Resumo do curso de LGPD da escolavirtual.gov.br
Essa lei define regras e punições em casos de má utilização dos dados pessoais.
Ela permite e regula a coleta e o tratamento de dados quando, por exemplo, se preenche um cadastro em uma loja virtual.
Garante ao cidadão ter acesso aos seus dados coletados e se necessário solicitar sua correção, atualização, bloqueio ou eliminação.
Para fiscalizar o cumprimento da LGPD foi criada a Autoridade Nacional de Proteção de Dados - ANPD que é responsável por aplicar as sanções previstas para o caso de tratamento irregular ou violação de dados pessoais.
O titular dos dados também deve zelar por suas informações pessoais com cuidado resguardando assim seus direitos.
Conceitos Básicos:
A Lei Geral de Proteção de Dados - LGPD regulamenta o tratamento de dados pessoais, com o objetivo de proteger a liberdade, a privacidade, a intimidade e o livre desenvolvimento da personalidade da pessoa natural, Titular desses dados, mas também de garantir o adequado fluxo de dados, o direito à informação, à liberdade de expressão, bem como a plenitude e a saúde da economia digital e informacional.
A referida Lei aplica-se a qualquer operação de tratamento de dados realizada por pessoa natural ou física, e por empresa pública ou privada, com o objetivo de ofertar bens e serviços ou de fornecer o serviço de tratamento de dados em si. Esta Lei dispõe sobre o tratamento de dados pessoais, não apenas nos meios digitais."
A LGPD passou a vigorar em agosto de 202o, mas suas sanções somente entraram em vigor em agosto de 2021.
Definições:
Dado Pessoal: Qualquer informação que possa levar à identificação de uma pessoa natural (titular), como: nome, endereço, e-mail, identidade, CPF, dados de localização (o GPS no celular), endereço de IP do computador e tantos outros.
Dado pessoal sensível: Qualquer informação que possa causar impacto mais relevante na vida pessoal e/ou profissional, caso seja exposta ou compartilhada, como: dado de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde, à vida ou orientação sexual, dado genético ou biométrico.
Tratamento de dados: O tratamento abrange um amplo conjunto de operações efetuadas sobre dados pessoais, por meios manuais ou automatizados. Inclui a coleta, o registro, a organização, a alteração, a consulta, a utilização, a divulgação, o bloqueio, a destruição de dados pessoais, entre outras ações.
Atores:
Titular: É a pessoa natural, o ser humano a quem se referem os dados pessoais que são objeto de tratamento, seja criança, adulto ou idoso.
Controlador: Pessoa natural ou jurídica responsável pelo tratamento dos dados pessoais, que deve definir a hipótese legal, a finalidade e o modo como esses dados serão tratados por ele mesmo ou por quem ele designar para fazer esse tratamento.
No Regulamento Europeu, o Controlador é chamado "responsável".
Operador: Pessoa Jurídica (em geral), mas também pode ser uma pessoa natural/física, que realiza o tratamento de dados pessoais em nome do Controlador.
É possível que um controlador seja ao mesmo tempo o operador responsável pela execução do tratamento.
Em leis dos EUA e da União Europeia, o Operador também é chamado "processador".
Agente de tratamento: O Controlador e o Operador são agentes de tratamento.
Encarregado: Também conhecido como DPO - Data Protection Officer, é uma pessoa natural indicada pelo Controlador ou pelo Operador para ser a ponte entre esses agentes de tratamento e os titulares dos dados, e também entre os agentes de tratamento e a ANPD. O Encarregado também é responsável por orientar os funcionários do Controlador sobre as práticas de tratamento de dados.
ANPD: Autoridade Nacional de Proteção de Dados, órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento dos dispositivos e a aplicação dos princípios e fundamentos da LGPD. Também é a instância responsável pela aplicação das sanções previstas na LGPD.
Diretos do titular
Os principais direitos do Titular devem ser atendidos pelo Controlador que precisa definir os requisitos por meio dos quais esses direitos serão cumpridos, sempre que necessário, com simplicidade, rapidez e qualidade.
São direitos do Titular:
Solicitar anonimização dos seus dados, quando eles forem coletados de forma desnecessária, excessiva ou em desconformidade com a LGPD, além de pedir, em determinados casos, o bloqueio ou a eliminação desses dados tratados em desacordo com a Lei (decorrência do direito ao esquecimento); (Art. 18, IV)
Receber confirmação sobre tratamento de seus dados e ser informado sobre seus dados; (Art. 18, I)
Ter acesso ao conjunto de informações sobre o tratamento de seus dados, inclusive no tocante a finalidade, modo, identificação do controlador, uso compartilhado de seus dados, responsabilidade dos agentes; (Arts. 9º e 18, II)
Solicitar correção ou atualização dos seus dados, como atributo de qualidade no tratamento dos dados pessoais; (Art. 18, III)
Revogar consentimento para a coleta ou tratamento de dados, quando a base legal de tratamento for o consentimento; (Art. 18, IX)
Obter informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; (Art. 18, VII)
Opor-se a qualquer tratamento fundado em alguma das hipóteses de tratamento diversas do consentimento quando haja violação do disposto na Lei; (Art. 18, § 2º)
Ser informado sobre a possibilidade de não fornecer consentimento para tratamento de seus dados e as consequências dessa negativa; (Art. 18, VIII)
Requerer revisão de decisões tomadas unicamente em tratamento automatizado de dados pessoais, quando estas afetem seus interesses; (Art. 20)
Peticionar ao controlador para o exercício de seus direitos ou peticionar à Autoridade Nacional de Proteção de Dados. (Art. 18, § 1º)
É importante ter em mente que para a LGPD, violar dados não é apenas invadir um repositório ou vazar dados pessoais. Qualquer desconformidade com a Lei, inclusive a indisponibilidade de dados que deveriam ser acessíveis, implica "violação de dados".
Competências da ANPD
A ANPD, em seu papel norteador da privacidade e da proteção de dados, não tem apenas a função de fiscalizar e punir. A Autoridade Nacional de Proteção de Dados tem a responsabilidade de zelar pela proteção de dados, elaborar diretrizes para a Política Nacional de Proteção de Dados, apreciar e processar petições dos titulares, disseminar o conhecimento sobre privacidade para o grande público, realizar estudos sobre as práticas de privacidade no Brasil e no mundo, desenvolver formas simplificadas para o registro de reclamações sobre o tratamento de dados pessoais.
Uma das competências da ANPD mais importantes dentre as destacadas pelo legislador está a de articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação. Essa articulação deverá se dar com os PROCONS, com as Agências Reguladoras, com as associações de defesa dos consumidores em seus diversos setores de atividade.
Tratamento de dados
Na LGPD tratamento é toda operação realizada com dados pessoais, como as que se referem a:
1. Acesso - possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registro, arquivo, ou outros, visando receber, fornecer, ou eliminar dados;
2. Armazenamento - ação ou resultado de manter ou conservar em repositório um dado;
3. Arquivamento - ato ou efeito de manter registrado um dado, embora já tenha perdido a validade ou esgotada a sua vigência;
4. Avaliação - ato ou efeito de calcular valor sobre um ou mais dados;
5. Classificação - maneira de ordenar os dados conforme algum critério estabelecido;
6. Coleta - recolhimento de dados com finalidade específica;
7. Compartilhamento - comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
8. Comunicação - transmitir informações pertinentes às políticas de ação sobre os dados;
9. Controle - ação ou poder de regular, determinar ou monitorar as ações sobre o dado;
10. Difusão - ato ou efeito de divulgação, propagação, multiplicação dos dados;
11. Distribuição - ato ou efeito de dispor de dados de acordo com algum critério estabelecido;
12. Eliminação - ato ou efeito de excluir ou destruir dado do repositório;
13. Extração - ato de copiar ou retirar dados do repositório em que se encontrava;
14. Modificação - ato ou efeito de alteração do dado;
15. Processamento - ato ou efeito de processar dados;
16. Produção - criação de bens e de serviços a partir do tratamento de dados;
17. Recepção - ato de receber os dados ao final da transmissão;
18. Reprodução - cópia de dado preexistente obtido por meio de qualquer processo;
19. Transferência - mudança de dados de uma área de armazenamento para outra, ou para terceiro;
20. Transmissão - movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc.;
21. Utilização - ato ou efeito do aproveitamento dos dados, entre outras.
Situações previstas em lei
A LGPD estabelece que os Agentes de Tratamento só podem realizar o tratamento dos dados pessoais em determinadas situações ou "hipóteses". Nesse caso, são dez hipóteses permitidas pela Lei, e não há entre elas hierarquia ou maior grau de importância.
O que a Lei garante, em qualquer dessas hipóteses, é o equilíbrio entre a proteção de dados e a privacidade: seu objetivo é proteger a privacidade e, ao mesmo tempo, garantir o adequado fluxo de dados e informações, em proveito tanto do titular quanto do mercado e da economia digital.
Cada base legal de tratamento de dados pessoais será identificada pelo Controlador de acordo com a conveniência e a conformidade entre a finalidade do tratamento e os princípios gerais da Lei presentes em cada uma das hipóteses nela prescritas, apresentadas a seguir.
1 - Cumprimento de obrigação legal: Se há uma previsão legal ou regulamentar no sentido de que os dados sejam tratados, essa base legal é bastante para que o Controlador esteja coberto na execução do tratamento.
Exemplos:
Entrega anual da Declaração IRPF
Recadastramento eleitoral com biometria
Informação de doença infecto-contagiosa
2- Execução de políticas públicas: O gestor público pode tratar e fazer uso compartilhado de Dados Pessoais para execução de Políticas Públicas. A execução dessas políticas em prol do bem comum exige, frequentemente, o tratamento compartilhado de dados pessoais.
Exemplos:
Tratamento de dados para execução de política de distribuição de renda (bolsa família)
Tratamento de dados para erradicação do analfabetismo
Tratamento de dados para aumento da segurança alimentar
Tratamento de dados para melhoria do ambiente de negócios
3 - Realização de estudos por órgãos de pesquisa: Esses estudos, como censo populacional, PIB, renda per capita, nível de distribuição de renda, mapa da fome, nível de alfabetização e comportamento do sistema educacional são fundamentais para o crescimento do país. E deve ser garantido, sempre que possível, que os dados pessoais permaneçam anônimos.
Exemplos
Censo realizado pelo IBGE (Instituto Brasileiro de Geografia e Estatística)
Informações ao IPEA (Instituto de Pesquisa Econômica Aplicada)
Saúde pública e doenças tropicais
4 - Execução de contrato: O simples ato de contratar já traz em si a vontade de materializar o registro dos dados das partes no instrumento contratual, para o conhecimento recíproco, pelo menos.
E se o objeto do contrato for o tratamento de dados do Titular, ou tiver esse tratamento como consequência do objeto, a evidente manifestação de vontade que existe se materializa neste instrumento particular válido firmado entre duas pessoas, e é a base legal para o tratamento de dados pessoais.
Exemplos
Contrato de aluguel
Locação de veículo
5- Exercício regular de direitos: Essa hipótese legal confere legitimidade ao uso que os agentes de tratamento façam dos dados tratados para atuação em defesa de seus interesses perante autoridades em processos administrativos ou judiciais. A finalidade original do tratamento é uma (garantir a entrega e a contraprestação em um contrato, por exemplo). O uso para esta outra finalidade (defesa) encontra respaldo nessa base legal.
Exemplos
Um Controlador utiliza os dados pessoais dos titulares para contestar uma ação judicial por violação, em caso de não integridade dos dados
Um Operador se utiliza dos dados para fazer prova em ação de reparação de danos por vazamento de informação pessoal
6 - Proteção da vida: A base legal para o tratamento aqui é a proteção da vida do titular ou de terceiros.
A privacidade de uma pessoa jamais será considerada um bem maior que a vida humana, sua ou de terceiros. Por essa razão, se alguém informa seus dados e circunstâncias (como tipo sanguíneo, numa circunstância de acidente), não está havendo "violação de dados".
Exemplos
Um médico manipula dados ou informações de um paciente para controle de quadro emergencial grave
Alguém repassa o endereço de um suicida
Alguém checa o histórico de vida pregressa de passageiros para identificar um terrorista em ataque
7 - Tutela de saúde: Essa hipótese trata dos procedimentos para proteção da saúde executados por profissionais do setor ou entidades sanitárias.
Exemplos
Tratamento de dados relacionado a lista de pessoas que tiveram contato com alguma infecção, com a finalidade de controle de pandemia
Levantamento socioambiental de zonas afetadas por epidemia
Perfil de habitantes de dada comunidade para fins de planejamento sanitário
8 - Interesse legitimo: Esta base legal dá suporte ao tratamento executado com legitimidade de interesse do Agente de Tratamento, do Titular ou de terceiros. A prestação de um serviço que dependa do tratamento de dados torna legítimo ao Agente de Tratamento tratar os dados pessoais. Mas a legitimidade desse interesse só prospera se ele se faz coerente com a legítima expectativa do titular ou de terceiro em relação à finalidade e aos modos de tratamento.
Exemplos
O endocrinologista depende dos dados pessoais (inclusive sensíveis) do paciente para tratá-lo. O uso desses dados para promover mail marketing de produtos de emagrecimento extrapola a legítima expectativa do Titular
O serviço de helpdesk depende dos dados do titular para lhe prestar atendimento e facilitar futuras demandas. O uso desses dados para comercializar cadastros a terceiros viola a legítima expectativa do Titular
O Cibercafé guarda os dados de seus usuários inclusive para segurança do interesse de terceiros, pelo prazo de um ano. A transferência dos registros de conexão a terceiros viola a legítima expectativa do Titular
9 - Proteção ao crédito: O tratamento de dados para proteção ao crédito é escudado por esta base legal. As pendências obrigacionais, inadimplências e a má-conduta de pessoas naturais e jurídicas na praça são circunstâncias lesivas a toda a cadeia creditícia e contrárias aos interesses da sociedade como um todo.
Exemplos
O SERASA bloqueia usuários no uso de suas ferramentas de crédito
Quando o Controlador se vale do cadastro positivo
Quando alguém contrata o serviço DataValid
Quando alguém usa o aplicativo VIO
10 - Consentimento: O Agente (Controlador ou Operador) pode tratar a informação de uma pessoa se tiver seu consentimento para tanto. O Consentimento, para o Agente de Tratamento, é uma base legal precária: pode ser revogado a qualquer momento, sendo garantido ao usuário o direito de ver seus dados eliminados, bloqueados, além do direito à portabilidade, que muito se ajusta a essa base legal.
Exemplos
Uma pessoa autoriza o uso do seu CPF numa rede de farmácias para fins exclusivos de concessão de desconto na compra de um medicamento
Alguém preenche um cadastro numa loja para ter acesso a promoções
Dados pessoais sensíveis
Dados Pessoais Sensíveis são dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde, à vida ou orientação sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
Enfim, são aqueles que, se expostos ou compartilhados, podem causar impacto na vida pessoal ou profissional de alguém. A sensibilidade reside tanto no enorme potencial de lesividade desses dados, quanto no interesse que suscitam para os negócios.
Por isso mesmo, não apenas merecem uma maior proteção de seu tratamento para resguardar a privacidade do Titular, mas também precisam ser tratados levando em conta o forte interesse do mercado no controle dessas informações.
São oito hipóteses previstas na Lei.
1. Mediante Consentimento para finalidades específicas.
2. Cumprimento de Obrigação Legal ou regulatória pelo Controlador.
3. Compartilhamento de dados necessários à execução de Políticas Públicas.
4. Realização de Estudos por Órgão de Pesquisa, garantida, sempre que possível, que os dados pessoais permaneçam anônimos.
5. Exercício Regular de Direitos.
6.Proteção da Vida ou da integridade física do Titular ou de terceiros.
7.Tutela da Saúde.
8. Garantia da Prevenção à Fraude e à Segurança do Titular.
As hipóteses de tratamento de Dados Sensíveis são mais restritas que a de Dados Pessoais, sendo excluídos "Execução de Contrato", "Interesse Legítimo" e "Proteção ao Crédito".
A Lei também veda às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.
É expressamente vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares dos dados, e para permitir:
a portabilidade de dados, quando solicitada pelo titular
as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo.
Dados de crianças e adolescentes
O tratamento de dados pessoais de crianças e adolescentes deve ser realizado no seu melhor interesse, prevendo, contudo, regimes diversos para crianças e adolescentes.
Criança é a pessoa com idade de até doze anos incompletos, e adolescente é aquela entre doze e dezoito anos de idade (Estatuto da Criança e Adolescente, Art. 2º).
O tratamento de dados pessoais de crianças e adolescentes, naqueles casos em que a base legal seja o consentimento, deve ser realizado com o consentimento específico e em destaque emitido por pelo menos um dos pais ou pelo responsável legal.
No tratamento de dados de crianças e adolescentes com fundamento em outras bases legais, as restrições gerais do Estatuto e do Código Civil prevalecem em relação ao menor de idade. Por exemplo:
Na execução de contrato o menor deve ser representado por seu responsável;
Nos tratamentos por força de Lei devem ser respeitadas as condições específicas no tocante a menores;
No caso de legítimo interesse, a legítima expectativa a ser avaliada deve levar em conta o ponto de vista do representante do menor, enquanto tal.
A Lei, entretanto, traz exceção à regra acima mencionada, de forma que os dados pessoais de crianças poderão ser eventualmente tratados sem o consentimento exigido pela lei quando necessário para contatar os pais ou responsáveis legais, a fim de garantir a proteção da criança ou adolescente, desde que sejam utilizados uma única vez e sem armazenamento, e em nenhum caso poderão ser repassados a terceiros.
A participação desses Titulares (crianças e adolescentes) em jogos, aplicações de internet ou outras atividades também não deve ser condicionada ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
Compartilhamento e transferência de dados
Com as restrições que a LGPD impõe ao tratamento dos dados pessoais, o uso compartilhado de dados entre órgãos da Administração Pública pode ser realizado?
Sim...
Entretanto, o uso compartilhado de dados pessoais pelo Poder Público deve atender às finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, como por exemplo informações ao INSS, e-Social, fiscalizações, etc.
Por outro lado, todo e qualquer uso compartilhado não condizente com a finalidade original deve ser informado ao Titular, sem prejuízo de obtenção do consentimento explícito, ainda que este não tenha sido o fundamento da coleta original.
Pode haver transferência de dados entre o Poder Público e o setor privado?
A LGPD veda a transferência de dados entre o Poder Público e as empresas e instituições privadas, exceto nos seguintes casos:
aqueles em que os dados forem acessíveis publicamente
na execução descentralizada de atividade pública que exija essa transferência, exclusivamente para esse fim específico;
quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou acordos
se o objetivo for a prevenção de fraudes e de proteção dos titulares dos dados.
Em quais casos os dados pessoais poderão ser transferidos para fora do Brasil?
A transferência internacional de dados pessoais somente será permitida para os casos em que o país ou organismo internacional proporcionarem um grau de proteção de dados adequado ao previsto na LGPD, ou quando forem oferecidas pelo Controlador garantias de cumprimento dos princípios, dos direitos e do regime da proteção da LGPD.
A transferência de dados também poderá ocorrer em outras hipóteses:
para fins de cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução.
para os casos em que for necessária para proteger a vida ou a integridade física do Titular dos dados pessoais ou de terceiros.
quando a Autoridade Nacional autorizar a transferência.
quando a transferência decorrer de acordo de cooperação internacional.
quando for necessária para a execução de política pública ou atribuição legal do serviço público.
quando o Titular tiver fornecido seu consentimento específico e em destaque para a transferência internacional.
quando servir para o cumprimento de obrigação legal ou regulatória pelo Controlador.
quando necessário para a execução de contrato.
quando servir para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
Segurança no tratamento de dados
Privacidade dos dados:
Todos os Agentes de Tratamento, ao lidar com dados pessoais, devem garantir sempre que possível e nas situações previstas na Lei, a segurança e privacidade dos dados.
No caso de organização de serviços e sistemas para tratamento de dados, é importante considerar os parâmetros apresentados a seguir.
Privacy by Design
O princípio Privacy by Design representa o emprego de mecanismos e soluções de privacidade durante todo o ciclo de vida do desenvolvimento do sistema ou da organização dos serviços em que os dados serão tratados. Nessa perspectiva, a privacidade é incorporada à própria arquitetura dos sistemas e processos desenvolvidos, de modo a garantir, pela infraestrutura do serviço prestado, condições para que o usuário seja capaz de preservar e gerenciar sua privacidade e a coleta e tratamento de seus dados pessoais.
Privacy by Default
O princípio Privacy by Default representa a obrigatoriedade de que todas essas ferramentas estejam acionadas como padrão e que as medidas destinadas a garantir privacidade ao Titular não contradigam a lógica desse padrão. Em última análise, significa dizer que o serviço será organizado de forma tal que não haja a prevalência dos interesses dos Agentes de Tratamento sobre os interesses do Titular dos dados tratados.
Significa estabelecer como configuração padrão a maior privacidade possível ao Titular dos dados, além de garantir que, na dúvida entre duas situações ambíguas, prevaleça aquela que melhor atenda aos seus interesses.
Importante:
Os Agentes de Tratamento devem, portanto, desde a concepção do produto ou do serviço, até a sua execução, adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (Art. 46, §2º).
Segurança da informação
Um dos atributos mais importantes da privacidade e do tratamento de dados pessoais é o alinhamento, pelos agentes de tratamento, com os domínios da (1) Segurança da Informação, (2) das Boas Práticas e (3) da Governança de Privacidade.
Segurança da informação:
Segurança da Informação é o conjunto de domínios e conhecimentos relacionados à informação e à preservação dos atributos de confidencialidade, disponibilidade, integridade e autoria (ou não repúdio).
Muita gente pensa que segurança da informação se relaciona apenas com a confidencialidade. Mas toda organização depende de informação e da troca dessa informação com o mundo externo em um determinado nível de equilíbrio!
Uma informação guardada a sete chaves em um baú de aço no fundo do mar abissal pode até parecer segura, mas não constitui “informação” em si mesma!
Informação também está relacionada com o controle adequado dos atributos já citados, representados a seguir:
Confidencialidade
Limitar o acesso tão somente às entidades legítimas, ou seja, àquelas autorizadas. Sendo assim, o acesso a dados pessoais por entidades ou pessoas não autorizadas configura-se como violação de segurança desses dados, além de incidente de segurança.
Disponibilidade
Estar pronta para o uso na medida das necessidades.
Integridade
Certeza de que não foi adulterada, por exemplo.
Autoria
Certeza de que não foi produzida por outrem e certeza de que foi produzida por seu verdadeiro autor.
Devido à evolução do Comércio Eletrônico e da Sociedade da Informação, além de meios de tratamento de dados e informações, outros controles “estendidos” de adequação surgiram, como:
Irretratabilidade ou não repúdio - impossibilidade de se negar autoria (provar) sobre a execução de transação;
Privacidade - manter anônimo o usuário;
Legalidade - esteja aderente à legislação pertinente;
Auditoria - capacidade de auditar tudo o que foi realizado pelos usuários;
Autenticação - processo de identificação e reconhecimento, ou seja, é de fato quem alega ser;
Autenticidade - garantia de que a informação é proveniente da fonte anunciada (origem) e que não foi alvo de mutações ao longo de um processo;
Autorização ou consentimento - concessão livre, informada e inequívoca pelo titular para acesso de pessoas ou entidades autorizadas e capacitadas para o uso adequado e tratamento de seus dados pessoais, para uma ou mais finalidades determinadas.
Os domínios de segurança da informação diferem entre os modelos e frameworks disponíveis, mas de modo geral estão relacionados às seguintes rubricas:
Governança de Segurança da Informação
Segurança de Ativos (incluindo “classificação”)
Gestão, Risco e Conformidade de SI
Gestão de Continuidade do Negócio
Segurança de Comunicação e Infraestrutura de Rede (incluindo controle de acesso e gestão de identidade)
Operações de segurança (incluindo tratamento de incidentes, recuperação de desastres, forense computacional)
Segurança de Dados (incluindo Criptografia) e
Desenvolvimento Seguro.
2. Boas práticas:
A adoção de “melhores práticas” não é uma rubrica subjetiva e inconsistente. Essas melhores práticas não são resultado de uma mera avaliação subjetiva, mas constituem formas de proceder já testadas e aprovadas internacionalmente como resultado de erros, acertos e melhorias pelos profissionais do ramo.
Elas incluem medidas concretas como:
Adoção de um programa consistente de segurança, privacidade e governança de dados
Definição de políticas específicas (Segurança da informação, Privacidade, Continuidade de Negócio e Comunicação)
Adoção de normas, padrões e baselines
Definição de procedimentos (por exemplo, procedimentos de forense computacional, procedimentos de gestão de mudança, procedimentos de atualização de patches)
Tratamento de reclamações de titulares
Ações de educação, de treinamento e de conscientização
Mecanismos de supervisão
Procedimentos de tratamento e mitigação de riscos etc.
É muito importante, em situações de violação de segurança ou vazamento de dados, ter um adequado plano de comunicação e de gestão da continuidade do negócio, tanto para evitar que falhas de comunicação aumentem a dimensão do problema quanto para garantir que a organização tenha agilidade na recuperação, com rápido retorno à regularidade. E tudo deve ser feito minimizando os danos aos titulares e garantindo que o histórico e a experiência sejam utilizados na prevenção de ocorrências futuras.
Esse conjunto de melhores práticas não é monopólio da Segurança da Informação e nem da Governança, mas se relacionam intimamente com ambas.
3. Governança e privacidade:
A adoção de um modelo de governança de privacidade não é, igualmente, um “conjunto em aberto”. Ter governança significa estabelecer um modelo de funcionamento que garanta direcionamento, comunicação, clareza de papéis, conhecimento geral do negócio e responsabilidade proativa (accountability).
Que conjunto de ações garantem essa governança?
A adoção de melhores práticas, o alinhamento com os aspectos gerais de segurança da informação, e o alinhamento em torno de uma política clara de privacidade e uma forma de fazer que seja inequívoca e plenamente conhecida por todos.
Implantar governança significa eliminar o espaço para a fala dos maus gestores que, em passado recente (escândalos da Enron, da Arthur Andersen e outros), quando interpelados sobre o porquê daquele desmando identificado, respondiam “eu não sabia! Quem cuidava disso eram os contadores, ou os departamentos financeiros”.
Onde há governança não há espaço para o “eu não sabia”. Accountability não é moda passageira, mas constitui verdadeiro fim a ser perseguido em qualquer modelo conduzido por adultos responsáveis.
Assim, para demonstrar e estar em conformidade aos requisitos de segurança da informação e privacidade e proteção de dados, de acordo com o que prevê a LGPD, deve-se fazer uso, no mínimo, de documentos tais como:
Diretriz de Segurança Lógica (políticas de senha, sistemas de autenticação de usuário, programa de detecção de vírus);
Normas de Classificação, Anonimização e Criptografia da Informação;
Política Corporativa de Governança de Dados;
Política Corporativa de Segurança da Informação;
Política Corporativa de Privacidade e Proteção de Dados;
Plano de Resposta a Incidente e Remediação;
Plano de Continuidade de Serviços e Negócios;
Plano de Contingência;
Plano de Comunicação, Treinamento e Conscientização sobre Segurança da Informação, Privacidade e Proteção de Dados;
Programa de Governança em Privacidade e Proteção de Dados.
LGPD e penalidades
Vazamento de dados:
Nos casos de vazamento ou violação de dados, qual o procedimento previsto na LGPD?
O Controlador deverá comunicar tanto ao Titular quanto à ANPD sobre a ocorrência de algum incidente de segurança que venha a resultar em risco ou dano relevante ao Titular. A medida dessa relevância depende da classificação de risco e do que tenha sido definido como risco de média, alta ou de altíssima severidade.
“A LGPD é uma legislação, também, para proteção de patrimônio e de reputação” (Patrícia Peck).
Assim, caberá ao Encarregado designado pelo Controlador, em situações de violação de segurança ou vazamento de dados, implementar procedimentos ou práticas de Segurança da Informação/Segurança Cibernética, Políticas e Programa PD&D, que implicam notificar a diretoria da organização, a área de comunicação e inclusive solicitar forense computacional, entre outros.
Essa comunicação será devida nos casos em que dados pessoais tenham vazado, acidental ou ilicitamente, a destinatários não autorizados, ou quando fiquem temporária ou permanentemente indisponíveis, ou ainda quando sejam alterados.
Responsabilidades:
Caso o tratamento de dados pessoais não ocorra de acordo com a LGPD, quem será responsabilizado?
O Controlador e o Operador poderão responder conjuntamente ou individualmente, conforme o caso, no âmbito administrativo, sofrendo as sanções que a Autoridade lhes imponha individualmente ou de forma articulada com outras autoridades, como veremos adiante.
Sanções Administrativas
Nos casos em que o Controlador falte com suas responsabilidades (inclusive a de instruir adequadamente o Operador), sofrerá as sanções da Lei. Já o operador, quando tenha sido devidamente instruído, se faltar com seus deveres, será o destinatário das sanções correlatas.
As sanções administrativas, previstas na nova Lei, são as seguintes:
advertência, com a indicação de prazo para adoção de medidas corretivas;
multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no último exercício, excluídos os tributos e limitada a R$ 50.000.000,00, por infração;
multa diária, observado o limite total a que se refere o inciso anterior;
publicização da infração, após apuração e confirmação;
bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
eliminação dos dados pessoais a que se refere a infração.
Sanções Cíveis e Penais
Independentemente das sanções administrativas, a conduta dos agentes de tratamento poderá ensejar danos materiais ou cometimento de crimes e, nesses casos, sanções judiciais poderão se sobrepor às administrativas, tanto em relação aos agentes como em relação às pessoas de seus quadros societários ou profissionais.
Um elemento importante de se compreender é que a responsabilidade, em matéria de privacidade, não é “objetiva” (aquela que depende apenas de haver o ato lesivo e de haver o efetivo dano à parte prejudicada). A responsabilidade aqui é subjetiva e depende de se identificar a existência de culpa ou dolo por parte do agente de tratamento.
No entanto, se a responsabilidade do agente tangenciar relações de consumo, a regra de responsabilidade se dará em conformidade com o direito consumerista (Direito do Consumidor) e, portanto, se passará a tratar a responsabilidade pelo critério objetivo, típico desse tipo de relação.
LGPD e demais leis
A proteção de dados e privacidade é um sistema complexo de comandos e diretrizes que não se restringem à LGPD, mas estabelece um diálogo com inúmeros outros marcos legais, como a LAI - Lei de Acesso à Informação, o Código de Proteção e Defesa do Consumidor, as Políticas Nacionais de Segurança da Informação e de Proteção de Infraestruturas Críticas, a Lei do Cadastro Positivo, o Marco Civil da Internet, a Lei de Crimes Cibernéticos, a Lei das Estatais, e tantas outras.
A imagem a seguir apresenta algumas dessas iniciativas legais e sua relação direta com o Titular dos dados.
A correlação e coordenação entre essas iniciativas legais evidenciam um sistema jurídico harmonioso e complementar que deve ser interpretado em seu todo, tanto pelos atores do processo quanto pelos que têm a obrigação de controlar e de decidir sobre seu funcionamento e regularidade.
LGPD e Serpro
Organização da empresa e implementação da LGPD
Mais do que atender ao dever de adequação à LGPD, o Serpro se organiza e se firma como referência em proteção e tratamento de dados pessoais no setor público.
O planejamento realizado pela equipe de implementação pressupõe 5 fases, com desdobramentos em etapas e produtos, como o Manual Jurídico de Privacidade, o modelo de Governança de Dados, o Plano de Treinamento e o Programa de Privacidade.
Preparação:
É uma fase de avaliação, diagnóstico e inventário da situação em vigor na organização.
O primeiro passo foi construir um diagnóstico, por meio de questionários que subsidiarão, na etapa seguinte, oficinas de alinhamento e complementação.
Também foi elaborado um manual jurídico integrando leis de privacidade, inclusive estrangeiras, doutrina e decisões relacionadas com privacidade e proteção de dados. O manual é de acesso corporativo, com perfis de usuário e de administrador – que corresponde ao perfil responsável por atualizar e revisar o manual. O usuário pode consultar o manual com busca relacional em cada uma das três dimensões: lei, doutrina e decisões.
Foi realizado, ainda, levantamento de riscos com equipe multidisciplinar que identificou, de início, 156 riscos. A análise crítica desses riscos, identificando dentre eles os que eram causa ou consequência, reduziu os riscos de implementação para o quantitativo de 7 (sete) riscos, com os respectivos controles/tratamentos, que serão referência para a construção dos relatórios de impacto e também para as análises de risco posteriores.
Criou-se, ademais, o Escritório de Governança de Dados, com a função de identificar a localização de todas as bases de dados que contenham dados pessoais, centralizar seus metadados, classificar esses dados – pessoais, sensíveis, de menores etc. – e garantir adequado controle de acesso. O Escritório também realizou o Mapeamento do Fluxo de Dados.
Foi realizada a adequação das políticas de Segurança da Informação e de Governança de Dados aos princípios da LGPD e, além disso, está em fase de aprovação final a Política de Privacidade e o Programa de Privacidade, tudo construído em cooperação com a Área de Segurança da Informação e as demais áreas da Empresa, colaboração essencial para a conclusão do Programa Serpro de Privacidade.
Os planos de implementação da Fase 1 serão construídos no decorrer da Fase 2 e serão executados no início da Fase 3.
2. Organização:
Fase caracterizada principalmente pelo engajamento e arregimentação dos esforços necessários à conformidade.
A manutenção do Programa de Privacidade e da Política de Segurança à Privacidade teve início com a implementação da Rede LGPD: uma Rede Social Corporativa que agrega os efetivamente envolvidos nas atividades, com a “mão na massa”. A Rede LGPD não é mera forma de publicidade. É ferramenta de trabalho e organização para que os voluntários distribuam, pelo corpo funcional, os princípios e fundamentos da Política de Segurança à Privacidade.
A designação do Encarregado : são três pessoas naturais, responsáveis, cada uma, pela atuação técnica, pela atuação jurídica e de conteúdo; e pelo inter-relacionamento com entidades externas – clientes, cooperações, parcerias e educação.
A Fase de Organização é também aquela em que é promovido o engajamento da alta liderança, independentemente dos esforços realizados na Fase de Preparação. Aqui foram feitos treinamentos e apresentações para a Diretoria, para o Diretor-Presidente, para o Comitê de Auditoria e para o Conselho de Administração.
O engajamento corporativo foi e seguirá sendo feito a partir de seminários, eventos, palestras, cursos, comunicação e marketing, já iniciados desde a Fase 1, em abril de 2019. Tais esforços incluem a página Serpro e a comunidade LGPD, aberta aos empregados, a Cartilha de Privacidade e os vídeos institucionais.
O engajamento dos conselhos (Administração, Fiscal, COAUD) e dos fornecedores e clientes também será realizado a partir de oficinas externas e ações de marketing.
Com a conclusão desta Fase, teremos a implementação de um Sistema de Gestão de Privacidade e da Informação - SGPI: uma sistemática clara e mapeada do que está sendo feito, como, quando e quem são os responsáveis e executores. "Sistema” aqui, tem o mesmo significado utilizado no modelo ISO 27001, quando se refere ao Information Security Management System – ISMS. É uma garantia de processo de trabalho claro e rastreável e não um “sistema de TI”.
Há, de forma independente, um esforço para que o dashboard desse Sistema esteja integrado na plataforma Archer, adquirida pelo Serpro e em fase de implantação.
3. Implementação:
É a fase de execução dos planos de implementação desenvolvidos na Fase anterior, envolvendo corpo funcional, gestão, clientes e fornecedores, com:
Definição dos procedimentos de aprovação para tratamento de dados - Encarregado + Governança de Dados.
Registro das databases que contêm dados pessoais - Governança de Dados.
Alinhamento dos serviços de transferência internacional de dados com o cliente RFB.
Integração de todas as atividades de Proteção de Dados e Privacidade com os diversos responsáveis e o Encarregado - DPO.
Execução dos planos de treinamento.
Implementação dos controles definidos pela Governança de Dados: o Programa de Privacidade e as Regras de Governança de Dados compõem a Governança de Privacidade e Proteção de Dados.
4. Governança:
Fase caracterizada pela plena atuação da Governança de Privacidade como um todo, conduzida pelo Encarregado - DPO e alinhada com a Rede LGPD e o corpo funcional, ou seja, serão implementadas as práticas de Gestão de Uso de Dados.
A implementação do canal de comunicação com o Titular dos dados pessoais será dúplice: tanto pela plataforma de tratamento (PDC - Plataforma Digital do Cidadão), como por canal de comunicação e tratamento interno de demandas, a exemplo do eOuve, com execução dos processos de retificação, requisição, reclamação/tratamento, etc., em atendimento ao titular.
Também será executada nova avaliação de Riscos de Privacidade e Tratamento de Dados, a exemplo do que foi realizado na fase anterior, e estarão definidos, a partir da ferramenta Archer, os documentos que serão emitidos: relatórios de risco, relatórios de conformidade, relatórios de tratamento de incidentes de privacidade, relatórios de impacto etc.
Em plena integração com a área de segurança, mas também com as demais áreas que tratam incidentes com possível reflexo em privacidade (SUPCD, CCD, SUPGP, Forense, SUPGL e outras), estarão definidas as formas de tratamento de incidentes de violação de dados pessoais, inclusive com a realização de simulação de cenários.
5. Avaliação:
A Fase 5 corresponderá à fase perpétua de condução do Ciclo de Melhoria Contínua (PDCA), com:
Sistematização rotineira de auditorias internas e processos de auditoria externa, especificamente para Proteção de Dados e Privacidade.
Realização de benchmarking e avaliações internas periódicas.
Geração periódica do relatório de impacto e sua disponibilidade para informação à Autoridade Nacional de Proteção de Dados.
Tratamento cíclico de riscos.
Elaboração de relatório final dos riscos de implementação do projeto e de sua continuidade.
Atualização do Manual Jurídico, implementado na Fase 1.
Soluções de LGPD
Com a entrada em vigor da Lei Geral de Proteção de Dados, o Serpro se torna referência para Agentes de Tratamento do setor público e privado, oferecendo soluções que garantam o tratamento de dados em conformidade com a LGPD e que também deem conta do fluxo de atendimento às demandas que virão dos titulares.
A Plataforma Digital do Cidadão oferece soluções nas vertentes Identificação, Gestão do consentimento, Tratamento dos direitos do titular, Auditoria e conformidade, Educação e certificação.
Identificação: Com a correta identificação do Titular, o Agente de Tratamento garante o atendimento às demandas do Titular, sem o risco de informar a terceiros, gerando, assim, violação de dados.
Consentimento: A gestão do consentimento, nos casos em que essa seja a base legal utilizada, garante recursos para que o Agente de Tratamento demonstre o consentimento e gerencie revogações e alterações demandadas pelo Titular, inclusive "portabilidade" quando for caso.
Uso de dados: Garantia do adequado tratamento de todos os direitos do Titular, de acordo com cada uma das possíveis bases legais. Além do atendimento às hipóteses de informação aos titulares e autoridades competentes a respeito do uso compartilhado de dados, transferências internacionais, e possíveis incidentes de segurança e de violação de dados.
Auditoria e conformidade: A solução completa e adequada à legislação deve garantir auditoria e rastreabilidade ao trabalho do Agente de Tratamento.
Capacitação: Desenvolvimento de treinamento e certificação de profissionais e de pessoas jurídicas.
A modularização das soluções permite a contratação segmentada dessas funcionalidades, eliminando o risco de o cliente adquirir módulos de que não necessita ou de deixar de adquirir por causa de funcionalidades com as quais já conta. A imagem a seguir apresenta a integração dos módulos na Plataforma Digital do Cidadão.
Tanto a evolução e contratação dessas soluções quanto informações, artigos e atualizações referentes à privacidade e tratamento de dados podem ser acompanhados no Portal Serpro LGPD.
Comments