1410 Visualizações Criada em: 31/10/2020 17:02 Atualizada em: 21/04/2024 18:38
- O que é LGPD?
- Obrigatoriedades
- O que são Dados Pessoais?
- Sobre as Multas
- As Controladoras
- Preços
A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor em agosto de 2020 e vem para assegurar que as empresas tratem de forma correta os dados que captam, protegendo os direitos fundamentais de liberdade, privacidade e a livre formação da personalidade de cada indivíduo. Muitas empresas ainda incorrem na ilegalidade sem perceber, acreditando que uma página no site ou um simples pop-up feito por meio de modelos prontos, seja a solução.
A LGPD estabelece regras para uso, coleta, armazenamento e compartilhamento de dados de pessoas físicas por empresas privadas e públicas, a fim de garantir maior segurança, privacidade e transparência no uso de informações pessoais e sensíveis.
Portanto, se a sua empresa utiliza qualquer tipo de dado pessoal, é obrigatória a adequação.
Se uma informação permite identificar uma pessoa, direta ou indiretamente, então é considerada um dado pessoal.Como por exemplo: Nome, RG, CPF, endereço residencial, telefone, dados bancários, gênero ou data e local de nascimento. Além desses, são considerados tambem dados pessoas aqueles que nem sempre fornecemos de forma consciente, como fotografia, prontuário de saúde, hábitos de consumo, endereço de IP e cookies. Com isso, a LGPD considera em especial os dados pessoais sensíveis, sendo sobre origem racial, étnica, convicção religiosa, opinião política, filiação a sindicato, dado referente à saúde ou à vida sexual, dado genético ou biométrico
A grande importância dos dados pessoais não está só naquilo que é fornecido, mas também naquilo que as pessoas sabem por meio da análise daqueles dados que são fornecidos sem percepção. A LGPD não tem o objetivo de impedir a utilização desses dados, mas sim de criar regras e mecanismos de proteção, garantindo que a utilização dos seus dados seja realizada para fins lícitos, com a ciência e consentimento da pessoa.
A ilegalidade em relação a LGPD, pode gerar um bloqueio em massa do seu banco de dados, tornando a sua empresa incomunicável com prospects e clientes.A consequência disso será refletida no faturamento geral da sua empresa. Entre outras consequências, como:
– Multas
– Ficar mal vista perante parceiros e investidores
– Insegurança por parte de clientes e colaboradores
– Perda de credibilidade no mercado
No que tange às multas, elas podem somar até até 2% do faturamento da empresa ou o montante limitado a R$ 50 milhões por infração cometida. E cada vazamento de dados pode ser considerado como uma infração individual.
A Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709, de 14 de agosto de 2018) foi aprovada em 2018 e entraria em vigor a partir de 14 de agosto de 2020. Houve pedido de adiamento da vigência da lei para maio de 2021, mas a proposta foi rejeitada pelo Congresso, entrando a legislação em vigor em 18 de setembro
1. https://www.stj.jus.br/
2. https://www.in.gov.br/web/dou/-/lei-n-13853-de-8-de-julho-de-2019-190107897
3. https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
4. https://anppd.org/
Escolha um Curso, Treinamento ou Assessoria para sua empresa. Assessoria de implantação sobre a Lei Geral de Proteção de Dados na sua empresa. Apresentamos as definições do que são dados, os tipos de dados que existem, as finalidades do uso e da coleta de dados e, finalmente, de que modo podemos garantir a proteção dos nossos dados, considerando não só a legislação brasileira mas também as configurações dos dispositivos eletrônicos.
|
PORTAL DE PRIVACIDADE DE DADOS O Provedor HostCuritiba se preocupa com sua privacidade e a proteção de seus dados pessoais. Temos como objetivo reconectar você às suas informações, porque, para gente, PESSOAS VÊM ANTES DE DADOS! |
Encarregado pelo Tratamento de Dados Pessoais
O DPO (Data Protection Officer) assume a função e deve atuar como canal de comunicação entre a instituição, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Cabe ao Encarregado acessar as atividades de tratamento de dados e entender o ciclo de vida dos dados pessoais na empresa, deixando-as em conformidade aos princípios, direitos e demais.
DPO Em nosso provedor de hospedagem de dados, já assumiu a atribuição em 1º de outubro de 2020 o setor de dpo pelo encarregado dos dados: [email protected] disponível para as operações deste assunto.
A legislação brasileira elenca o rol de sujeitos, encargos e responsabilidades dos chamados “agentes de tratamento”. São eles:
O controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.Uma empresa ou um órgão do Estado que detenha um acervo de dados pessoais é exemplo de controlador.
O operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Um exemplo de operador seria um subcontratante do controlador, contratado para fazer o tratamento dos dados daquele.
Tais agentes são os responsáveis pelas decisões referentes ao tratamento dos dados pessoais (o controlador) e a própria realização das operações de tratamento em nome de outrem (o operador).Para ambos a lei atribui importantes encargos, tais como: a guarda e a manutenção de registros das operações de tratamento que realizarem; a elaboração de relatórios de impacto; a comunicação à ANPD e ao titular dos dados em caso de incidente de segurança que possa acarretar risco ou dano; a implementação de boas práticas e governança; dentre outras.
Quanto às responsabilizações, os agentes de tratamento respondem solidariamente quando causarem dano patrimonial, moral, individual ou coletivo, diante da violação à legislação de proteção de dados pessoais, inclusive, obrigados à reparação. São responsabilizados também quando deixarem de adotar as medidas de segurança previstas na legislação, em casos de violação da segurança por terceiros, dando causa aos danos.
Os agentes só não respondem quando provarem que não realizaram o tratamento a eles atribuído; que embora tenham realizado, não houve violação à legislação; ou que o dano decorre de culpa exclusiva do titular dos dados ou de terceiros.
Há ainda a figura do Encarregado de Proteção de Dados (Data Privacy Officer para a GDPR). É o intermediário entre os usuários (os titulares dos dados pessoais), as empresas e instituições governamentais (os controladores) e a Autoridade Nacional de Proteção de Dados, atuando como um canal de comunicação entre esses. Esse cargo é fundamental para que a empresa tome decisões acertadas, implementando boas práticas e adequado compliance institucional.
Diante de tantas obrigações, é fundamental que as empresas e órgãos mantenham mecanismos e ferramentas técnicas, informacionais e jurídicas que salvaguarde a organização em caso de incidentes, irregularidades ou ilicitudes.
Regulamento Internacional
O Regulamento Geral de Proteção de Dados (GDPR) estabeleceu o conceito de um Oficial de Proteção de Dados (DPO) DPO (Data Protection Officer).
Ao contrário do que se pensa, o decisivo para a obrigação legal de nomear um Responsável pela Proteção de Dados não é a dimensão da empresa, mas sim as atividades essenciais de processamento, definidas como essenciais para a concretização dos objetivos da empresa.Se essas atividades principais consistirem no processamento de dados pessoais sensíveis em grande escala ou em uma forma de processamento de dados que seja particularmente abrangente para os direitos dos titulares dos dados, a empresa deve nomear um DPO.
Os órgãos públicos, por outro lado, sempre devem nomear um DPO, com exceção dos tribunais que atuam na sua capacidade judicial. Além disso, a norma jurídica para nomear um responsável pela proteção de dados contém uma cláusula de flexibilidade para os Estados-Membros. Eles são livres para decidir se uma empresa deve nomear um Oficial de Proteção de Dados de acordo com requisitos mais rígidos (por exemplo, Seção 38 da Lei Federal de Proteção de Dados da Alemanha).
Se tal obrigação existir ao abrigo do Regulamento geral de proteção de dados ou de uma legislação nacional mais específica, um grupo de empresas também pode nomear um único responsável pela proteção de dados. Se o grupo decidir fazê-lo, ele deve ser facilmente acessível para as autoridades de supervisão, funcionários e titulares de dados externos.
Se não houver obrigação legal, as empresas podem nomear um DPO de forma voluntária para ajudar no cumprimento da proteção de dados (o que é recomendado, por exemplo, pela autoridade francesa de proteção de dados CNIL).
Se tal obrigação existir ao abrigo do Regulamento geral de proteção de dados ou de uma legislação nacional mais específica, um grupo de empresas também pode nomear um único responsável pela proteção de dados.
Se o grupo decidir fazê-lo, ele deve ser facilmente acessível para as autoridades de supervisão, funcionários e titulares de dados externos. Se não houver obrigação legal, as empresas podem nomear um DPO de forma voluntária para ajudar no cumprimento da proteção de dados (o que é recomendado, por exemplo, pela autoridade francesa de proteção de dados CNIL). Se tal obrigação existir ao abrigo do Regulamento geral de proteção de dados ou de uma legislação nacional mais específica, um grupo de empresas também pode nomear um único responsável pela proteção de dados.
Se o grupo decidir fazê-lo, ele deve ser facilmente acessível para as autoridades de supervisão, funcionários e titulares de dados externos. Se não houver obrigação legal, as empresas podem nomear um DPO de forma voluntária para ajudar no cumprimento da proteção de dados (o que é recomendado, por exemplo, pela autoridade francesa de proteção de dados CNIL).
Grupos e empresas têm duas possibilidades de cumprir sua obrigação de nomear um Oficial de Proteção de Dados. Eles nomeiam um funcionário como oficial de proteção de dados interno ou nomeiam um oficial de proteção de dados externo.
Ao selecionar essa pessoa, eles devem garantir que um Oficial de Proteção de Dados interno não esteja sujeito a um conflito de interesses devido ao seu trabalho no Departamento de TI, Departamento de RH ou na alta administração, onde ele teria que se supervisionar. Independentemente da opção escolhida, um oficial de proteção de dados deve fornecer conhecimento profissional especializado em legislação de proteção de dados e segurança de TI, o escopo depende da complexidade do processamento de dados e do tamanho da empresa.
As funções de um oficial de proteção de dados incluem: Trabalhar no sentido de cumprir todas as leis de proteção de dados relevantes, monitorar processos específicos, como avaliações de impacto de proteção de dados, aumentar a conscientização dos funcionários para a proteção de dados e treiná-los de acordo, bem como colaborar com as autoridades de supervisão.
Portanto, o funcionário que atua como Responsável pela Proteção de Dados não deve ser demitido ou penalizado pelo cumprimento de suas funções. Apesar de sua função de monitoramento, a própria empresa continua responsável pelo cumprimento das leis de proteção de dados. Portanto, deve envolver o Responsável pela Proteção de Dados em todas as questões relacionadas com a proteção de dados pessoais “de forma adequada e oportuna”.
Quando um oficial de proteção de dados é nomeado, seu superior deve publicar seus dados de contato, e comunicar sua nomeação e dados de contato às autoridades de supervisão de proteção de dados. Se uma empresa nomeou voluntariamente um DPO, ela também deve aderir aos critérios e disposições acima.
Observe também que a falha deliberada ou negligente em nomear um Oficial de Proteção de Dados, apesar de uma obrigação legal, é uma violação sujeita a multas.
