Escolar Documentos
Profissional Documentos
Cultura Documentos
Se você passou ou não passou por isso, saiba que são situações até
então muito comuns no dia a dia. Algumas empresas utilizam as nossas
informações pessoais para fazerem diversas coisas, às vezes sem a
gente nem imaginar que as nossas informações estão circulando por aí.
3
Proteção de
dados pessoais
ao redor do
mundo
País fortemente adequado (GDPR) Autoridade nacional e lei(s) de proteção de dados pessoais
País adequado Lei(s) de proteção de dados pessoais
País parcialmente adequado Sem lei(s) específica sobre o tema
4
LGPD
Proteção de
dados pessoais
A LGPD surgiu para proteger os Isso quer dizer que a LGPD não
dados pessoais que circulam todos protege outros dados, por exemplo,
os dias dentro de todas as não protege os dados de empresas.
empresas do Brasil. A LGPD chama
É claro que isso não significa que
de “dados pessoais” todas as
todas as informações de uma
informações das pessoas físicas.
empresa podem ser divulgadas.
Pessoas físicas somos todos nós.
Apenas quer dizer que quem é
protegido pela LGPD é a pessoa
física e não a jurídica.
Portanto, concluímos que a lei
aplica-se diretamente a nós e tem o
intuito de nos resguardar, enquanto
“titulares de dados”.
5
Categorias de
titular de dados
Prestadores Parceiros
de serviço
6
Como se adequar à LGPD
Identificação de não conformidades
Treinamento
É necessário que a empresa identifique não
Os colaboradores da empresa devem conhecer os conformidades, ou seja, falhas, sobre proteção de
principais conceitos sobre proteção de dados dados pessoais, para poder corrigi-las
pessoais para que a nova cultura seja criada
8
Agora você já sabe
o que é a LGPD e quem ela protege.
Vamos aprender um pouco mais.
9
A LGPD protege os dados da pessoa física
identificada ou identificável. Vamos entender a
diferença.
10
Só existe um RG, um CPF, um PIS, uma CTPS e um número de
beneficiário. Ou seja, apenas com o RG, sem necessidade de mais
nenhum outro dado, é possível identificar uma pessoa. Assim,
existem diversos dados pessoais iguais a esses que acabamos de
analisar, que fazem com que uma pessoa seja diretamente
identificada.
11
Entretanto, se adicionarmos outros dados, Basicamente, o que queremos dizer com tudo
como funcionário da empresa “ABC do isso? Que podemos pensar nos dados pessoais
Brasil” que atua no departamento de de duas formas:
atendimento, temos outro cenário. Existem dados que fazem com que uma pessoa
seja diretamente identificada; aqui, um dado é
Com essas duas informações é possível suficiente e já sabemos quem é essa pessoa.
identificar quem é essa pessoa? Se, por
exemplo, essa empresa tiver apenas um Existem dados que, se somados a outros
dados, fazem com que uma pessoa seja
funcionário no departamento de
identificável. Aqui, precisamos de mais de um
atendimento, vamos conseguir chegar dado. Porém, somando esses dados,
nessa pessoa. Se tiver mais de um conseguimos saber quem é essa pessoa.
funcionário no atendimento, vamos precisar
de outros dados para que seja possível
identificar de quem estamos falando.
12
Tratamento de dados - Clientes são cadastrados no sistema da empresa;
13
Agora, vamos adicionar mais Toda vez que na rotina da empresa, Fazer um mapeamento de processos
uma coisa nessas tarefas da em cada departamento, tarefas forem quer dizer, simplesmente, esse
rotina: dados pessoais. Esses realizadas e nessas tarefas tiver dados trabalho de pensar e identificar todas
dados pessoais podem ser de pessoais envolvidos, nós teremos uma as atividades da rotina, registrar tudo
qualquer categoria de titular de atividade de tratamento de dados isso e depois manter esse registro
dados: pessoais. sempre atualizado de acordo com a
realidade das tarefas do dia a dia.
15
Origem racial ou étnica
Convicção religiosa
Biometria
É importante ter atenção porque os dados sensíveis são apenas esses que acabamos de
apresentar! Ou seja, fora esses, nenhum outro dado pessoal pode ser considerado como um
dado sensível. Por que é assim?
Porque a LGPD diz exatamente isso, que apenas esses dados são sensíveis.
16
Conceito de dado
pessoal financeiro
Atenção: os dados financeiros podem ser
São todas as informações de atividades financeiras diversos! Ou seja, aqui nós estamos falando
ou valores financeiros, por exemplo, salário, apenas de exemplos. Se na sua rotina, localizar
mensalidades, pagamentos, valores monetários alguma outra informação de atividades
em reais ou outras moedas, dados dos cartões de financeiras, ela poderá tratar um dado pessoal
crédito ou débito, dados de cheques, boletos e financeiro também!
documentos semelhantes, dados de instituições
financeiras e contas correntes, entre outros.
Diferente dos dados pessoais sensíveis, os dados financeiros não estão em uma lista
definida. Podemos encontrar diversos dados financeiros no dia a dia!
17
Conceito de dado pessoal Tudo isso é considerado um hábito de compra. Ou
seja, um dado comportamental.
comportamental Por isso que os dados comportamentais são
informações produzidas pelo próprio titular de
Já os dados comportamentais, o próprio nome diz, dados, como um resultado do que o próprio titular
são as informações que mostram que uma pessoa de dados faz, das suas ações. E isso,
tem um certo comportamento. Como assim? normalmente, é um comportamento comercial. É
possível conseguir essas informações usando
Vamos pensar que você sempre realiza compras
dispositivos conectados à internet, por exemplo,
em um supermercado X. Olhando as compras que
um computador, tablet ou celular (smartphone).
você já fez durante alguns anos, o supermercado
Esses dispositivos rastreiam comportamentos
consegue dizer que: você geralmente vai ao
como sobre sites visitados, produtos acessados,
mercado no final de semana; você sempre faz as
produtos comprados, aplicativos baixados, jogos
compras no período da manhã; você quase nunca
acessados, dentre outros.
compra produtos com açúcar.
Os dados comportamentais também não estão em uma lista definida. Podemos encontrar
diversos dados comportamentais no dia a dia!
18
Conceito de dados simples
Por fim, nós temos os dados pessoais simples. Quais
são eles? São todos os dados pessoais que não se
encaixam como sensíveis, financeiros ou
comportamentais. Simples assim.
19
Importância dos dados
pessoais
E por que é importante entender as quatro Agora vamos pensar na empresa ABC, e lá nessa
categorias de dados pessoais? outra empresa, em todas as atividades existem
dados sensíveis.
Nas atividades da rotina da sua empresa, nos
processos, é necessário verificar quais são esses Você diria que é mais arriscado trabalhar com os
dados. dados pessoais na sua empresa ou na empresa ABC
que tem muitos dados sensíveis? Com certeza é
A LGPD determina que a empresa, ao analisar
mais perigoso na empresa ABC, correto?
todas as atividades de tratamento de dados
pessoais, também verifique se esses dados são Exatamente! As diferentes categorias de dados
sensíveis, financeiros, comportamentais ou simples. pessoais geram riscos diferentes em cada atividade
da rotina da empresa.
E tem ainda um outro motivo muito interessante.
Cada categoria de dado pode gerar um risco É por isso que não podemos deixar de lado essas
diferente para a sua empresa. Vamos pensar que diferenças, para que sempre que for necessário
na sua empresa só tem dados pessoais simples. identificar, conseguirmos dizer se um dado é
sensível, financeiro, comportamental ou simples.
20
Dados pessoais de
menores
A LGPD dá uma proteção mais forte para os dados O que muda para a empresa se existirem dados de
pessoais de crianças e adolescentes, ou seja, as menores nas atividades do dia a dia? Ela precisará
pessoas com menos de 18 anos. tomar alguns cuidados a mais, por exemplo, pedir o
consentimento específico dos pais ou do
Porém, isso significa que os dados dos menores são responsável por essa criança ou adolescente para
um tipo diferente de dado pessoal? Não! poder utilizar esses dados.
Uma pessoa com menos de 18 anos pode ter os Assim, nós concluímos que existem quatro
mesmos dados de uma pessoa maior de 18 anos, categorias de dados pessoais, e esses dados
pode ter dados sensíveis, financeiros, podem pertencer a pessoas maiores ou menores
comportamentais ou simples. de 18 anos:
O que é importante ver na prática é se em uma
certa tarefa da rotina da empresa existem
documentos, por exemplo, que podem ter dados
de menores. É isso que precisa de atenção.
21
Maiores de 18 anos
Categoria de dados
pessoais
Sensíveis
Podem ser dados
de pessoas Financeiros
Comportamentais
Simples
Menores de 18 anos
22
Incidente de dados
Imagine que uma pessoa mal intencionada Vamos analisar um por um?
invadiu o computador da sua empresa e
“Confidencialidade de dados pessoais” quer dizer
conseguiu visualizar diversos documentos com
que os dados pessoais só podem ser conhecidos
dados pessoais de clientes.
por pessoas que estão autorizadas, ou seja, se os
Imagine que aconteceu uma enchente e todos os dados pessoais forem acessados por alguém
documentos que estavam na recepção da que não é autorizado, vamos ter uma quebra da
empresa foram perdidos. confidencialidade.
Imagine que sua empresa usa um sistema para Se uma pessoa mal intencionada invadiu o
guardar vários dados pessoais de clientes e esse computador da sua empresa e conseguiu
sistema ficou “fora do ar” por dois dias e isso visualizar diversos documentos com dados
prejudicou o cliente que precisava dessas pessoais de clientes, aconteceu um incidente de
informações justo nesses dois dias. dados pessoais que atingiu a confidencialidade.
Sabe do que estamos falando?! Estamos falando
de incidentes de dados pessoais!
Um incidente de dados pessoais é qualquer
problema que acontece e causa uma quebra de
(1) confidencialidade, (2) integridade, (3) ou
disponibilidade de dados pessoais.
23
“Integridade de dados pessoais” quer dizer que os Se a sua empresa usa um sistema para guardar
dados pessoais devem estar corretos e devem ser vários dados pessoais de clientes e esse sistema
mostrados sem qualquer alteração, ou seja, se ficou “fora do ar” por dois dias e isso prejudicou o
acontece alguma coisa que atinge esses dados cliente que precisava dessas informações justo
pessoais, se eles são alterados, destruídos, sejam nesses dois dias, aconteceu um incidente de
esses dados eletrônicos ou físicos, em papel, dados pessoais que atingiu a disponibilidade.
vamos ter uma quebra da integridade.
Agora que você aprendeu o que é um incidente
Se ocorreu uma enchente e todos os documentos de dados pessoais, vamos pensar: por que é
que estavam na recepção da empresa foram importante saber disso?
perdidos, aconteceu um incidente de dados
Sempre que acontecer um incidente de dados na
pessoais que atingiu a integridade.
sua empresa, isso deve ser informado primeiro
“Disponibilidade de dados pessoais” quer dizer que para o titular de dados, que tem direito de saber
os dados pessoais podem ser acessados sempre se aconteceu algo com os dados pessoais dele. A
que for necessário, que devem estar à disposição LGPD exige que os titulares de dados sempre
sempre para quem precisar deles, ou seja, se sejam notificados se acontecer algum incidente!
acontece alguma coisa com esses dados pessoais
e eles não ficam totalmente à disposição para
serem utilizados, vamos ter uma quebra da
disponibilidade.
Além disso, a LGPD também manda que a Autoridade Nacional de Proteção de Dados (ANPD) também seja
informada. A ANPD é o órgão que cuida dos dados pessoais em todo o Brasil,.
Assim, no dia a dia é muito bom estarmos atentos para que nenhum incidente de dados aconteça.
Mas se acontecer, as medidas de notificação devem ser providenciadas!
24
Além da responsabilidade de indenizar o titular
dos dados, a LGPD prevê sanções de caráter
administrativo na hipótese de seu
descumprimento.
As empresas que não respeitarem a lei estão
25
Estas sanções podem ser aplicadas Adoção reiterada e demonstrada de mecanismos e
cumulativamente, por dia e infração, mas procedimentos internos capazes de minimizar o
sempre com base na gravidade e extensão da dano;
violação. ● Adoção de política de boas práticas e
governança;
Todas as sanções serão precedidas de um
● Pronta adoção de medidas corretivas;
procedimento administrativo que garanta a
● Proporcionalidade entre a gravidade da falta
ampla defesa do infrator. e a intensidade da sanção.
As sanções serão aplicadas considerando as
particularidades de cada caso e os seguintes
parâmetros e critérios: A Autoridade Nacional de Proteção de Dados (ANPD)
não pode penalizar empresas pelo descumprimento
● Gravidade e a natureza das infrações e da Lei Geral de Proteção de Dados (LGPD) até o fim
dos direitos pessoais afetados; de agosto de 2021.
● As normas de segurança e padrões Porém, isso não tira a liberdade dos advogados de
técnicos; empregarem a norma durante o julgamento de
● Boa-fé do infrator; casos para clientes privados.
● Vantagem auferida ou pretendida pelo
infrator; Além disso, o Ministério Público, Defensorias
● Condição econômica do infrator; Públicas, Procon e associações em geral também
● Obrigações específicas para os diversos estão permitidos a exigir o cumprimento de todas as
envolvidos no tratamento; normas da LGPD.
● Reincidência; Ou seja, apenas as penalidades administrativas
● Grau do dano; estão pendentes, podendo todas as outras regras da
● Cooperação do infrator; LGPD já serem aplicadas.
26
Condenação com base na
LGPD
Uma das maiores empresas do ramo imobiliário do
Brasil, acaba de se tornar a primeira companhia a ser
penalizada sob os termos da LGPD, logo após a Lei
entrar em vigor em 2020.
Fonte: www.publico.pt
28
Atenção!
Multas por falhas na proteção de dados somam
R$1,7 bi na Europa
29
comercial@dponet.com.br
11 5199-3959
(15) 97604-0270