fbpx

LGPD – Saiba o que sua empresa precisa fazer para estar dentro da lei.

por | ago 19, 2020 | Serviços Terabyte

Blog-LGPD

A LGPD – Lei de Proteção de Dados, sancionada em agosto de 2018, estabelece uma série de regras quanto a forma com que as empresas captam, armazenam, tratam, utilizam e compartilham qualquer dado pessoal relativo aos seus clientes, em qualquer tipo de contato, seja online ou offline e impõe mais proteção e penalidades quando do seu descumprimento.

No início da pandemia de Covid-19, o Senado determinou mediante medida provisória 959/2020 o seu adiamento para maio de 2021.

Uma nova mudança no texto em, 19/05/2020, resgatou o prazo original da LGPD. Com isso, a Lei entra em vigor em 14 de agosto. Já as sanções ficaram mesmo para agosto de 2021.

Mas, independentemente do prazo do início das novas regras, é importante estar atento e preparado para as mudanças que a LGPD determina.

É preciso entender que no mundo todo estão surgindo mudanças significativas nos sistemas jurídicos com o objetivo prioritário de definir regras claras quanto ao uso de dados pessoais, visando a privacidade e segurança de quem trafega pela internet ou fornece seus dados à uma empresa ou instituição, via qualquer abordagem nos meios digitais ou físicos.

E para a criação da LGPD no Brasil, usou-se como base o GDPR-general Data Protection Regulation, a legislação mais significante sobre privacidade de dados do mundo e que regulamenta o assunto nos países europeus.

Para todas as organizações, a conscientização sobre a privacidade desempenha um papel importante no sucesso da mitigação de riscos. Seja uma organização grande ou pequena, é essencial que a privacidade seja levada a sério.

Um programa de privacidade bem-sucedido requer que muitos elementos possam incluir soluções técnicas – como criptografia, firewalls e antivírus, elementos processuais, processos e muito mais. No entanto, um dos elementos que podem fazer a maior diferença é o humano. Saber como lidar com riscos para dados privados e como responder a ameaças é essencial.

Que tipo de certificação deve ter uma empresa de TI para que você fique tranquilo quanto a implantação dos processos adequados para atender a LGPD?

Para se tornar um DPO certificado pela Exin é necessário fazer 3 cursos e as provas de certificação dos mesmos.

O primeiro é sobre a ISO27001 que trata sobre segurança de dados.

O segundo chamado do PDPF trata sobre os fundamentos da lei, muito se aprende sobre as questões legais.

E o terceiro é o PDPP que mostra na pratica quais os passos que uma organização deve seguir para estar em acordo com a Lei.

Certificacoes LGPD DPO

O que a LGPD entende como “dados pessoais”?

Qualquer informação relacionada à pessoa e não apenas dados como data de nascimento, nome, endereço e CPF. Com a nova LGPD, qualquer dado relativo a uma pessoa, seja ela identificada ou não, deve ser tratado conforme as novas regras.

O que a LGPD entende como “tratamento dos dados”?

Qualquer procedimento realizado com os dados pessoais, desde sua captação, tratamento, classificação, armazenamento, reprodução, utilização, dentre outros. Até os processos de eliminação dos dados captados devem seguir determinadas regras, para que não haja possibilidade de dados eliminados serem, de alguma forma, capturados por terceiros.

Quais são as bases legais para o tratamento de dados?

A LGPD prevê dez bases legais independentes entre si e que autorizam o tratamento de dados pessoais:

  1. Consentimento – É quando uma pessoa autoriza, concorda com o uso dos seus dados, para determinado fim.
  2. Legítimo interesse – Apesar de ser a base legal mais flexível tem uma aplicação mais difícil porque a empresa tem que analisar qual é o novo tipo de ação que poderá promover a partir dos dados captados no primeiro contato, sem que isso fira os direitos da pessoa.
  3. Contratos – Os dados captados poderão ser usados em duas situações: a primeira está relacionada à validação dos dados para início da vigência do contrato e a segunda situação está relacionada a situações relativas ao cumprimento do que está previsto no contrato.
  4. Obrigação Legal – Justifica-se o tratamento dos dados por exigências de outras leis
  5. Execução de Políticas Públicas
  6. Estudos por órgãos de pesquisa oficialmente credenciados
  7. Processo judicial
  8. Proteção da vida – tanto do titular do dado quanto de terceiros
  9. Tutela da Saúde – Ocorre quando profissionais e órgão da saúde precisam tratar dados pessoais
  10. Proteção de Crédito – Prevê a avaliação do perfil de pessoas que solicitam crédito.

Quais são as penalidades para o descumprimento da LGPD?

Multa simples de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Quais são os princípios ou boas práticas para o tratamento de dados, que se tornarão obrigatórias a partir da LGPD?

1- Finalidade e Adequação

Os dados só podem ser utilizados para a finalidade específica informada ao titular dos dados

2- Necessidade

Restringir ao máximo a captação e uso dos dados do titular

3- Transparência

Deixar claro aos titulares dos dados quais serão os usos e tratamentos de dados que serão efetuados

4- Não discriminação

Os dados não poderão sofrer tratamento para fins ilícitos ou discriminatórios.

Quem são os agentes envolvidos?

A LGPD considera 4 agentes: o titular, o controlador, o operador e o encarregado.

  • O titular: é a pessoa natural a quem se referem os dados pessoais
  • O controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • O operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • O encarregado: atua como canal de comunicação entre as partes, além de orientar os funcionários do controlador sobre práticas de tratamento de dados.

Na lei brasileira, o “encarregado de dados” pode ser um terceiro contratado pela sua empresa para lhe ajudar com o DPO. Chamamos este serviço de DPO as a service.

Veja o que diz o artigo da lei que regulamenta o DPO:

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

  • 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
  • 2º As atividades do encarregado consistem em:

I – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – Receber comunicações da autoridade nacional e adotar providências;

III – Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Estes são apenas alguns aspectos na LGPD. A Terabyte pode ajudar a sua empresa a se reestruturar tecnologicamente para estar preparada para o momento em que a lei entrar em vigor.

Para atender nossos clientes, buscamos a certificação EXIN, que nos confere total competência técnica para atuar como agente DPO. Conte com a nossa equipe para implantar as soluções que atendam às exigências da LGPD e fique tranquilo.

×