Escolar Documentos
Profissional Documentos
Cultura Documentos
PARA EMPRESAS
Desenvolvido por:
2
SUMÁRIO
1. A LGPD ____________________________________________03
2. Os dados __________________________________________ 04
3. Obrigações impostas pela LGPD ____________________06
4. Consentimento do titular ____________________________09
Clique 5. Direito dos usuários __________________________________12
no assunto 6. Dados pessoais sensíveis _____________________________14
7. Término do tratamento dos dados ___________________15
8. Responsabilidade da empresa em caso de danos ___16
9. Segurança, boas práticas e governança_____________17
10. Penalidades administrativas _________________________18
11. Como se adequar? _________________________________19
12. Conclusão _________________________________________22
3
Com a vigência da Lei 13.709/2018 – Lei Geral de
Proteção de Dados, ou simplesmente LGPD, as empresas
passaram a se preocupar mais com a gestão de dados de
usuários. O que antes era considerado como boa prática
no Brasil (e obrigação em grande parte do mundo,
principalmente na Europa e EUA), agora passou a ser
obrigatório, também aqui no Brasil.
A LGPD
4
É importante esclarecer que a LGPD utiliza o termo
“dados pessoais”, definindo-o simplesmente como
informação relacionada a pessoa natural identificada ou
identificável.
LGPD
OS DADOS
A LGPD não se aplica ao tratamento de dados pessoais com fins jornalísticos, acadêmicos, de segurança pública e afins.
LGPD
OBRIGAÇÕES IMPOSTAS PELA LGPD:
Como dito, a LGPD criou diversos processos que devem ser observados durante o tratamento de dados pessoais. A seguir citamos
os principais:
Realizar o tratamento dos dados (por exemplo a No ato da obtenção do consentimento a empresa
a) coleta) especificando e informando de forma
clara e precisa ao titular (cliente, colaborador e
c) precisará disponibilizar um contato ao titular
(inclusive com identificação do Encarregado de
etc) a finalidade e forma da coleta; Tratamento de Dados - Data Protection Officer -
DPO) preferencialmente no site da empresa, bem
como especificar que seus colaboradores e
b) Obtenção de consentimento do titular dos
dados, salvo nos casos de tratamento de dados
pessoas que terão acesso aos dados obtidos
estão sob responsabilidade (e treinamento);
tornados públicos pelo próprio titular, sendo
necessário, mesmo nestes casos a adoção de
medidas que visem a resguardar a segurança
desses dados;
d) Se os dados forem obtidos como condição
necessária para o fornecimento de um produto
ou serviço o titular dos dados deverá ser
informado sobre este fato, de forma destacada;
7
LGPD
OBRIGAÇÕES IMPOSTAS PELA LGPD:
ocasião da coleta;
8
LGPD
OBRIGAÇÕES IMPOSTAS PELA LGPD:
Implementar sistemas de segurança aptos a Não utilizar os dados coletados para fins ilícitos
j) proteger os dados coletados contra terceiros não
autorizados, como por exemplo, instalar sistemas
m) ou abusivos;
k) Adotar medidas para garantir a transparência n) Demonstrar a adoção de todas estas medidas e
comprovar a eficácia das mesmas, como por
do tratamento de dados baseado em seu legítimo exemplo, expor de forma detalhada a gestão dos
interesse (somente dados necessários à empresa dados em política de privacidade do site;
podem ser obtidos);
LGPD
CONSENTIMENTO DO TITULAR:
Apesar de a LGPD autorizar a empresa a coletar dados É possível que o consentimento seja obtido em meios eletrônicos
quando necessário para a execução de contrato do qual por meio de opção na qual o usuário seleciona que leu e
seja parte o titular destes dados (por exemplo, no caso de concorda com as políticas da empresa de gestão de dados
um contrato de compra e venda não é necessário termo de pessoais. Porém, neste caso é importante que os registros da
opção sejam também armazenados de forma eficaz a demonstrar
consentimento, já que os dados coletados decorrem da
própria dinâmica do contrato), é importante, como medida
Av.este
Pacaembu,
consentimento. 1976
de governança e transparência, inclusive para fins de Pacaembu
Outra possibilidade é o consentimento ocorrer por meio de
proteção futura, que a empresa obtenha o consentimento termo escrito e assinado por um colaborador que compartilha
do titular dos dados em todas as hipóteses, ou na grande informações pessoais com a empresa, por exemplo.
maioria delas.
É essencial que a cláusula ou a política de consentimento esteja
A LGPD diz que o consentimento do titular deverá ser com seu texto em destaque, sendo recomendável que a empresa
fornecido por escrito ou por outro meio que demonstre a providencie um termo específico para os fins da LGPD ou então
manifestação de vontade do titular. que no sistema de cadastro eletrônico da empresa conste
separadamente a opção de que o usuário concorda em
compartilhar seus dados para os fins especificados.
10 10
LGPD
CONSENTIMENTO DO TITULAR:
É recomendável, ainda, que a empresa providencie No ato da obtenção do consentimento a empresa precisará
diversos consentimentos para cada conjunto de dados, especificar de forma clara a finalidade da obtenção dos
evitando, assim, que deixe de adquirir o consentimento, dados, a forma e período que utilizará os dados, apontar
caso o usuário não queira compartilhar alguns dados, mas se compartilhará os dados coletados com terceiros e para
esteja disposto a compartilhar outros.
Av. Pacaembu, 1976
qual finalidade.
LGPD
CONSENTIMENTO DO TITULAR:
Compete à empresa, ainda, no ato da obtenção do A empresa precisará, também, fazer menção expressa
consentimento disponibilizar seus contatos ao titular sobre os direitos do titular dos dados, os quais poderão ser
(inclusive com identificação do Encarregado de exercidos a qualquer momento, especificando a forma
Tratamento de Dados - Data Protection Officer - DPO) como poderá exerce-los.
preferencialmente no site da empresa, bem como
especificar que seus colaboradores e pessoas que terão
Av. Pacaembu, 1976
acesso aos dados obtidos estão sob responsabilidade (e Pacaembu
treinamento) durante o tratamento dos dados.
LGPD
DIREITOS DOS USUÁRIOS:
a) b) c) d)
Confirmação da existência Acesso aos dados pessoais Correção de dados Anonimização, bloqueio ou
de tratamento de dados (devendo o pedido ser incompletos, inexatos ou eliminação de dados
(devendo o pedido ser atendido pela empresa em desatualizados; desnecessários, excessivos
atendido pela empresa em até 15 dias); ou tratados em
até 15 dias); desconformidade com a
LGPD;
13 13
LGPD
DIREITOS DOS USUÁRIOS:
e) f) g) h)
Portabilidade dos dados a outro Eliminação dos dados Informação sobre a Possibilidade de revogação
fornecedor de serviço ou pessoais tratados; possibilidade de não do consentimento.
produto, mediante requisição fornecer consentimento e
expressa, de acordo com a sobre as consequências da
regulamentação da autoridade negativa;
nacional, observados os
segredos comercial e industrial;
14
Dado genético ou
biométrico.
15
LGPD
Uma vez finalizada a finalidade para a qual os dados
foram coletados ou deixando, os dados, de serem
necessários à empresa, ou ainda verificadas outras
hipóteses, como por exemplo no caso de revogação TÉRMINO DO
do consentimento, compete à empresa eliminar os TRATAMENTO
DOS DADOS:
dados do titular, autorizada a conservação de dados
para fins de cumprimento de obrigações legais
futuras.
16
LGPD
Se a empresa, em razão do exercício de Para a empresa não ser responsabilizada
atividade de tratamento de dados pessoais, precisará provar que não realizou o
causar dano material ou moral, individual tratamento de dados pessoais que lhe é
ou coletivo será obrigada a repará-lo. atribuído, ou que embora tenham
realizado o tratamento de dados pessoais,
que não houve violação à legislação de
proteção de dados, ou, ainda, que o dano
é decorrente de culpa exclusiva do titular RESPONSABILIDADE
dos dados ou de terceiros. DA EMPRESA
É importante mencionar que, no caso de a EM CASO DE
empresa não adotar as medidas de DANOS
segurança e boas práticas que a lei prevê
(inclusive como obrigatórias), poderá ser
responsabilizada pelos danos decorrentes
da violação da segurança dos dados.
17
LGPD
A LGPD é enfática ao determinar como A Lei sugere, a título de Boas Práticas por
obrigação das empresas a adoção de parte da empresa e Governança, que as
medidas de segurança para proteção dos companhias formulem políticas internas
dados pessoais de ataques e demais para regulamentar os procedimentos de
situações acidentais ou ilícitas. reclamação das pessoas cujos dados são
coletados, contendo normas de segurança,
os padrões técnicos, as obrigações
A preocupação é evitar perda, destruição,
específicas para os diversos envolvidos no
SEGURANÇA,
alteração, roubo ou qualquer tratamento BOAS PRÁTICAS NO
inadequado a dados, como por exemplo no tratamento dos dados, as ações
educativas, os mecanismos internos de TRATAMENTO DE
caso de ataques hacker ou ainda no caso de
supervisão e de mitigação de riscos e DADOS PESSOAIS E
simples desvio de dados por colaboradores
internos da companhia. outros aspectos relacionados ao GOVERNANÇA
tratamento de dados pessoais.
LGPD
Dentre os aspectos que influenciam na
gradação da pena está o porte da empresa,
No caso de não cumprimento das se é reincidente ou não, se houve
obrigações previstas na LGPD as empresas cooperação, se a empresa adotou
poderão ser penalizadas nas hipóteses mais mecanismos e procedimentos internos para
brandas com uma advertência indicando minorar o dano (como por exemplo, a
prazo para adotar medidas corretivas. Já contratação de sistema de segurança no
nos casos mais graves a pena poderá tratamento de dados), se a empresa adotou
chegar a uma multa de 2% do faturamento política interna de boas práticas e PENALIDADES
da empresa (limitada ao valor de governança, se a empresa adotou medidas
ADMINISTRATIVAS
R$50.000.000,00), por infração. corretivas rapidamente após a infração e
etc.
LGPD
1) Conhecer os 4) Analisar a real finalidade e
COMO SE ADEQUAR? aspectos jurídicos necessidade de coleta dos
da LGPD. dados, já que a lei apenas
permite a coleta de dados
Conhecidos os principais 2) Identificar quais são as pessoais essenciais.
aspectos da LGPD é necessário etapas operacionais da
que a empresa identifique seus companhia onde são 5) Verificar qual o caminho
aspectos e adeque seus coletados dados. percorrido pelos dados e
processos internos seguindo o onde os mesmos são
3) Identificar, dentre os dados
fluxograma proposto: armazenados.
coletados, quais destes são
enquadrados como dados
pessoais e se há, dentre
eles, os chamados dados
sensíveis.
20
LGPD
8) Identificar quais 9) Identificar se as empresas
COMO SE ADEQUAR? colaboradores da empresa com quem os dados são
tem acesso aos dados compartilhados também
6) Verificar se os dados coletados e limitar o acesso implementaram programa de
(inclusive protegendo adequação à LGPD, se há
coletados são
fisicamente servidores, por
compartilhados, com quem cláusula de confidencialidade
exemplo), bem como
são compartilhados e quais com tais empresas, bem como
proporcionar adequado
dados são compartilhados. treinamento contínuo, em se elas detêm meios eficazes
relação aos aspectos da de segurança.
7) Verificar quais são as LGPD e às práticas de
ferramentas de segurança segurança cibernética aos
necessárias à empresa, colaboradores (por exemplo,
garantir que tais ferramentas evitando que sejam baixados
protejam todas as etapas e instalados programas que
percorridas pelos dados, possam comprometer a
desde o momento da coleta, segurança interna da
armazenamento e eventual empresa).
compartilhamento.
21
LGPD
12) Criar um canal de 14) Fazer análise jurídica e
COMO SE ADEQUAR? comunicação para os conjuntamente de tudo o que
titulares dos dados foi implementado para
10) Elaborar política de contatarem a empresa garantir que as medidas
privacidade eficaz na gestão sempre que necessário. sejam conexas entre si e que
dos dados, nos termos supram as exigências legais.
exigidos pela LGPD.
13) Instaurar programa de 15) Acompanhar continuamente,
boas práticas e por meio de equipe
governança, multidisciplinar (ao menos
11) Elaborar termos de proporcionando, Jurídico, TI e RH), a coleta
obtenção do consentimento juridicamente, prévia de dados e aprimorar os
dos titulares dos dados, proteção em caso de processos relacionados à
condizentes com o que a lei vazamento de dados. LGPD e à própria evolução
determina e com os da interpretação da lei.
processos da empresa.
222
2
Como visto a LGPD trouxe uma série de obrigações para a
empresa, sendo extremamente importante a adoção de
medidas visando minorar os danos que possam advir do
CONCLUSÃO
tratamento de dados pessoais de pessoas físicas.
Cada empresa precisará adotar um plano direcionado e criado para a sua realidade e considerando as
suas possibilidades operacionais, técnicas e financeiras. O cumprimento da lei é um trabalho contínuo
e acontecerá diariamente, dado o dinamismo das relações e a novidade da lei.
clique