Académique Documents
Professionnel Documents
Culture Documents
melhor todas as suas bases de dados e lhes com isso, este material faz um sobrevoo sobre a
atribuir uma finalidade específica. É um LGPD, explicando quais são seus objetivos, quais são
exercício que poderá trazer insights para se os seus pilares, as penalidades envolvidas e o que
repensar o próprio modelo de negócio e até você, como gestor em uma empresa, precisa fazer
mesmo para lançar novos produtos e serviços. para se adequar às exigências e canalizá-las como
Segundo, a adequação à legislação de dados um benefício para sua respectiva organização.
pessoais pode melhorar a reputação da
empresa, na medida em que o tratamento
adequado dos dados pode ser explorado no
Acompanhe conosco e
seu plano de comunicação para reforçar a
boa leitura!
4 confiança com o titular da informação. Terceiro,
LGPD
para quê?
Cada vez mais, organizações e iniciativas, aprendem a agregar valor e
otimizar as suas atividades a partir do uso de dados pessoais do seu
público alvo. Em muitos casos, isso implica, repetindo um mantra
ecoado há décadas, na “melhoria da experiência” de usuários-clientes,
que passam a contar com serviços mais personalizados e oferecidos em
momentos mais oportunos. Por outro lado, preocupações emergem à
medida que as pessoas passam a ser enxergadas e julgadas através dos
seus dados pessoais. Isso porque esses dados podem não só revelar
muito sobre a vida de seus titulares, mas também embasar
decisões a serem tomadas a seu respeito - como conferir
ou não crédito, conseguir ou não um emprego,
aprovar ou não a contratação de um plano de
saúde, etc.
5
A quem?
se aplica LGPD
Como o próprio nome diz, a LGPD é uma lei Nesse sentido, considerando que a LGPD
“geral”, ou seja, ela não se restringe a um se aplica, em regra, a qualquer uma das
único setor. Não atinge somente negócios atividades acima descritas, a organização
que exercem atividade na internet, mas como um todo terá que se preparar,
também os setores mais tradicionais da desde o departamento de recursos
economia (como o de saúde, automobilístico, humanos ao time de marketing.
energia elétrica, varejo, etc.).
Além disso, a LGPD, a exemplo do que
Na verdade, a LGPD aplica-se sempre que fez a GDPR europeia, estabeleceu um
for feito algum tipo de tratamento de dados vínculo de solidariedade entre quem é
pessoais, dentro ou fora da internet, uma espécie de gestor da cadeia de
utilizando ou não de meios automatizados. tratamento de dados – o controlador – e
Dessa forma, aplica-se às atividades online quem é o seu terceirizado, parceiro
e offline, tanto do setor público como do comercial – o processador. Assim, se
privado. houver um dano causado pelo
terceirizado, o gestor poderá ser acionado
Considera-se tratamento toda operação diretamente a repará-lo. Nesse sentido,
realizada com dados pessoais, o que inclui: obriga-se, diretamente ou indiretamente,
que controladores contratem apenas
processadores que estejam em
conformidade com as regras de proteção
de dados pessoais. Com isso, os próprios
atores da cadeia de tratamento de dados
mais do que fiscalizar uns aos outros,
tendem a escantear aqueles não
•coleta, produção, recepção, conformidade. Portanto, quem estiver
classificação, utilização, aces- em conformidade passa a ter uma
so, reprodução, transmissão, vantagem competitiva frente aos seus
Prepare sua empresa para a Lei Geral de Proteção de Dados
6
Mas o que
são dados
• Os dados pessoais forem
coletados no Brasil;
7
Como saber se a minha empresa
pode ou não realizar determinados
tratamentos de dados?
Tendo sempre em conta os princípios na lei, constam também as hipóteses
e direitos previstos na LGPD, as de exercício regular de direitos,
organizações públicas e privadas só proteção da vida, formulação de
poderão tratar dados pessoais quando políticas públicas, proteção ao crédito
identificarem uma base legal que e da incolumidade física do titular.
justifique esse tratamento. Dessa
forma, a partir da intenção de se Há, em especial, uma base legal que
realizar um tratamento, é preciso tem sido apontada como a mais
buscar na lei a fundamentação mais flexível: o legítimo interesse. É uma
adequada para que esse tratamento hipótese que não constava das
seja legal. primeiras versões do anteprojeto de
lei, a qual foi incluída com o propósito
Na linha da GDPR, a LGPD reconheceu de não engessar a inovação, servindo
que a “regra de ouro” do consentimento de “apoio e promoção das atividades
não poderia mais ser a única a legitimar do controlador”. Contudo, o bônus do
um tratamento de dados. Assim, em legítimo interesse vem acompanhado
determinados casos, outras bases de um ônus, que é a documentação
legais como o cumprimento de uma dessa atividade de tratamento de
obrigação legal ou obrigação contratual dados que deve passar no teste de 4
serão mais adequadas para permitir o fases que a própria LGPD propõe, com
tratamento, e não será necessário respostas afirmativas para as
requerer o consentimento do titular. seguintes perguntas:
Entre as 10 (dez) bases legais previstas
1° 2° 3° 4°
Existe uma Está sendo tratado o A ação proposta é Serão implementados
finalidade legítima mínimo de dados compatível com a mecanismos de
para esse necessário para legítima expectativa mitigação de riscos,
tratamento, baseada atingir os fins do titular em relação bem como de garantias
em uma situação propostos? ao tratamento dos de transparência e
mecanismos de
concreta? seus dados?
Prepare sua empresa para a Lei Geral de Proteção de Dados
9
ação
Entrando
em
1° 2° encarregado
Nomear um
Fazer um primeiro
inventário dos dados da
empresa (data mapping)
O primeiro passo é saber o que você Uma vez mapeados os fluxos de dados envolvidos
tem. É preciso mapear os dados nas atividades da empresa, é importante apontar
pessoais em posse sua empresa, os funcionários relacionados ao programa de
como nomes, endereços, endereços governança de privacidade ou mesmo um comitê.
IP e outros identificadores eletrônicos, A LGPD estabelece a necessidade de nomeação de
dados de geolocalização, dados de pessoa que será o canal de comunicação entre o
pagamento etc. Da mesma forma, controlador, os titulares de dados e a Autoridade
precisarão ser identificados eventuais Nacional de Proteção de Dados: o encarregado.
dados pessoais sensíveis ou de Não há a necessidade de ser uma pessoa física,
Prepare sua empresa para a Lei Geral de Proteção de Dados
crianças. Será preciso entender de podendo ser, por exemplo, o próprio Comitê
onde eles vêm, como a empresa os Interno de Privacidade ou uma entidade externa.
acessa, utiliza, descarta, enfim, o ciclo No entanto, em todos os casos, é necessário
de vida desses dados. Esse conhecer bem as regras de proteção, bem como
mapeamento dos dados e de seus desempenhar atividades importantes como
fluxos dentro da estrutura de coordenar as práticas educacionais e elaborar o
processamento da empresa permitirá relatório de impacto à proteção de dados pessoais.
que se consiga enxergar eventuais
pontos de desconformidade e a Já com a fotografia dos dados dentro da empresa e
necessidade de readequação. a atribuição de responsabilidades a quem vai atuar
no programa de governança de privacidade, é
recomendável que se elabore um relatório de
impacto à proteção de dados pessoais.
10
Elaborar relatório(s)
3° de impacto
Elaborado com a ajuda de diferentes setores da empresa, o relatório de impacto à proteção
de dados (RIPD) tem a função de documentar os três processos principais em que uma
organização precisa se engajar para estar em conformidade com a lei ou sempre que inicie
um novo tratamento de dados por conta de um novo produto, serviço ou revisão do seu
modelo de negócio:
12
A LGPD tem um enorme impacto econômico e
regulatório. Isso porque é quase impossível
pensar em uma empresa que não realize
nenhum tipo de tratamento de dados pessoais.
Para um processo de implementação eficiente,
é imprescindível que a empresa esteja aberta
à criação de uma nova cultura de privacidade,
engajando e criando sinergia entre os mais
diversos setores nessa tarefa.
13