Utilização de backup dos dados
Instituição
de Políticas de Privacidade e de Confi
dencialidade e Termos de Uso
Treinamento aos empregados sobre a Realizar o descarte seguro dos dados
utilização segura dos programas e
sistemas da empresa e comunicação
via internet
Regimento Interno estabelecendo o
cumprimento das condutas de Boas
Práticas e não divulgação de
informações sobre dados pessoais Treinar colaboradores quanto às medidas
Contratar uma Apólice de Seguros adotadas
Cibernéticos, com o objetivo de
indenizar as despesas financeiras
causadas por vazamento de dados
decorrente de um incidente cibernético
Passo a Passo
Para auxiliar na adoção de práticas corretivas, é importante estabelecer uma
sequência a ser observada na sua
implantação. Assim, os pontos indicados abaixo merecem atenção: