20 exemplos práticos e reais de aplicação da LGPD

20 exemplos práticos e reais de aplicação da LGPD. A LGPD (Lei Geral de Proteção de Dados) entrou em vigor no dia 18 de setembro de 2020, tornando-se um importante marco regulatório em relação ao tratamento de dados pessoais no Brasil. Com isso, a grande maioria das empresas deve se adaptar-se às novas exigências e condições legais.

Por se tratar de uma quebra de paradigmas, há muitas dúvidas em torno da LGPD. Por isso, se você quer entender melhor como as novas regras e determinações da lei afetam a sua empresa, leia a nossa lista de questões práticas sobre a LGPD.

O site Get Privacy criou esta lista tendo como base exemplos práticos e reais já observados pela Get Privacy e que podem surgir também em relação à sua empresa.

1. Com a LGPD, como fica a lista de contatos que foi coletada pela minha empresa?

Se você possui uma lista de contatos contendo dados pessoais de clientes, como nome, telefone, e-mail, CPF e RG, por exemplo, é obrigatório que você esteja em conformidade com a lei.

Isto significa que esta lista deve ter sido coletada de forma legítima e que você deve estar de acordo com os princípios da legislação. Em especial, os princípios da finalidade, da necessidade e da transparência.

Além disso, a manutenção desta lista de contatos deve estar devidamente justificada por pelo menos uma das bases legais previstas pela LGPD, a exemplo do consentimento, do legítimo interesse, do cumprimento de obrigação legal ou da execução de contrato do qual o titular dos dados seja parte.

Você deve também garantir a segurança desses dados pessoais e adotar medidas que permitam aos titulares terem controle e acesso às suas próprias informações.

2. Mas e se a minha lista de contatos veio de terceiros, posso utilizá-la mesmo assim?

A resposta é, para a maioria dos casos, não. Uma lista de contatos contendo dados pessoais só pode ser utilizada se estiver devidamente justificada de acordo com as bases legais e os princípios da LGPD.

De maneira geral, isso significa que os titulares dos dados (ou seja, as pessoas na sua lista de contatos) forneceram suas informações diretamente à sua empresa e estabeleceram um relacionamento com ela.

Para evitar problemas, como sanções e ações judiciais, a recomendação é que você delete listas provenientes de terceiros caso os titulares dos dados desconheçam a sua empresa.

3. Como fica a questão do relacionamento com outras empresas parceiras tendo em vista a LGPD?

Se a sua empresa tem parceiros com os quais você compartilha ou de quem recebe dados pessoais, é necessário tomar as devidas cautelas. Por exemplo, revisar os contratos adicionando cláusulas específicas sobre a proteção de dados pessoais.

Avalie se a sua empresa se enquadra na condição de controladora – ou seja, se é ela que coordena e define como o dado pessoal deve ser tratado.

Neste caso, é preciso ter atenção redobrada com a contratação de parceiros, já que a maior responsabilidade jurídica em relação ao tratamento de dados recai justamente sobre o controlador.

Caso um parceiro cometa uma violação à LGPD, o controlador também responde de forma solidária pelo dano. Portanto, pouco adianta a sua empresa investir na adequação à lei se os seus parceiros não tiverem o mesmo cuidado.

4. Posso vender uma base de dados pessoais para outras empresas?

Não, pois certamente configurará tratamento de dados em violação à LGPD, sob pena de sanção administrativa e possibilidade de gerar indenizações. 

Além das sanções que podem ser aplicadas pela ANPD (Autoridade Nacional de Proteção de Dados), os próprios titulares e as entidades de defesa do consumidor podem entrar com ações contra as empresas envolvidas.

5. Uma empresa de porte pequeno ou um MEI precisa se adequar à LGPD também?

Sim. Hoje, a LGPD não isenta de cumprimento empresas pelo seu porte. A lei aplica-se a qualquer tipo de operação de tratamento sobre dados pessoais (informações de pessoas físicas). Ou seja, o tamanho da sua empresa não importa.

No entanto, este é um ponto que consta da agenda regulatória da ANPD. A autoridade divulgou que deve elaborar uma regulamentação específica para startups, microempresas e empresas de pequeno porte.

6. É preciso investir em alguma tecnologia ou solução específica para estar adequado à LGPD?

Não. A lei não estabelece um caminho único para a conformidade. Sendo assim, as soluções e tecnologias voltadas ao atendimento à LGPD ajudam e facilitam o processo de adequação à lei, mas não são obrigatórias.

Em linhas gerais, cada empresa deve encontrar o seu próprio caminho de adequação à LGPD, de acordo com o seu ramo de negócio e particularidades.

Vale destacar, no entanto, que um dos principais pontos de adequação à LGPD é garantir a segurança dos dados. Neste caso, normalmente é necessário empregar tecnologias de Segurança da Informação, como antivírus, e-mail gateway, soluções de controle de acesso etc.

7. Quais soluções podem ser usadas para ajudar na adequação à LGPD?

Depende muito do setor de atuação da sua empresa, do volume de dados pessoais tratados e de quais tipos de dados são manuseados. 

Mas podemos citar como exemplos soluções de mapeamento de dados, de backup e de recuperação de desastres, de autenticação multifator, de Controle de Acesso à Rede (NAC) e de virtualização de apps e desktops, além dos famosos e essenciais firewall, antivírus e secure email gateway.

8. Como posso comprovar que a minha empresa está em conformidade com a LGPD?

A LGPD opera sob a lógica de uma responsabilidade demonstrada. Ou seja, não basta afirmar que a sua empresa está em conformidade com a lei. É preciso demonstrar essa adequação, o que pode ser feito por meio de registros e quaisquer outros meios de comprovação de medidas adotadas.

Dependendo do seu contexto e das medidas que forem adotadas, diferentes meios de comprovação de adequação podem ser úteis diante de eventuais auditorias ou fiscalizações.

Na prática, as soluções e tecnologias voltadas para a LGPD ajudam muito, fornecendo a base de comprovação necessária.

Imagine, por exemplo, que ao utilizar diferentes soluções de proteção de dados, como email gateway, antivírus e autenticação multifator, você está fornecendo à autoridade provas de que está em compliance com a lei – ao menos parcialmente, já que o processo de adequação é complexo e extenso.

A adoção de boas práticas de proteção de dados também facilita essa comprovação.

9. Falando sobre o consentimento para o tratamento de dados, a minha empresa deve ter registro dos aceites por parte do titular?

Sim. É fundamental que você possa comprovar o fornecimento do consentimento pelo titular dos dados. Há, inclusive, soluções e sistemas especializados para esta função.

Lembre-se ainda que o consentimento só é válido se for feito de forma livre, informada e inequívoca.

Veja no infográfico abaixo alguns pontos de atenção relacionados ao consentimento do titular.

10. A minha empresa mantém apenas o nome, o endereço e o telefone dos clientes. Isto fica caracterizado como uso de dados pessoais?

Sim. Deve-se ter em mente sempre o conceito de dado pessoal: “informação relacionada a pessoa natural identificada ou identificável”, o que pode incluir, por exemplo, nome, endereço, telefone, e-mail, CPF e RG.

O simples armazenamento de dados pessoais é considerado tratamento de dados e, portanto, está sujeito às regras da LGPD.

11. Os dados pessoais dos empregados e colaboradores da minha empresa também são objetos da LGPD?

Sim. A LGPD aplica-se quando houver o tratamento de dados pessoais, independentemente da categoria do titular.

Para a lei, não faz diferença se os dados pessoais são de clientes, empregados ou terceirizados. Todos devem ser igualmente protegidos e tratados com responsabilidade pela empresa.

Como os funcionários também são titulares de dados, eles podem cobrar da empresa seus direitos, assim como qualquer outro titular.

12. Eu posso compartilhar dados pessoais dos meus empregados com outras empresas parceiras?

Os dados pessoais podem ser objeto de compartilhamento desde que sejam observados os princípios e as bases legais previstos na LGPD.

Se o tratamento não atender aos princípios ou não puder ser enquadrado em pelo menos uma das bases legais, ele é considerado ilegal.

13. O e-mail corporativo de uma pessoa pode ser enquadrado como um dado pessoal?

Sim. Isto significa que, ao trocar de emprego, você não pode utilizar a lista de e-mails corporativos que usava na antiga empresa.

14. Para quem trabalha no modelo B2B, ou seja, somente com pessoas jurídicas, utilizando dados genéricos de empresas, a LGPD é aplicável?

A LGPD é voltada apenas ao tratamento de dados pessoais relacionados à pessoa física. Mas ainda que a sua empresa atue sob o modelo B2B, ela certamente realiza o tratamento de dados pessoais de seus próprios colaboradores.

Portanto, deve ser feito um estudo minucioso e um mapeamento para identificar os dados pessoais que são tratados.

15. Para reforçar as estratégias de marketing e vendas da minha empresa, quero comprar uma pesquisa ou uma lista com estatísticas sobre um determinado assunto, como hábitos de alimentação no Brasil. Neste caso, eu estou em desacordo com a LGPD?

Primeiramente, deve ser avaliado se a lista ou pesquisa possui informações que permitam identificar pessoas físicas. Se houver apenas dados estatísticos e/ou anonimizados, o caso não estará dentro da aplicação da LGPD.

16. No caso de lojas físicas onde são coletados dados pessoais em papel, a LGPD está valendo também?

Sim. A LGPD vale para qualquer tratamento de dados pessoais, seja em meio físico ou digital, requerendo os mesmos esforços e medidas protetivas.

17. A minha empresa é obrigada a indicar o encarregado pelo tratamento de dados pessoais, também conhecido como DPO (Data Protector Officer)?

O cargo de DPO é obrigatório para todas as empresas, exceto no caso de startups e pequenas empresas. No entanto, mesmo quando o cargo é opcional, ele é sempre considerado uma boa prática para a manutenção do programa de conformidade.

Lembrando que o encarregado é o responsável por operar como canal de comunicação entre a empresa, os titulares dos dados e a ANPD.

18. Posso terceirizar a função do DPO?

Sim. Confira, inclusive, como a Get Privacy pode ajudar a sua empresa com o serviço de DPO as a Service.

Além disso, são oferecidos serviços de consultoriasegurança da informação e compliance. Todos voltados para a LGPD.

19. A minha empresa deve responder às solicitações dos titulares dos dados?

Sim. A LGPD dispõe aos titulares uma série de direitos que podem ser exercidos diretamente perante a empresa, tais como a confirmação da existência de tratamento, o acesso e a correção dos dados.

Portanto, é fundamental estabelecer um protocolo para responder e avaliar as solicitações dos titulares.

20. Se o titular solicitar a exclusão dos dados, eu devo excluir?

Tal situação deve ser avaliada com muito cuidado. Algumas solicitações, tais como a de eliminação de dados, não podem ser atendidas de imediato sem uma avaliação precisa.

É possível, por exemplo, que exista uma justificativa que ainda embase o armazenamento dos dados, como o cumprimento de obrigações legais ou o exercício regular de direitos em processo. 

 

Fonte: Get Privacy

Veja também:

About mindsecblog 2774 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Segurança digital: VPN para internet banking vale a pena?
  2. Por que o setor financeiro é um dos principais alvos de ataques ?

Deixe sua opinião!