Pode parecer controverso imaginar que de repente a Lei Geral de Proteção de Dados (LGPD), passará a vigorar em todo país. Afinal, a Lei nº 13.709/2018, que define a nova legislação, foi sancionada em 14 de agosto de 2018, estabelecendo um período de adaptação de 18 meses, com início previsto para entrar em vigor em 2020.
Porém, a lei passou por adiamentos no mesmo ano que passaria a valer (2020), e depois, havia a expectativa de ser prorrogada para 2021 em decorrência da pandemia de COVID-19.
Mas, entre idas e vindas no Congresso Nacional e aprovações e vetos presidenciais, estamos na expectativa que a Lei entre em vigor a qualquer momento. Infelizmente, essas mudanças geram muita instabilidade em relação a nova legislação e um risco que pode impactar diretamente no objetivo principal da lei: a proteção e privacidade dos Brasileiros.
Além da definição (ou falta de definição clara), da data de vigência da LGPD, o Governo Federal estabeleceu recentemente a estrutura da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, fiscalizar e aplicar sanções nos casos de descumprimento da legislação, entre outras atribuições definidas na Lei nº 13.709.
Expectativas a parte, as empresas e organizações precisam, mais do que nunca agora, estar preparadas para os requisitos que em breve serão impostos pela lei de proteção de dados. Apesar de todo esse período de transição, ainda existem dúvidas sobre a LGPD que as empresas precisam entender para cumprir a conformidade da nova legislação.
Para ajudar esclarecer as principais dúvidas, elaboramos uma lista de perguntas e respostas mais importantes para que você possa adequar a LGPD ao seu negócio.
Perguntas e respostas sobre a LGPD que sua empresa precisa saber para atender a lei de proteção de dados
Embora não haja uma lista de verificação universal aplicável a todos os casos, alguns problemas surgem com mais frequência do que outros. E essas perguntas e respostas sobre a LGPD serão relevantes nos próximos anos, uma vez que a nova legislação não tem data de validade.
#1. Você é um controlador ou processador de dados – você determina as finalidades e os meios do processamento de dados pessoais ou processa dados pessoais em nome de outra parte?
Responder a essa pergunta é crucial para determinar o escopo de suas obrigações de acordo com a lei de proteção de dados. De todas as perguntas e respostas sobre a LGPD, essa provavelmente vai te guiar para grande parte das ações que devem ser tomadas daqui para frente.
Os controladores de dados decidem quais dados são coletados, para que propósito, como são processados e por quanto tempo. Isso significa que você é responsável por cumprir um amplo escopo de obrigações, como proteger os dados, cumprir os objetivos de, por exemplo, minimização de dados e transparência de processamento. Você também é aquele que tem a obrigação de responder e facilitar o exercício dos direitos do titular dos dados.
Por outro lado, se você é um processador de dados, você processa os dados em nome de um controlador e apenas dentro do escopo que ele determinou. Portanto, você não pode tomar decisões sobre quais dados pessoais são processados e como. Seu principal dever é proteger os dados que você processa contra acesso não autorizado, modificação, etc.
#2. Você realiza todas as atividades de processamento sozinho ou usa serviços de processamento de terceiros, como aluguel de servidores?
Se você usar um serviço de processamento de terceiros, você deve celebrar um contrato específico por escrito (inclusive em formato eletrônico), que deve regular em particular o objeto e a duração do processamento, a natureza e a finalidade do processamento, os tipos de dados pessoais e categorias de titulares dos dados e as obrigações e direitos do responsável pelo tratamento.
Lembre-se de que, mesmo que não processe os dados por conta própria, você continua sendo responsável pelo processamento. Escolha apenas aquelas empresas que garantam a implementação de medidas técnicas e organizacionais de processamento adequadas para atender aos requisitos da LGPD e garantir a proteção dos dados.
O conjunto de perguntas e respostas sobre a LGPD também se aplicam às empresas terceiras.
#3. Quem pode acessar os dados pessoais de sua empresa? Existem diferentes níveis de acesso para diferentes posições?
O fato de você, como controlador ou processador, ter o direito de processar os dados não significa que todos os seus funcionários possam acessá-los – devem ser apenas as pessoas cuja posição dentro da sua empresa exige que tenham esses direitos.
Lembre-se de especificar o escopo da autorização – que tipo de dados eles podem acessar (por exemplo, dados do cliente, dados relativos ao emprego) e o que eles podem fazer com os dados. Algumas pessoas precisarão ter acesso total, incluindo o direito de inserir, modificar ou apagar os dados, enquanto para outras apenas o direito de visualizar os dados será suficiente.
#4. Todos os dados que você coleta são realmente necessários para o propósito de seu processamento?
Uma das principais regras de proteção de dados pessoais é a minimização de dados. Ele obriga o controlador a limitar – por padrão – ao mínimo necessário a quantidade de dados pessoais coletados, bem como a extensão de seu processamento, o período de seu armazenamento e sua acessibilidade.
Lembre-se de levar isso em consideração ao auditar seus bancos de dados e ao projetar novos fluxos de dados (criação de formulários, tomada de decisões sobre rastreamento de atividades, etc.).
#5. Como os dados coletados são usados - qual é a finalidade do processamento de dados pessoais?
Os dados só podem ser processados para fins específicos, explícitos e legítimos e não podem ser processados de maneira incompatível com esses fins.
# LGPD 6. Você coleta dados confidenciais – como registros de saúde, dados sobre origem racial ou étnica, crenças religiosas ou filosóficas, etc.?
O processamento de dados confidenciais é proibido por padrão e pode acontecer apenas em circunstâncias específicas descritas na LGPD, portanto, uma recomendação geral seria evitar o processamento desses dados por completo. Se isso não for possível, procure aconselhamento jurídico para identificar soluções que forneçam uma base legal para o processamento de tais dados.
#7. Você verificou se há processos em sua empresa que exigem a realização de uma avaliação do impacto da proteção de dados?
Tal avaliação deve ser realizada no caso de processamento que – levando em consideração sua natureza, escopo, contexto e finalidades – é susceptível de resultar em um alto risco para os direitos e liberdades das pessoas físicas, em particular devido ao uso de novos tecnologias.
Pode ser necessário em casos específicos, incluindo:
- A avaliação sistemática e exaustiva dos aspectos pessoais relativos às pessoas singulares que se baseia no tratamento automatizado, incluindo a criação de perfis, e na qual se baseiam as decisões que produzem efeitos jurídicos sobre a pessoa singular ou que a afetam de forma igualmente significativa.
- O processamento de dados sensíveis em grande escala.
- O monitoramento sistemático de uma área acessível ao público em grande escala.
#8. Como será tratado o direito à portabilidade de dados? Em que formato os dados serão fornecidos ao titular dos dados ou a outro controlador, a pedido do titular dos dados?
O direito à portabilidade de dados pode ser exercido se o titular dos dados forneceu dados a um controlador. O processamento é realizado por meios automatizados e é baseado em uma das seguintes bases jurídicas – o consentimento do titular dos dados ou um contrato para do qual o titular dos dados é parte.
Ele permite que o titular dos dados solicite uma cópia de seus dados em um formato estruturado, comum e legível. A LGPD não fornece especificações adicionais deste formato, pelo que cabe ao controlador escolhê-lo, tendo em atenção que o titular dos dados pode solicitar que os dados sejam transmitidos diretamente para outro controlador.
#9. Como um usuário pode solicitar acesso aos seus dados, incluindo o recebimento de uma cópia dos seus dados pessoais em processamento? Este processo será conduzido manualmente ou automaticamente? Em que formato a cópia será fornecida?
O titular dos dados pode solicitar ao controlador uma cópia dos seus dados pessoais em processamento. Quando este direito é exercido pela primeira vez, o controlador deve fornecer essa cópia gratuitamente, mas em caso de novos pedidos, o controlador pode cobrar uma taxa razoável com base nos custos administrativos.
Salvo solicitação em contrário do titular dos dados, se o pedido for feito por meio eletrônico, as informações também deverão ser fornecidas em formato eletrônico.
Na preparação para que o titular dos dados exerça seus direitos de dados, o controlador deve fazer a si mesmo um punhado de perguntas importantes, sendo a mais importante:
- Como a solicitação pode ser feita – usando um site dedicado, com um formulário de solicitação e instruções, ou talvez, por exemplo, por e-mail;
- Este processo será conduzido manualmente ou automaticamente;
- No primeiro caso, há pessoal suficientemente treinado para lidar com a carga de trabalho que chega;
- Os procedimentos e meios organizacionais existentes permitem o atendimento de tais solicitações sem atrasos indevidos.
#10. Os dados serão compartilhados com terceiros, inclusive dentro do seu grupo? Quando, como, em que base jurídica?
Quando você é o controlador de dados, o compartilhamento de dados com outras entidades pode assumir duas formas:
- O processamento será realizado em seu nome, você especifica sua finalidade, duração, as obrigações do processador, e assim por diante – neste caso, você precisa concluir um contrato regulando todas essas questões com o processador, e você não tem pedir ao titular dos dados o seu consentimento para o fazer;
- Sua empresa perde o controle sobre os dados que compartilha e seu processamento, e o destinatário se torna um controlador independente desses dados – neste caso, você precisará de uma base legal para compartilhar dados pessoais (por exemplo, consentimento do titular dos dados especificando com quem você compartilha os dados e para quê).
Perguntas e respostas sobre a LGPD que foram além do conceito básico
Perguntas básicas como “O que é LGPD?”, “ O que são dados pessoais e confidenciais?”, “Quando entra em vigor a LGPD?” foram deixadas de lado para mostrar que a lei de proteção de dados está ligado diretamente aos processos de negócio de sua empresa, e portanto, o objetivo da implantação da lei de proteção de dados deve ser algo mais aprofundado.
Isso significa que as perguntas e respostas sobre a LGPD devem ter foco em ferramentas, recursos como a adoção de assinatura eletrônica, criptografia, capacitação, entre outros pontos que não foram retratados em nossa lista. É preciso ir além.
Faltando pouco mais de um ano para entrar em vigor, as empresas precisam ficar atentas aos próximos passos da Lei Geral de Proteção de Dados. Ou seja, a execução das ações necessárias de adequação em conformidade com a lei antes da vigência da LGPD.
Empresas como a EVAL ajudam você a implementar sua estratégia para atender aos requisitos previstos antes da vigência da LGPD com soluções para avaliar riscos, aplicar políticas, proteger dados, responder a incidentes e solicitações e comprovar conformidade.
A EVAL pode ajudar a sua empresa unificar as operações de negócio com proteção e segurança de dados, permitindo a medição do risco em toda a organização para auxiliar na implementação de um plano abrangente de conformidade com a LGPD.
Sobre a Eval
A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.