Pular para o conteúdo
logo_-02

   |  Blog

  • Categorias
    • Call Tracking
    • Notícias e eventos
    • Business
    • Speech Analytics
  • Conheça a PhoneTrack
Menu
  • Categorias
    • Call Tracking
    • Notícias e eventos
    • Business
    • Speech Analytics
  • Conheça a PhoneTrack

phonetrack.com.br

Solicite um orçamento
  • Categorias
    • Call Tracking
    • Notícias e eventos
    • Business
    • Speech Analytics
  • Conheça a PhoneTrack
Menu
  • Categorias
    • Call Tracking
    • Notícias e eventos
    • Business
    • Speech Analytics
  • Conheça a PhoneTrack
  • 11.09.2020
  • Business, Marketing, Tecnologias

LGPD: o que é a Lei Geral de Proteção de Dados?

LGPD o que é a Lei Geral de Proteção de Dados (5)

Compartilhe:

Share on facebook
Share on linkedin
Share on whatsapp
VOLTAR AO BLOG

Antes de mais nada, o tema LGPD tem sido muito pesquisado desde o começo de agosto de 2020. Contudo, existem ainda muitas dúvidas em relação à lei e a regulamentação do tratamento de dados. A LGPD foi criada em agosto de 2018, mas até o momento não temos a Autoridade Nacional de Proteção de Dados (ANPD). Dessa forma, existe pouca informação direta para auxiliar as empresas na adequação que a lei pede.

Mas afinal, o que é a LGPD? Em primeiro lugar, a Lei Geral de Proteção de Dados tem como base a lei europeia, a GDPR (General Data Protection Regulation). Seu objetivo é proteger os dados pessoais dos cidadãos e completar o escopo do marco civil da internet. Além disso, mitigar os riscos comerciais com a União Europeia e outros países que possuem legislação própria para o uso de dados pessoais com fins econômicos.

LGPD o que é a Lei Geral de Proteção de Dados

Em resumo, a LGPD estabelece os papéis, os princípios que devem ser atendidos para o tratamento de dados, as hipóteses legais para a realização de tal tratamento e os direitos dos titulares dos dados.

Por fim, a Lei Geral de Proteção de Dados deixa claro que as empresas precisam utilizar salvaguardas técnicas e organizacionais para proteger os dados pessoais de qualquer tipo de incidente. Ainda assim, não determina quais salvaguardas devem ser empregadas.

Conheça nossas soluções

Quem são as pessoas envolvidas com LGPD

Os atores definidos pela LGPD são:

  • Titular do dado pessoal – pessoa física, dona de suas informações pessoais;
  • Controlador – pessoa física ou jurídica que utiliza dados pessoais com fins econômicos;
  • Operador – pessoa física ou jurídica que realiza o tratamento de dados pessoais de acordo com as especificações do controlador;
  • Agente de tratamento – controlador e operador dos dados pessoais;
  • Encarregado (DPO, data protection officer) – pessoa, física ou jurídica, apontada pelo controlador como responsável pela manutenção da privacidade dos dados e ponte de comunicação entre controlador, operador, titular dos dados e a ANPD.

Definições sobre dados pessoais

Definição de dados pessoais, tratamento de dados e dos atores, segundo o Art 5º da lei 13.709/2018

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
  • Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Inciso com redação dada pela Medida Provisória nº 869, de 27/12/2018, convertida na Lei nº 13.853, de 8/7/2019)
  • Agentes de tratamento: o controlador e o operador;
  • Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Princípios e bases legais da LGPD para tratamento de dados

Nesse sentido, o Art 6º da LGPD enumera dez princípios que devem ser seguidos pelas empresas para as atividades de tratamento de dados pessoais.

  • Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  • Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  • Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
  • Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  • Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
  • Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
  • Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  • Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  • Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
  • Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Tratamento de dados pessoais:

Da mesma forma, o Art 7º da LGPD estabelece dez hipóteses legais para realizar o tratamento de dados pessoais:

  • Mediante o fornecimento de consentimento pelo titular;
  • Para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
  • Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  • Proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Inciso com redação dada pela Lei nº 13.853, de 8/7/2019)
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  • Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Dos direitos do titular dos dados pessoais

O Art. 9º da LGPD mostra que o titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados. Elas deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação, para o atendimento do princípio do livre acesso:

  • Finalidade específica do tratamento;
  • Forma e duração do tratamento, observados os segredos comercial e industrial;
  • Identificação do controlador;
  • Informações de contato do controlador;
  • Informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
  • Responsabilidades dos agentes que realizarão o tratamento; e
  • Direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.

De acordo com o Art. 18, o titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

  • Confirmação da existência de tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
  • Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; (Inciso com redação dada pela Lei nº 13.853, de 8/7/2019)
  • Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
  • Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • Revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

O que o controlador de dados pessoais deve fazer

Até o momento, foram expostos os princípios gerais da LGPD, os atores, as bases legais para tratamento de dados e os direitos dos titulares de dados. Mas em termos práticos, o que sua empresa deve fazer para estar de acordo com a lei?

Acima de tudo, não importa o tamanho da empresa ou o ramo de atividade. Seja como for, qualquer organização que utilize dados pessoais para finalidades econômicas devem estar aderentes a lei. Dessa forma, vamos listar algumas necessidades que devem ser cumpridas:

  • Leia a Lei na íntegra. É de extrema importância ter o conhecimento das definições e obrigações expostos na lei. 
  • Mapear todo o fluxo de entrada de dados pessoais (inventário de dados) em todas as áreas da empresa. Ou seja, a empresa deve levar em consideração todos os dados pessoais que utilizados para a manutenção de sua atividade. Desenhe um fluxo que atenda:
    • Os dados pessoais que são coletados e determine se esse dado é sensível;
    • Os processos por qual esses dados são submetidos (ex.: esse dado é enviado para o CRM, para nutrição de leads);
    • Determine se esse dado é necessário e delimite seu tratamento.

Não se esqueça de realizar o mapeamento em todas as áreas da empresa. O RH, por exemplo coleta dados pessoais de seus colaboradores e eles também se aplicam a lei.

LGPD o que é a Lei Geral de Proteção de Dados

Avaliação de risco

Com o mapeamento da entrada, processamento e saída dos dados pessoais, execute uma avaliação de riscos. Tente responder (mas não se limite) algumas questões:

  • Qual o risco de ter esse dado?
  • Esse risco é aceitável para meu negócio?
  • Os riscos que não são aceitáveis, podem ser mitigados?
  • Quais ações posso executar para mitigar os riscos?
  • Quais controles técnicos e/ou organizacionais posso implementar para identificar desvios e elaborar um plano de ação?

Documente tudo.

A avaliação de risco da LGPD deve seguir um método que atenda ao negócio, usando como apoio, uma ferramenta para a priorização de ações corretivas. Para definir a classificação, o nível do risco e a prioridade, uma sugestão é utilizar a matriz de probabilidade x impacto.

A matriz SWOT também pode ser empregada no seu projeto de adequação. Ou seja, é interessante ter um mapa do ambiente interno e externo da companhia na ótica da proteção de dados.

Ações a partir da avaliação de riscos

Logo depois, execute as ações propostas em sua avaliação de riscos. Veja algumas questões importantes que listamos:

  • Dos dados mapeados em seu inventário de dados,  a finalidade de coleta está delimitada, clara e transparente para o titular?
  • Esta finalidade, está de fácil acesso ao seu cliente? (ex.: website da empresa)
  • O site solicita que o usuário dos teus serviços dê seu consentimento para o tratamento?
  • Você armazena os consentimentos dados pelos titulares?
  • Você é capaz de atender aos direitos do titular, como acesso, atualização, portabilidade, exclusão dos dados pessoais e o direito de ser esquecido? 
  • Na sua política de privacidade, você deixa claro o uso de cookies e a finalidade de cada? Deixa claro também que o usuário pode alterar as configurações do uso de cookies em seu navegador?
  • Você tem apoio jurídico para revisar as ações estabelecidas e a documentação (contrato de trabalho, contrato com fornecedores, contrato com clientes, política de privacidade, política de confidencialidade, entre outros)?
  • Determine o encarregado (DPO, data protection officer). É a pessoa responsável por realizar avaliações sobre a segurança e privacidade dos dados, como pode atuar com auditorias programadas (semestrais ou anuais), é também responsável por receber e atender as solicitações dos titulares dos dados e da ANPD.

Compartilhando as ações da LGPD

Nesse ínterim, elabore um relatório de impacto à proteção de dados pessoais. Esse documento pode ser solicitado pela ANPD (a Autoridade Ou seja, a empresa deve estar preparada para atender a essa solicitação o mais brevemente possível. Este relatório deve conter (mas não se limita):

  • Identificação do controlador, operador e encarregado;
  • Descrição dos tratamentos realizados;
  • Identificação e avaliação dos riscos;
  • Medidas para tratar os riscos.

Nesse sentido, use como base a documentação criada para os itens anteriores. Somente através da documentação é possível provar a boa fé da empresa em realizar os ajustes pedidos pela lei.

Estabeleça sua Política de Privacidade e um Manual de Boas Práticas. Em suma, essas Políticas (medidas organizacionais) devem fazer parte da cultura da empresa e os colaboradores devem receber treinamentos e seguir as normas estabelecidas. A privacidade dos dados é uma construção realizada por todos os colaboradores, desde o nível hierárquico mais alto ao mais baixo. 

Bem como, estabeleça um plano de comunicação de incidente de privacidade. É preciso ter em mente que se um risco existe, independente de sua severidade, em algum momento o risco pode virar um incidente de segurança e privacidade. Ao passo que, se isso ocorrer, você deve estar preparado para o mais brevemente possível emitir uma notificação do incidente para os titulares de dados impactados e para a Autoridade Nacional de Proteção de Dados Pessoais.

Por fim, planeje e execute rotinas de auditoria. É importante manter acompanhamento frequente dos fluxos que tratam dados pessoais. Ou seja, para reduzir os riscos, tenha planejado as rotinas de auditoria e execute-as com a frequência proposta. Não se esqueça, a boa fé da empresa para evitar incidentes de segurança e privacidade é imprescindível. 

Depois de conhecer bem a LGPD

Com a documentação de todos os pontos elencados e a execução das ações definidas e exigidas por lei, sua empresa pode trabalhar com tranquilidade. Mas não esqueça, ter apoio jurídico e um plano de auditoria (pode ser interno ou externo) é altamente recomendável. Assim, a empresa pode ficar tranquila por mais tempo e não ser pega de surpresa por algum incidente de segurança e privacidade.

Por fim, destaco como recomendação os frameworks usados pela ISO 27.001 e 27.701, que tratam de segurança e privacidade de dados, respectivamente e a ISO 31.000, gestão de riscos. Você pode usar esses frameworks, sem necessariamente ter a certificação. Eles são robustos e qualquer empresa, de qualquer tamanho ou segmento, pode usar como base para o seu projeto de adequação.

Ficou com dúvidas? pergunte para o DPO da PhoneTrack! dpo@phonetrack.com.br

Conheça nossas soluções
VOLTAR AO BLOG

Assine nossa newsletter

new RDStationForms('newsletter-blog-novo-rodape-35e641046943ebf26477', 'UA-63686861-3').createForm();
logos_produtos_intelia-05
ic_instagram.svg
ic_facebook-1.svg
ic_linkedin.svg
Aumente a performance do marketing, vendas e gestão com análise de dados de voz. Mensure campanhas e melhore as vendas com informações em tempo real sobre todas as ligações.

Categorias

  • Call Tracking
  • Speech Analytics
  • Notícias e eventos
  • Business
  • Marketing
  • Vendas
  • Tecnologia

Materiais

  • e-Books
  • Relatórios
  • Webinars

Outros

  • Sobre
  • Cases
  • Trabalhe na PhoneTrack
  • Faça um diagnóstico

Vinder S/A – 0800 942 4060 R. da Glória, 251 – 501 – Centro Cívico, Curitiba – PR, 80030-060