Dúvidas Frequentes LGPD
A LGPD afeta todas as organizações que realizam o tratamento de dados pessoais, incluindo empresas públicas e privadas, órgãos governamentais, entidades sem fins lucrativos e profissionais liberais que lidam com informações pessoais em seu dia a dia. Além disso, a Lei se aplica a todos os titulares de dados pessoais, ou seja, qualquer pessoa natural (física) que tenha seus dados coletados e tratados pelas empresas.
Dados pessoais são informações relacionadas a pessoa natural (pessoa física) identificada ou identificável como: nome, endereço, CPF, RG, telefone, e-mail, dados de saúde, entre outros.
Pessoa identificada é aquela que pode ser diretamente identificada por meio de dados pessoais, como nome, CPF, endereço, número de telefone, entre outros.
Já pessoa identificável é aquela que, mesmo sem ter sido identificada diretamente, pode vir a ser identificada por meio de informações adicionais que estejam disponíveis ou que possam ser acessadas por quem esteja tratando esses dados.
Dado pessoal sensível é uma categoria de dado pessoal trazido pela LGPD que se refere a informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (pessoa física).
O titular dos dados é a pessoa natural (pessoa física) a quem os dados pessoais se referem.
A Lei Geral de Proteção de Dados Pessoais (“LGPD”) utiliza o termo “agente de tratamento” para se referir à pessoa física ou jurídica, pública ou privada, que realiza o tratamento de dados pessoais. Há duas categorias de agente de tratamento: o controlador e o operador.
O agente Controlador é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Em outras palavras, é o responsável por determinar como os dados serão tratados.
O Controlador é responsável por garantir que as práticas adotadas estejam em conformidade com a LGPD. É importante destacar que, mesmo que uma empresa terceirize o tratamento de dados, ela continua sendo a controladora dos dados e, portanto, deve garantir que o tratamento seja realizado de acordo com as regras estabelecidas na Lei.
Além disso, o controlador tem a obrigação de zelar pelos dados pessoais, garantindo a segurança e a privacidade dos titulares, e deve adotar medidas técnicas e organizacionais adequadas para proteger essas informações contra acessos não autorizados, perda ou vazamento. Caso ocorra algum incidente de segurança ou violação de dados que acarrete danos ao titular dos dados, o controlador é obrigado a notificar a ANPD (Autoridade Nacional de Proteção de Dados) e os titulares afetados.
O agente Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
O Operador de dados realiza atividades de tratamento de dados pessoais em nome do controlador, tais como: armazenamento, processamento, utilização, compartilhamento, transferência e exclusão de dados.
O Operador de dados deve realizar o tratamento de dados pessoais de acordo com as instruções do Controlador de dados e garantir que as medidas de segurança necessárias sejam implementadas para proteger os dados pessoais contra vazamentos, acessos não autorizados e perda de informações.
O tratamento de dados é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
O titular dos dados possui direitos previstos na LGPD. Estes consistem em:
• Direito a informação da existência dos dados
• Direito de acesso aos dados
• Direito de informação sobre o compartilhamento
• Direito de solicitar comprovação do consentimento
• Direito de reavaliação de decisão automatizada
• Direito de corrigir e atualizar suas informações
• Direito de anonimização, bloqueio ou eliminação
• Direito de portabilidade
• Direito de ser informado sobre consequências negativas do não consentimento
• Direito de revogar o consentimento
• Direito de ter seus dados eliminados após término do contrato
• Direito de informação sobre transferência internacional
As empresas devem adotar medidas de segurança e privacidade para proteger os dados pessoais dos titulares contra vazamentos, acessos não autorizados e perda de informações. Para isso, é necessário implementar medidas técnicas e organizacionais adequadas, que levem em consideração a natureza, a sensibilidade e o volume dos dados pessoais coletados e tratados pela empresa. Algumas medidas que as empresas podem adotar para proteger os dados pessoais dos titulares são:
• Criptografia dos dados pessoais em trânsito e em repouso;
• Implementação de sistemas de controle de acesso e autenticação forte; • Monitoramento e detecção de atividades suspeitas em relação aos dados pessoais;
• Realização de backups e armazenamento seguro dos dados pessoais;
• Estabelecimento de políticas de privacidade e de segurança da informação;
• Capacitação dos colaboradores em relação às políticas de privacidade e de segurança da informação;
• Realização de auditorias e avaliações de segurança e privacidade.
Além disso, as empresas devem informar aos titulares dos dados sobre as medidas de segurança adotadas para proteger os seus dados e garantir que as informações coletadas sejam usadas apenas para os fins legítimos. A implementação de medidas de segurança e privacidade é fundamental para garantir a confiança dos titulares de dados e evitar penalidades previstas pela LGPD.
Um vazamento de dados ocorre quando informações confidenciais são divulgadas ou acessadas sem autorização, seja por meio de ataques cibernéticos, erros humanos ou outras formas de acesso não autorizado. Essas informações podem incluir dados pessoais, como nomes, endereços, números de documentos, dados bancários, senhas, entre outros.
Os vazamentos de dados são considerados um grave problema de segurança, pois podem levar a sérios danos e impactos negativos para as empresas e para os titulares dos dados afetados. Os titulares dos dados podem ter suas informações usadas de forma indevida, como para fraudes ou golpes, enquanto as empresas podem sofrer prejuízos financeiros e de reputação.
De acordo com a Lei Geral de Proteção de Dados (LGPD), em caso de vazamento de dados pessoais, a empresa deve comunicar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares dos dados afetados, indicando as medidas que foram ou serão adotadas para mitigar os efeitos do incidente.
Além disso, a empresa também deve adotar medidas para minimizar os danos causados aos titulares dos dados, bem como investigar as causas do vazamento e adotar medidas para prevenir que o incidente se repita no futuro.
A Lei Geral de Proteção de Dados (LGPD) prevê sanções administrativas e civis para as empresas que descumprirem as obrigações estabelecidas pela lei em relação à proteção de dados pessoais.
As sanções administrativas podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) e incluem:
- Advertência, que é uma notificação formal para que a empresa se adeque à LGPD;
- Multa simples, que pode chegar a até 2% do faturamento da empresa, limitado a R$ 50 milhões por infração;
- Multa diária, que pode ser aplicada caso a empresa não cumpra uma determinação da ANPD;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência e gravidade;
- Bloqueio ou eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração por até 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Além das sanções administrativas, a LGPD também prevê a possibilidade de responsabilização civil da empresa, com direito a indenização aos titulares de dados que sofrerem prejuízos em decorrência do tratamento inadequado de seus dados pessoais.
Para se adequar à LGPD, as empresas precisam seguir algumas etapas importantes:
- Nomeação de um Encarregado de Proteção de Dados (DPO): indicar um profissional responsável por orientar e fiscalizar a implementação e cumprimento das medidas de proteção de dados.
- Criação de políticas e procedimentos: estabelecer políticas e procedimentos internos para garantir a conformidade com a LGPD.
- Treinamento e conscientização: capacitar funcionários e colaboradores sobre a importância da proteção de dados pessoais e os procedimentos internos.
- Mapeamento dos dados pessoais: identificar quais dados pessoais estão sendo coletados, armazenados, processados, compartilhados, entre outros.
- Análise de riscos: avaliar os riscos e impactos do tratamento de dados pessoais para os titulares dos dados e a empresa.
- Implementação de medidas de segurança: implementar medidas de segurança técnicas e organizacionais para proteger os dados pessoais contra vazamentos, acessos não autorizados, perda de informações, entre outros.
- Revisão e monitoramento constante: revisar e monitorar regularmente as medidas de proteção de dados pessoais, a fim de garantir a efetividade e conformidade com a LGPD.
Vale ressaltar que as empresas devem adotar uma abordagem proativa para a conformidade com a LGPD e investir em soluções tecnológicas e serviços de consultoria para garantir a implementação adequada das medidas de proteção de dados.
A responsabilidade pelo cumprimento da LGPD é do controlador de dados, ou seja, da pessoa física ou jurídica que define as finalidades, meios e formas de tratamento dos dados pessoais.
O controlador deve garantir que as atividades de tratamento de dados sejam realizadas em conformidade com a LGPD e deve implementar medidas de segurança e privacidade para proteger os dados pessoais contra vazamentos, acessos não autorizados e perda de informações.
Além disso, a LGPD prevê a figura do Encarregado de Proteção de Dados (DPO – Data Protection Officer), que é responsável por orientar a implementação das medidas de proteção de dados pessoais. O DPO deve ser indicado pelo controlador de dados e é um canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
O Encarregado de Proteção de Dados (DPO) é essencial para a implementação efetiva e eficiente das práticas de privacidade de dados nas organizações. Suas principais funções incluem: orientar a empresa sobre as melhores práticas de privacidade, implementar e monitorar políticas de privacidade, aconselhar os titulares dos dados, facilitar a comunicação com autoridades reguladoras e realizar auditorias internas para garantir a conformidade com a LGPD.
Os titulares dos dados podem exercer seus direitos previstos pela LGPD por meio de solicitações por escrito ou por meio de canais eletrônicos disponibilizados pelas empresas. As empresas têm o prazo de 15 dias para responder às solicitações dos titulares dos dados.
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável por fiscalizar e aplicar a LGPD no Brasil. Suas principais funções incluem:
- Receber denúncias e reclamações dos titulares de dados pessoais;
- Realizar investigações e fiscalizações para verificar o cumprimento da LGPD;
- Aplicar sanções em caso de descumprimento da LGPD;
- Emitir orientações e diretrizes sobre a interpretação e aplicação da LGPD;
- Celebrar acordos de cooperação técnica com outros órgãos ou entidades públicas ou privadas.
A atuação da ANPD é importante para garantir a proteção dos dados pessoais dos cidadãos brasileiros e para incentivar as empresas a adotarem boas práticas de privacidade e segurança de dados.