TUDO O QUE REALMENTE PRECISA SABER SOBRE A #LGPD

é a lei geral de proteção de dados pessoais o lgpd foi aprovada em agosto de 2018 irá mudar a forma como as empresas deveriam cuidar dos dados pessoais no desempenho de suas atividades eu sou denise tavares e nesse vídeo eu vou trazer os principais pontos da nova lei com tudo que você realmente precisa saber sobre a lgp de kill you e aí ele gp de se aplica tanto à pessoa física quanto a pessoa jurídica aqui estamos falando de empresas de qualquer tamanho pequenas empresas ou empresas globais e também de profissionais autônomos por exemplo quando falamos

de pessoa jurídica estamos falando tanto de empresas privadas como também das empresas públicas a eles já pedi tem um capítulo inteiro sobre o tratamento de dados pessoais pelo poder público que portanto também terá que se adequar a ngp de se aplica tanto para meio físico quanto digital então não é só o cuidado com os dados pessoais tratados de forma eletrônica mas também os arquivos físicos além disso não importa onde a empresa ou dado pessoal estão localizados lgp dela vai se aplicar seu tratamento dos dados foi realizado em território nacional se for realizado para ofertar o

fornecer bens ou serviços no território nacional ou se os dados foram coletados o internacional na prática se a empresa na europa por exemplo oferecer serviços ao mercado brasileiro e coletar dados de pessoas localizadas no brasil ela também terá que se adequar e gp de tem algumas exceções na lgpd em relação às quais a lei não se aplica como para fins jornalísticos artísticos ou acadêmicos mas de resto todo e qualquer atividade que utilizar lá do pessoal estará sujeito a lei como advogada eu estive nos últimos meses falando com centenas de empresas sobre alergia p&d e até

agora não encontrei nenhuma que não tratasse dados pessoais claro que com maior ou menor incidência aí eles depender afetará todos os negócios até mesmo aquelas empresas que não possuem uma relação direta com o consumidor ou seja são bitchubi tratam dados pessoais de seus funcionários e de contatos dos seus clientes mas afinal o que é o dado pessoal a eles defender assim como o r legislação europeia de proteção de dados pessoais traz um conceito expansionista do que deve ser considerado dado pessoal e no porque a energia para definir como dado o pessoal toda e qualquer informação

que identifica o que possa identificar uma pessoa o primeiro parentes aqui é que a lei fala de pessoa natural ou seja somente pessoa física dessa forma não está previsto no escopo da lei a proteção de informação de pessoa jurídica então toda informação que isolada ou em conjunto com outra possa identificar uma pessoa é considerada da do pessoal como exemplos temos cadastros de funcionários e terceiros cadastro de clientes endereço ip com geolocalização dados financeiros e dados de consumo praticamente todo e qualquer dado pode vir a ser considerado o dado pessoal a minha profissão por si só

não é um dado pessoal mas se eu considerar que ela pode eventualmente me identificar a informação entra o conceito de dado pessoal um exemplo bobo aqui pode ser uma cena de filme que alguém passa mal em um avião ou no meio de uma multidão e perguntam se tem algum médico ali presente a há uma hora é aquela pessoa acabou de ser identificada pela sua profissão e é isso que traz a ideia de conceito expansionista do dado pessoal além disso a energia perder diferencia dado pessoal do da do pessoal sensível tá pessoal sensível é tratado com

mais rigor pela lei são dados que podem ter algum cunho discriminatório como origem racial e étnica convicção religiosa opinião política filiação sindical dados de saúde vida sexual genética ou biometria outro conceito é o de dado anonimizado e relativo a titular que não possa ser identificado dado o pessoal quando anonimizado está fora do escopo de aplicação da lgp de aí muitas empresas questionam bom mas se eu não souber de quem é aquela informação para que ela vai me ser útil existem áreas de pesquisa machine learning e outras tecnologias que se valem bastante de dados anonimizado é

o grande ponto aqui que anonimização não é um processo fácil e precisa ter muita cautela principalmente dependendo do tamanho da amostra para ser considerado anonimizado o processo não pode ser reversível tem que jogar a chave fora além disso se você tem um número pequeno de indivíduos uma alimentação pode não ser tão eficiente por exemplo na ideia de criar um banco de dados anonimizado alguém apagou informações de uma planilha e deixou somente a faixa etária ea região em alguns casos isso pode ser útil para estratégia de marketing por exemplo mas estamos falando de uma planilha com

dados de funcionários de uma empresa pequena a região ou faixa etária podem facilmente identificar o indivíduo o último conceito que vamos falar aqui é o de tratamento a lgp definir tratamento como qualquer alteração realizada com dados pessoais incluindo coleta produção e são utilização transmissão arquivamento eliminação mas resumindo é tudo que pode ser feito com dado pessoal um dos pontos mais relevantes da lei foi a criação da autoridade nacional de proteção de dados ainda não está estabelecida mas terá um papel fundamental de orientar a aplicação da lei ed fiscalizar a aplicação de sanções em caso de

violação existem muitas disposições da lei que dependem ainda de uma regulamentação pela npd por isso é tão aguardado o seu funcionamento titular é a parte mais envolvida no tratamento afinal é a pessoa física a quem se referem os dados pessoais também temos os agentes de tratamento que são controlador e o operador o controlador sintomas decisões referentes ao tratamento de dados pessoais e o operador é que realiza o tratamento de dados pessoais em nome do controlador por exemplo e terceiriza sua folha de pagamento ela envia dados pessoais de seus funcionários para um prestador de serviços a

primeira é a controladora dos dados pessoais de seus funcionários pois é ela quem decide como os dados pessoais serão tratados já a segunda é a operadora ela irá processar a folha de pagamento a pedido do controlador a importância da sua definição é por conta da responsabilidade dos agentes de tratamento a lgp determina que o controlador o operador que razão do exercício de sua atividade causar dano será obrigado a repará-lo o operador responde solidariamente junto com o controlador quando descumpriram lgpd ou quando não tiver seguido as instruções do controlador já o controlador que estiver diretamente envolvido

em atividades de tratamento que causarem danos aos titulares serão solidariamente responsáveis assim caso o operador atua em conformidade com lgpd é rigorosamente as exigências do controlador ele não será responsabilizado solidariamente por eventuais danos causados pelo controlador da mesma forma o controlador e não participa do tratamento do qual decorram danos ao titular não será solidariamente responsável por danos causados por isso recomendamos que tenha contratualmente uma definição clara das atribuições de cada parte e das limitações de responsabilidade se vocês quiserem deixa aqui nos comentários que eu gravo um vídeo só falando a respeito de contratos na lgpd

também temos a figura do encarregado conhecido pelo nome dado na europa pelo gdpr que é o data protection officer ou de fio no conceito é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador os titulares dos dados e a npd no primeiro texto da lei estava indicado que deveria ser uma pessoa é uma pessoa física mas o texto foi alterado para tirar a sua obrigatoriedade e permitir que as empresas possam ter um deep o terceirizado conhecido como deep ou essa service é o dip ou que será responsável pelo

atendimento dos pedidos os titulares por receber comunicações da npd e orientar os funcionários e contratados da empresa a respeito de práticas a serem tomadas em relação à proteção de dados pessoais da forma como está redigido o texto da lei hoje entende-se que todas as empresas devem ter um deep o mas a npd poderá estabelecer normas complementares sobre a definição e atribuições do de peão inclusive e pode ser de dispensa de acordo com o porte da entidade o volume das operações de tratamento de dados como ocorre na europa a eles depender elenco rol de princípios que

as empresas deverão observar nas atividades de tratamento de dados pessoais o primeiro de o princípio da finalidade dos dados pessoais somente poderão ser tratados para propósitos legítimos específicos e explícitos informados ao titular além disso pelo princípio da adequação tratamento dos dados deve ser compatível com as finalidades informadas ao titular e pelo princípio da transparência os titulares devem receber informações claras precisas e facilmente acessíveis sobre a realização do tratamento isso quer dizer que as empresas precisam informar os titulares exatamente tudo o que elas irão fazer com os dados pessoais e não poderão utilizar os dados de

forma incompatível com aquela finalidade que foi informada aos titular teve um caso de fiscalização pelo ministério público de uma grande empresa varejista que abriu processo seletivo e vários candidatos receberão posteriormente um cartão de crédito de uma empresa do grupo houve um claro desvio de finalidade venda os princípios aqui comentados pelo princípio da necessidade tratamento dos dados deve ser limitado ao mínimo necessário para realização de suas finalidades é bem diferente da nossa realidade hoje a cultura das empresas é coletar o máximo de informação possível e isso deve mudar de acordo com o princípio do livre acesso

os titulares poderão consultar de maneira facilitada e gratuita sobre a forma ea duração do tratamento de seus dados nós vamos ver na parte de direito titulares que as empresas precisaram ser preparar para esta e outras demandas dos titulares de dados também temos o princípio da qualidade dos dados que a garantia os titulares da exatidão clareza relevância ea atualização dos dados pelo princípio da segurança as empresas deverão utilizar medidas técnicas e administrativas para proteger os dados pessoais e pelo princípio da prevenção de ver as medidas preventivas contra ocorrência de eventuais danos decorrentes do tratamento de dados

o princípio da não-discriminação ela tá da proibição de tratamento para fins discriminatórios ilícitos ou abusivos por fim o princípio da responsabilização e prestação de contas famoso accountability está relacionada à capacidade dos agentes de tratamento a demonstrar que estão adotando medidas eficazes e capazes de comprovar a observância e o cumprimento da lgpd a lgp de lenka 10 requisitos legais para o tratamento dos dados pessoais ou seja a empresa só pode tratar dados pessoais se ela tiver pelo menos um desses requisitos que são chamados na igreja pdd bases legais seja qual for a base legal para o

tratamento de dados essa decisão deve ser devidamente registrada e documentada pelo controlador e operador de dados primeiro deles é o consentimento do titular de dados o consentimento é definido pela lgpd como manifestação livre informada e inequívoca do titular isso quer dizer que não vai mais poder ter aquela caixinha praticada nem informações genéricas no caso de dados pessoais sensíveis o consentimento deverá ser fornecido de maneira específica para aquela finalidade determinada e também deve ser feito isso de forma destacada por isso se a empresa coleta consentimento para tratar dados pessoais ela precisa rever os seus termos para

ter certeza de que eles estão de acordo com a lgp de outra base legal é o cumprimento de obrigação legal ou regulatória do controlador muitas empresas traçam determinado os dados de funcionários por uma obrigação legal ou regulatória e portanto irão utilizar essa e pode se para legitimar o tratamento de dados também temos a execução de políticas públicas que ao tratamento de dados pela administração pública para e de políticas públicas ainda temos a base legal de realização de estudos por órgãos de pesquisa aqui o cuidado aqui na lgpd órgão de pesquisa se a empresa for privada

só pode ser sem fins lucrativos uma outra base legal é para execução de um contrato ou para o exercício regular de direito sem processo judicial administrativa ou arbitral para a proteção da vida ou incolumidade física para tutela da saúde com procedimento realizado por profissionais da área da saúde serviços de saúde ou por entidades sanitárias também tem a base legal de proteção do crédito ela ficou assim bem subjetiva mas na prática vemos aplicação dela principalmente pelo setor financeiro para análise de crédito por fim temos o legítimo interesse de acordo com eles defender o legítimo interesse do

controlador só pode ser utilizado para finalidades legítimas e situações concretas ea letras exemplos oi oi a promoção de atividades do controlador ea proteção em relação ao titular de dados do exercício de seus direitos ou para a prestação de serviços que sejam benéficos ao titular não existe uma regra das situações onde a cabível legítimo interesse existe bastante discussão em relação a isso inclusive na europa já que também é uma base legal que existe no gt-r na prática costumamos ver a sua utilização para fins de marketing direto prevenir fraudes para garantir a segurança da rede e da

informação no sistema gti e comunicação eu vou fazer um outro vídeo para vocês falando exatamente como cada base legal ela pode ser utilizada e trazendo exemplos práticos de projetos que eu trabalhei muita gente fala que a lgpd em poder ou os titulares por conta dos direitos trazidos no entanto a lgp de apenas deixou claro que os dados pertencem ao titular a quem ele se referem e não as empresas de dentro direitos assegurados pela lgpd temos o direito de acesso aos dados de correção de confirmação da existência do tratamento informação de compartilhamento o titular vai poder

procurar a empresa pelo canal que a empresa disponibilizará para atendimento dessas demandas e questionar quais dados que a empresa trata dele se a empresa trata dados pessoais dele e para que finalidade com que a empresa compartilha ou já compartilhou usados e pedir até uma cópia das informações claro que resguardado o segredo comercial e industrial a lgpd também prevê o direito de eliminação bloqueio dos dados direito de revogar o consentimento fornecido bem como o direito de portabilidade de dados pessoais a outro fornecedor de serviço ou produto o titular de dados pode solicitar que a empresa forneça

os seus dados a um concorrente por exemplo é difícil imaginar isso hoje já que os sistemas das empresas não são interoperáveis no entanto a própria lgpd prevê que a npd poderá determinar padrões para essa portabilidade por fim é importante também mencionar o direito do titular de solicitar a revisão de decisões automatizadas ou seja decisões tomadas unicamente com base em tratamento automatizado de dados pessoais muito utilizado pelas empresas para avaliações de crédito recrutamento e seleção e seguros a lgpd também prever outras mudanças algumas delas obrigatórias e outras consideradas boas práticas que poderão ser levadas em conta

como atenuantes no caso de alguma infração a lgpd estabelece a obrigação para os agentes de tratamento de adotar medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais como controle de acesso prevenção à destruição perda alteração entre outros em relação aos padrões técnicos a npd poderá dispor os mínimos isso considerando a natureza das informações tratadas as características específicas do tratamento e o estado atual da tecnologia também passa a ser obrigatório o registro de toda e qualquer operação de tratamento desde a coleta até a exclusão o início de um programa de adequação inicia com

mapeamento dos dados pessoais que é exatamente conhecer o ciclo dos dados pessoais na organização a partir daí é necessário manter o documento sempre atualizado para o cumprimento dessa obrigação outra novidade é que os dados pessoais deverão ser eliminados após o término do tratamento essa é bem distante da realidade de grande parte das empresas no brasil as empresas geralmente só exclui dados quando acontece alguma falha ea informação é perdida existem casos em que é permitido manter o dado após o término do tratamento como por exemplo para cumprimento de uma obrigação legal pelo controlador é muito comum

e guardar em dados dias funcionários para cumprir a legislação trabalhista por exemplo a lgpd também obriga o controlador comunicar a npd e aos titulares de dados a ocorrência de incidentes de segurança da informação que possam acarretar em risco ou dano relevante os titulares de dados pessoais ainda não temos uma previsão na lei a respeito do prazo que deverá ser definido pela ele perder na europa só para dar um parâmetro esse prazo de 72 horas a depender da gravidade do incidente ainda perder poderá determinar também a divulgação em meios de comunicação para transferência internacional de dados

a lgpd prevê diversas hipóteses em que poderá ser realizada a transferência pode ser realizada se for para países organizações internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na lgt de outra hipótese é quando o controlador oferecer e comprovar garantias de um dos princípios dos direitos dos titulares e do regime de proteção de dados previsto na lgt de isso por meio de cláusulas contratuais específicas cláusulas-padrão normas corporativas globais selos certificados e códigos de conduta apesar de previstas as hipóteses sobre esse tema muito ainda depende de uma ação da npd ela deverá avaliar

o nível de proteção dos países ou organismos internacionais e também definir cláusulas-padrão e verificar cláusulas contratuais específicas por exemplo na prática as empresas têm utilizado as normas corporativas globais ou cláusulas-padrão nos termos do que já foi aprovado e utilizado pelas autoridades de proteção de dados da europa até que tenhamos uma posição da npd no futuro além disso a energia perder também estabelece regras específicas para o tratamento de dados de crianças e adolescentes no caso de crianças a família deverá ser realizado mediante consentimento específico e destacado de um dos pais ou responsável legal com exceção para

os casos em que seja necessário contatar os pais ou responsável legal por fim a eles defendem sentido os controladores e operadores a formularem regras de boas práticas e de governança relacionadas ao tratamento de dados não é obrigatório mas para manter a estrutura de privacidade e proteção de dados fica praticamente impossível sem ter políticas normas e procedimentos em relação as funções lgpd prevê sanções administrativas que poderão ser aplicadas pela np de tais como advertência multa de até dois por cento do faturamento limitado a 50 milhões de reais por infração e até mesmo a suspensão parcial ou

total de atividades relacionadas ao tratamento dos dados além das funções é importante lembrar que o titular também pode ajuizar uma ação contra a empresa o juíz operacionais e reputacionais you