Lei de Proteção de Dados Pessoais (LGPD) LGPD 03

Transcrição

1

2 LGPD 02

3 A Lei de Proteção de Dados Pessoais (LGPD), sancionada em 14 de agosto de 2018, define qual o tipo e a forma como os dados podem ser coletados tanto por empresas como pelo governo e como estas informações poderão ser utilizadas. Ou seja, as pessoas terão mais controle aos seus dados pessoais podendo visualizar, corrigir, excluir e exigir estas informações das empresas a qualquer momento. Mas você sabe exatamente no que esta nova lei impacta nas empresas brasileiras? Nesta apresentação abordaremos os pontos mais importantes para que a sua empresa esteja por dentro do que é a LGPD e as conformidades que ela precisa seguir daqui para frente. 03

4 O que é a LGPD? A Lei Geral de Proteção de Dados Pessoais (LGPD), ou Lei nº , refere-se ao tratamento dos dados pessoais, inclusive digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, garantindo a proteção dos direitos fundamentais de liberdade e privacidade e livre desenvolvimento da personalidade da pessoa. Esta lei aplica-se a qualquer operação de dados tratados ou coletados no território nacional ou que a atividade de tratamento tenha por objetivo a oferta ou fornecimento de bens ou serviços. 04

5 O que são dados pessoais e dados sensíveis? Dados pessoais são quaisquer informações que identifiquem uma pessoa. Já os dados sensíveis podem ser definidos como informações do tipo: racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado à pessoa, perfil comportamental. 05

6 LGPD 06

7 Quais as consequências para as empresas que não se enquadrem nas normas da LGPD? O não cumprimento da lei pelas empresas pode gerar desde advertências com adoção de medidas corretivas, multa simples (até 2% do faturamento limitado a 50 milhões de reais por infração) bloqueio ou eliminação dos dados da infração, até eliminação dos dados objeto da infração. Quando a Lei Geral de Proteção de Dados Pessoais entrará em vigor? Esta lei entrará em vigor em 24 meses após sua publicação oficial realizada em 14/08/2018, ou seja, em 18 de Agosto de

8 Agentes de tratamento de dados pessoais O tratamento de dados pessoais, nos termos da LGPD, deverá observar a seguinte estrutura: Controlador: pessoa natural ou jurídica que toma decisões sobre o tratamento de dados. Operador: pessoa natural ou jurídica que efetivamente trata os dados segundo instruções do controlador. Encarregado: pessoa natural indicada pelo controlador responsável por fazer a comunicação entre controlador, titulares e autoridade nacional. 08

9 Quais as responsabilidades do Controlador e Operador? O controlador e operador devem manter registros das operações com os dados. Deve ser possível gerar relatório de impacto contendo a descrição dos dados coletados, a metodologia utilizada para a coleta dos dados, a garantia da segurança das informações e a análise e mitigação de riscos. Além disso, o controlador deve adotar processos e políticas internas aplicáveis a todos os dados pessoais armazenados assegurando o cumprimento de normas e boas práticas. 09

10 Quais as responsabilidades do Encarregado? A identidade e as informações de contato do encarregado devem ser fáceis de serem encontradas (publicadas no site da empresa). O encarregado será responsável por aceitar reclamações e comunicações dos titulares dos dados, prestar esclarecimentos e adotar providências, orientar funcionários e contratados a respeito das práticas a serem tomadas em relação a proteção dos dados e executar as atividades definidas pelo controlador ou estabelecidas em normas complementares. A autoridade nacional pode dispensar a empresa de ter um encarregado, após análise de sua natureza, porte ou volume de operações de dados. 10

11 LGPD 11

12 Tratamento dos dados e Termo de Consentimento Tratamento 12 É necessário definir quais dados precisam ser armazenados, para qual finalidade e qual o período definido para uso das informações. Com base nisto, criar os procedimentos adequados para a coleta e guarda dos dados. Deve ser criado um termo de consentimento detalhado, escrito ou digital, contendo a finalidade específica e a forma do tratamento dos dados, o tempo de duração, identificação, contatos e responsabilidades do controlador, informações sobre uso compartilhado de dados e qual finalidade, direitos do titular com menção explícita aos direitos contidos no art. 18 desta lei. Se a coleta de dados for condição para fornecimento do produto/serviço ou para o exercício de direito, deve ser destacado no termo e informado como a pessoa pode exercer seus direitos.

13 Termo de compromisso O termo deve ser disponibilizado e o consentimento obtido em conformidade com a lei. É importante definir onde e como o termo será armazenado, ele precisa ser facilmente consultado. É preciso definir procedimentos para controlar alterações ou mudanças na finalidade do uso dos dados. Sempre que houver uma alteração, deve ser incluída com destaque no termo e é preciso obter novo consentimento. Os sistemas utilizados para o tratamento dos dados devem ser estruturados de forma a atender os requisitos de segurança, padrões de boas práticas de governança e aos princípios da lei. 13

14 Quando o tratamento de dados pode ser realizado? Os dados podem ser tratados somente mediante o consentimento do titular, ou, para o cumprimento de uma obrigação legal ou regulatória pelo controlador, pela administração pública, processo judicial, para a execução de contratos, interesses legítimos do controlador ou de terceiros, proteção de crédito, proteção de vida, tutela da saúde (em procedimento realizado por profissionais da área de saúde ou entidades sanitárias). Quando fundamentado pelo controlador, para necessidade de apoio e promoção de atividades, proteção do titular em relação ao exercício regular de seus direitos ou prestação de serviços que o beneficiem, não limitado a estes itens. 14

15 15

16 Uso de dados de crianças e adolescentes Quando houver a necessidade de uso de dados de crianças e adolescentes deve haver um termo com consentimento de uso específico: Informações sobre o tratamento dos dados de forma simples, clara e acessível. Devem ser consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou responsáveis e adequada ao entendimento da criança. Garantir que um dos pais ou responsável autorizou o uso de dados independentes da tecnologia envolvida. 16

17 Os tipos de dados coletados, a forma de utilização e os procedimentos para exercício dos direitos a que se referem devem ser públicos. A participação de crianças e adolescentes em jogos, aplicações de internet ou outras atividades não deverão condicionar sua participação ao fornecimento de informações além das estritamente necessárias à atividade; Observação: Dados só podem ser coletados sem consentimento uma única vez e sem armazenamento para o caso de contatar os pais ou responsáveis ou para sua proteção. Não podem ser repassados a terceiros, salvo quando houver consentimento específico. 17

18 18

19 Término do tratamento de dados O controlador deve permitir que o consentimento seja revogado a qualquer momento mediante manifestação expressa do titular. O término do tratamento de dados ocorre quando a finalidade definida no termo de consentimento for alcançada, quando for o fim do período de tratamento do dado, quando a pessoa desejar revogar seu consentimento de uso dos dados, ou quando houver violação da lei. É necessário criar um procedimento que contemple de acordo com a ocorrência o que deve acontecer com os dados: serem eliminados ou armazenados. 19

20 Alguns dados precisarão ser armazenados para, por exemplo, uso para transferência a terceiros quando solicitado ou cumprimento de obrigação legal ou regulatória. Nestes casos, é importante definir onde serão armazenados os dados, de qual forma estarão seguros, quem terá acesso e demais práticas estabelecidas nas políticas definidas pelo controlador. Para o caso de armazenamento por motivo de estudo por órgão de serviço ou uso exclusivo do controlador, deve-se garantir que as informações serão guardadas de forma anônima não podendo ser revertido facilmente e não sendo permitido acesso por terceiros. 20

21 21

22 Acesso dos titulares às informações O controlador deve ser capaz de informar a qualquer momento ao titular a existência de seus dados, facilitar o acesso aos mesmos, permitir a correção de dados incompletos, inexatos ou desatualizados, e permitir a portabilidade dos dados a outro fornecedor de serviço ou produto. A portabilidade não se refere a dados que já tenham sido anonimizados pelo controlador. A confirmação de existência ou acesso aos dados pessoais quando requisitadas pelo titular devem ser providenciadas em formato simplificado imediatamente, ou por meio de declaração clara e completa indicando a origem dos dados, inexistência de registro, critérios utilizados e finalidade do tratamento em até 15 dias (setores específicos podem ter prazos diferenciados), contados da data do requerimento. 22

23 Requerimentos não devem ter custos ao titular, e devem ser atendidos nos prazos e termos previstos na lei. Devem existir procedimentos para anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei, solicitação de eliminação dos dados pessoais, revogação de consentimento, informação sobreas entidades públicas e privadas que compartilharam dados, informação sobre não fornecer consentimento e as consequências do não consentimento. O controlador deve sempre orientar sobre quem é o agente responsável e explicar razões caso não tome providência imediata. 23

24 No caso de compartilhamento de dados, o controlador deve informar o agente de tratamento de dados com o qual compartilhou dados sobre a correção, a eliminação, a anonimização ou o bloqueio dos dados para repetirem idêntico procedimento aplicado. Os dados armazenados quando solicitados precisam ser facilmente encontrados e podem ser fornecidos em meio eletrônico e seguro ou, impresso. Quando a origem do tratamento for o consentimento ou um contrato, a solicitação poderá ser atendida mediante cópia eletrônica integral dos dados pessoais, em formato que permita a utilização subsequente. 24

25 O titular tem direito a solicitar revisão, por pessoa natural, de decisões tomadas com base em tratamento automatizado que afetem seus interesses, inclusive decisões que definam seu perfil pessoal, profissional, de consumo e de crédito ou aspectos de sua personalidade. O controlador tem que fornecer as informações sobre os critérios e procedimentos utilizados para a decisão automatizada (exceto segredos comerciais e industriais). 25

26 Transferência internacional de dados A transferência internacional só é permitida para países ou organismos internacionais que tenham grau de proteção adequados a esta lei. Também é permitida quando o controlador oferecer e comprovar garantias de cumprimento dos direitos do titular e de proteção de dados, quando a transferência for para cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, para proteção de vida, quando for autorizado pela autoridade nacional, para cooperação internacional, política pública ou atribuição legal do serviço público ou por consentimento específico do titular. A autoridade nacional irá definir o nível de proteção dos dados, o conteúdo das cláusulas contratuais e demais regras específicas para este tipo de tratamento de dados. 27

27 26

28 Responsabilidade e ressarcimento de danos O controlador ou o operador que causar dano patrimonial, moral, individual ou coletivo, em violação a lei é obrigado a repará-lo. O controlador responderá pelos danos, de forma solidária, nos casos em que estiver envolvido com a atividade de tratamento da qual tenha resultado o dano. O operador também responde de forma solidária pelos danos causados quando descumprir as obrigações da lei ou se não tiver seguido as instruções do controlador. O tratamento de dados é considerado irregular quando não observar a lei ou não fornecer a segurança esperada. Controlador e operador não serão responsabilizados quando provarem que não realizaram o tratamento dos dados atribuídos, que não houve violação a lei ou que o dano é decorrente de alguma atividade do titular ou terceiros. 28

29 29

30 Segurança e Boas Práticas Os dados devem ser protegidos contra acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Qualquer pessoa que intervenha em alguma fase do tratamento de dados obriga-se a garantir a segurança da informação, mesmo após seu fim. Devem ser criadas regras de boas práticas e de governança estabelecendo a organização, o funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, obrigações específicas, as ações educativas, os mecanismos de supervisão e de mitigação de riscos e outros aspectos. 30

31 As regras devem ser adaptadas à estrutura, à escala e ao volume das operações, bem como à sensibilidade dos dados. Devem haver políticas e salvaguardas avaliando impactos e riscos à privacidade, mecanismos de supervisão internos e externos, planos de resposta a incidentes e remediação e controles de revisão de documento e avaliação periódicos. É necessário confiança do titular, por meio de atuação transparente e que assegure mecanismos de sua participação. O controlador deve demonstrar a efetividade de seu programa de governança em privacidade quando apropriado. 31

32 Incidentes de segurança Se ocorrer um incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o controlador deve comunicar a autoridade nacional e ao titular em prazo razoável (justificar caso haja demora), descrevendo a natureza dos dados afetados, sobre os titulares envolvidos, quais as medidas que serão adotadas, quais os riscos relacionados ao incidente e as medidas para reverter ou mitigar os efeitos do prejuízo. A autoridade nacional vai verificar a gravidade do incidente e poderá determinar providencias para ampla divulgação do fato em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente. Devido a gravidade do incidente pode ser solicitado comprovação da adoção de medidas técnicas adequadas que tornem os dados afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los. 32

33 Conclusão Com a entrada em vigor desta lei, as empresas se obrigam a tratar os dados pessoais apenas para fins do negócio, precisam controlar o acesso e manipulação aos dados e oferecer garantias de segurança do armazenamento destes dados aos titulares que os forneceram. Não podem compartilhar dados pessoais sensíveis referentes à saúde para obter vantagem econômica! Apenas dados essenciais devem ser coletados. Os titulares dos dados precisam ser informados, autorizarem o uso das informações e terem fácil acesso a estes dados. 33

34 34 Todas as informações precisam ser claras, inclusive a possibilidade de solicitar a eliminação destes dados e não utilização dos mesmos ou a transferência para outro controlador. Diversas áreas são diretamente afetadas pelo grau de dados sensíveis que armazenam. A área da saúde com alto grau de confidencialidade em suas informações e o volume de pessoas que as manipulam, empresas de RH que manipulam dados comportamentais e todas as demais, cada uma com suas informações específicas. Se a sua empresa coleta e armazena dados precisa ficar atenta! As empresas são estritamente responsáveis pelas informações que armazenarem e pelo controle de quem está acessando e manipulando estes dados. Todas as empresas que possuírem políticas de segurança revisadas constantemente e sistemas que sustentem a garantia de execução dos processos de segurança da informação estarão em conformidade com a LGPD.