Como se preparar para a nova regulamentação sobre Proteção de Dados Brasileira Lei 13.709/18
SUMÁRIO Introdução... 3 Definições... 4 Por onde começar... 8 Tratamento de dados... 10 Segurança... 12 Acessibilidade e direitos dos titulares... 14 Incidentes, casos de quebra de sigilo e vazamentos... 16 Jurídico... 18 Como podemos ajudar... 21 2
INTRODUÇÃO A ssim como aconteceu com a GDPR na Europa, agora é a hora das empresas brasileiras prestarem atenção e também cuidarem dos dados pessoais. Sejam de clientes ou de funcionários, a nova lei exige que qualquer tratamento de dados de pessoa física siga determinadas regras, sob pena de multas que chegam a 50 milhões de Reais e da possibilidade de obrigação de exclusão dos bancos de dados ou suspensão das atividades. Está nesse grupo que vai precisar se adequar às novas regras do LGPD? Então confira todos os itens que deve considerar para estar preparado! 3
DEFINIÇÕES 4
AUTORIDADE NACIONAL: de acordo com o texto da Lei Geral de Proteção de Dados a Autoridade Nacional de Proteção de Dados (ANPD) é uma entidade que vai ajudar a regular e fiscalizar o cumprimento da LGPD. Esse órgão já era citado no texto original, mas a medida provisória 869/18 foi responsável por caracterizá-lo como uma autoridade pública integrante da Presidência da República. A medida provisória também detalhou os atributos da ANPD, que se resumem em editar as normas de proteção de dados, monitorar o cumprimento da lei, implementar ferramentas que melhorem a comunicação entre empresas, autoridades e titulares, fazer estudos sobre proteção de dados no exterior e aplicar sanções. CONTROLADOR: a lei define como controlador a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Em outras palavras, toda pessoa física ou jurídica que recolha informações pessoais é considerada um controlador. É importante frisar que o controlador só pode recolher dados caso o titular tenha autorizado ou em algumas situações específicas, como em casos de pesquisa. Também cabe ao controlador manter o sigilo dos dados confiados a ele e prestar contas às autoridades. ENCARREGADO: o encarregado é a figura que faz a intermediação entre o controlador, o titular e a ANPD. Também chamado de DPO (Data Protection Officer), essa pessoa física ou jurídica é indicada por quem está recolhendo os dados. De acordo com o texto da lei de proteção de dados, as atribuições do encarregado são: aceitar reclamações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. 5
DADO ANONIMIZADO: é descrito como dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Em outras palavras, trata-se de uma informação que foi descaracterizada em algum nível para que o seu titular não possa mais ser identificado, mas que ainda é importante para o controlador. O artigo 12 ainda afirma que os dados anonimizados não são considerados pessoais e a legislação não se aplica a eles, salvo em casos em que o processo de anonimização for revertido. Esse ponto abre espaço para que se imagine que é possível identificar o titular de um dado anomizado de alguma maneira. OPERADOR: é a empresa ou profissional diretamente responsável pelo tratamento dos dados. Tanto o operador quanto o controlador devem manter registros sobre o tratamento de dados. A ANPD pode solicitar esses relatórios para verificar se os procedimentos estão em conformidade com a lei. O controlador e o operador também têm responsabilidade sobre o vazamento ou qualquer tipo de danos causados aos titulares. A seção que trata sobre ressarcimento de danos determina que o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei. PORTABILIDADE DE DADOS: o texto da LGPD não tem um conceito definido para portabilidade de dados, mas podemos considerar que se trata da migração de informações de um canal para o outro. Por exemplo, caso você tenha contratado um plano de telefonia com uma empresa e deseja migrar para outra operadora, a primeira companhia deve facilitar o processo e enviar suas informações para a nova contratada. 6
Importante dizer que a portabilidade deve ser solicitada pelo titular e que a antiga controladora não pode reter nenhum tipo de informação. RELATÓRIO DE IMPACTO: é descrito como uma documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Como mencionamos, esses relatórios devem ser feitos pelo operador e pelo controlador e podem ser solicitados pela ANPD. Neste material podem ser suprimidas informações de segredos comercial e industrial. TRATAMENTO DE DADOS: toda operação que utiliza informações pessoais, incluindo a coleta, classificação, reprodução, transmissão e armazenamento. Para efeitos legais, qualquer empresa ou pessoa física que faça tratamento de dados deve observar as orientações da Lei Geral de Proteção de Dados e se adequar a ela. USO COMPARTILHADO DE DADOS: é o compartilhamento de informações pessoais por duas ou mais empresas, órgãos ou pessoas. É legal se tiver como finalidade o cumprimento de suas competências legais e se houver autorização específica. Caso o compartilhamento de dados sensíveis esteja ligado a vantagens econômicas, poderá ser objeto de vedação e sanções legais. E isso deve valer para entidades públicas e privadas. O titular tem o direito de saber se os dados pessoais que compartilhou com uma empresa estão sendo compartilhados com outras companhias e qual a finalidade da partilha. 7
POR ONDE COMEÇAR 8
Esta é uma obrigação nova, que exige uma revisão do que já existe. Mesmo que a operação seja pequena, é altamente recomendável que as empresas comecem por um assessment que faça uma revisão tecnológica, de procedimentos e jurídica de como a empresa coleta, utiliza e gerencia os dados pessoais. POR ONDE COMEÇAR? QUAIS DADOS FORAM COLETADOS? QUAIS DADOS DEVERÍAMOS COLETAR? PRECISAMOS DE CONSENTIMENTO? COM QUEM COMPARTILHAMOS? ANÁLISE DE IMPACTO AVALIAÇÃO 360 GARANTIA DOS NOVOS DIREITOS IMPLEMENTAÇÃO A PROTEÇÃO DE DADOS PESSOAIS VAI ALÉM DE UMA LEI QUE FICA SÓ NO JURÍDICO E INDICA UM CAMINHO CONCRETO DE MUDANÇAS E CONCEITOS. AGORA, NEM TUDO PODERÁ SER FEITO SEM O CONSENTIMENTO DO USUÁRIO. MAIS DO QUE UMA LEI COM PESADAS MULTAS, ESTE MOMENTO É UM DIVISOR DE ÁGUAS AONDE A SEGURANÇA E PRIVACIDADE POR PADRÃO DEVEM FAZER PARTE DOS SERVIÇOS E NOVA MENTALIDADE EMPRESARIAL. ADRIANO MENDES, Advogado Especialista em Proteção de Dados e DPO. 9
TRATAMENTO DE DADOS 10
Assegurar que todos os dados recolhidos são realmente necessários para a operação do negócio. Minimizar a exposição dos usuários e garantir sua integridade durante a captação e processamento. Utilizar as mais seguras ferramentas para recolher e tratar as informações. Mapear em quais momentos da navegação ou da relação jurídica são coletados dados dos usuários. Verificar se há a necessidade do compartilhamento ou integração dos dados recolhidos com terceiros. TIPOS DE DADOS RECOLHIDOS Dados sensíveis: informações que, ao serem compartilhadas, podem gerar desconforto para o usuário, como religião, opinião política e origem étnica. Dados pessoais: de identificação direta, como nome e sobrenome. Dados que identifiquem pessoas: outros dados como Ids, matrículas internas, números de telefone e e-mails também podem ser considerados como dado pessoal quando permitirem a identificação de um indivíduo. 11
SEGURANÇA 12
Delimitar níveis de acesso para que apenas os usuários que realmente precisam utilizar informações dos compradores tenham acesso a elas. Fortalecer a segurança por meio de novas camadas de proteção em hardware e software. Considerar as funções e atividades que serão exercidas pelo DPO (Encarregado de Proteção de Dados) para que possa garantir o cumprimento das regras do LGPD e estabelecer boas práticas de processamento na ponte entre empresa, titular dos dados e Autoridade. Junto com uma assessoria técnica, também contar com uma assessoria jurídica para assegurar o compliance, identificar os riscos e propor formas de lidar com eles. Firmar acordos de confidencialidade e sigilo com fornecedores e empregados. Verificar se parte do processamento será compartilhada ou feita por terceiros. Realizar avaliações de impactos à privacidade incluindo o Data Discovery e Health Check e assessments para mapear que dados a organização coleta e como estes são utilizados. 13
ACESSIBILIDADE E DIREITOS DOS TITULARES 14
Criar ou atualizar termos que notifiquem o consumidor sobre o recolhimento de dados. É preciso informar quais informações estão sendo colhidas, como e com qual finalidade. Garantir que os clientes possam fazer a portabilidade dos dados, caso desejem. Criar procedimentos que permitam a exclusão rápida e permanente, se os usuários assim exigirem. 15
INCIDENTES, CASOS DE QUEBRA DE SIGILO E VAZAMENTOS 16
Criar políticas de segurança que prevejam a possibilidade de notificação das autoridades e orientem os clientes afetados no prazo definido (72 horas na GDPR). Treinar funcionários da área de suporte para atender e tirar dúvidas dos consumidores sobre os vazamentos, correção de informações e exclusão de dados pessoais. Acionar o plano de gestão de crise e proteção jurídica criado em conjunto com a assessoria. 17
JURÍDICO DPO - DATA PROTECTION OFFICER DPIA - DATA PROTECTION IMPACT ASSESSMENT 18
A LGPD também determina a necessidade da contratação do Data Protection Officer - DPO por empresas que realizam o recolhimento de dados pessoais em alguns casos. A função do DPO consiste em atuar como o canal de comunicação perante os usuários titulares dos dados pessoais e autoridades governamentais controladoras, e de forma geral, prestar assistência sobre as práticas de tratamento de dados, bem como, verificar se estas estão em conformidade com a legislação e políticas internas. QUAIS SERÃO AS RESPONSABILIDADES DE UM DPO? A LGPD estipula que o DPO tenha conhecimento aprofundado em leis e práticas de proteção de dados pessoais às quais a empresa trata. Desta forma, as atividades de um DPO consistem basicamente em: Receber reclamações e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e orientar sobre as providências; Receber comunicações de órgãos reguladores e adotar as providências que couberem; Orientar os funcionários envolvidos no tratamento de dados pessoais dos usuários; Orientar os funcionários e os contratados da empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais dos usuários; Manter registros de todas as práticas de tratamento de dados pessoais conduzidas pela empresa, incluindo o propósito de todas as atividades desenvolvidas. 19
O Relatório de Impacto é um documento que pode ser solicitado pela a ANPD e auditado, para comprovação de quais medidas e forma de condução a proteção de dados pessoais foi executada dentro de cada empresa. Um bom DPIA terá as evidências de que todos os pontos acima foram pensados e trabalhados, demonstrando que o escopo das atividades e da coleta de dados devem estar previstos e dentro das obrigações descritas em Lei. Para que a empresa não sofra sanções é necessário verificar: Se os Termos de uso estão atualizados e em conformidade com termos da LGPD. Se a empresa possui todas as autorizações e anuências expressas dos usuários para todos os serviços que irá prestar ( o consentimento ). A existência de contratos entre prestadores e empresas terceiras contendo obrigações claras e bem definidas em relação ao acesso, manutenção e exclusão dos dados dos usuários. Contar com uma assessoria jurídica para assegurar o compliance, identificar os riscos e propor formas de lidar com outros projetos de lei que podem impactar a proteção de dados dos usuários. 20
COMO PODEMOS AJUDAR 21
O Assis e Mendes Advogados é especializado em temas ligados ao Direito Digital e Empresarial, com mais de 10 anos de existência. O Assis e Mendes já apoiou diversos clientes em sua jornada de adequação à proteção de dados pessoais, revisando os aspectos jurídicos e operacionais decorrentes da aplicação da legislação brasileira e da GDPR europeia. Podemos te ajudar com: Necessidade de adequação imediata: Palestras, reuniões e treinamentos. Validação jurídica de quais dados podem ser coletados, que necessitam de consentimento e o tempo de guarda. Marco Civil da Internet, Lei Geral de Proteção de Dados, Resolução 4.658 Bacen. Aplicação de diversos regulamentos para mercados específicos. Elaboração conjunta do Relatório de Impacto à Proteção de Dados Pessoais (DPIA) para acesso, exclusão ou modificação de dados pessoais. Assessment dos cases europeus, para verificar julgados que tratem dos mercados similares e orientações já dadas lá fora sobre questões novas por aqui. Revisão das cláusulas e contratos com fornecedores e agentes internos e externos. Elaboração / Revisão das Políticas e Termos de Uso. Apoio jurídico em questões sobre Segurança da Informação, Políticas de Uso e Privacidade. Procedimentos necessários à Proteção de Dados Pessoais. DPO / Encarregado de Dados as a Service. Atuação preventiva ou reativa em casos de vazamento de dados, fraudes e incidentes. 22
Em caso de dúvidas entre em contato conosco através do email: lgpd@assisemendes.com.br Para saber mais sobre a LGPD confira os artigos no nosso blog: Lei Geral de Proteção de Dados (13.709/18) Privacidade: Como a nova diretiva da União Europeia afeta as empresas brasileiras no GDPR LGPD: o que diz a nossa lei de proteção de dados 11 conceitos das leis de proteção de dados que você precisa conhecer 5 áreas que devem ser impactadas pela LGPD 23
12 AÇÕES PARA ESTAR EM COMPLIANCE COM A LGPD ATÉ 2020 01. Reunir equipes e mapear operações internas de tratamento de dados. 02. Levantar quais dados são de guarda obrigatória de acordo com o segmento de atuação. 03. Garantir os direitos assegurados ao titular dos dados com adequação das ferramentas sistêmicas. 04. Rever Políticas de Privacidade, Contratos e Termos de Uso para colocar em destaque cláusulas de direitos do titular dos dados. 05. Rever Contratos com Internos e com terceiros que tenham acesso ou façam tratamento de dados. 06. Descrever os mecanismos de Segurança às bases de dados documentando técnicas utilizadas 07. Estruturar equipes internas com indicação dos agentes de tratamento de dados pessoais. 08. Verificar quais serão as providências tomadas para que o tratamento dos dados atenda a lei. 09. Desenvolver relatório de impacto à proteção de dados e regras de boas práticas e governança. 10. Realizar treinamentos periódicos para assegurar as boas práticas no tratamento dos dados pessoais. 11. Eliminar todos os dados que não sejam necessários: cópias duplicadas e backups que não serão utilizados. 12. Nomear um DPO como gestor de Proteção de Dados. 24
DESDE 2.006 INOVANDO E CRIANDO DIREITO! www.assisemendes.com.br saopaulo@assisemendes.com.br 11 3141 9009