O que é Gestão do Programa de Privacidade?

A gestão do programa de privacidade combina diferentes projetos dentro de um framework e ciclo de vida, garantindo que uma organização proteja adequadamente as informações pessoais e cumpra as leis de privacidade, como a LGPD (Lei Geral de Proteção de Dados). Um programa bem estruturado não apenas assegura a conformidade regulatória, mas também aumenta a confiança de consumidores e parceiros. Ele é baseado em quatro pilares fundamentais: avaliar, proteger, manter e responder.

Avaliar: Diagnóstico e Identificação de Lacunas

A primeira fase do ciclo de vida operacional da gestão do programa de privacidade é a avaliação, onde é realizada uma análise profunda das práticas atuais de privacidade em comparação com as melhores práticas do setor, políticas corporativas e regulamentações aplicáveis (como a LGPD, GDPR ou CCPA). O objetivo é identificar lacunas que possam comprometer a proteção dos dados pessoais ou a conformidade legal da organização.

Nesta etapa, é recomendável utilizar frameworks como o Modelo de Maturidade de Privacidade da AICPA/CICA ou os Generally Accepted Privacy Principles (GAPP), que ajudam a medir o estágio de maturidade de privacidade da organização. Além disso, um conceito importante a ser aplicado desde essa fase é o Privacy by Design, que garante que a privacidade seja integrada ao design de produtos e processos desde o início, em vez de ser um acréscimo posterior.

Uma avaliação eficiente envolve:

• Gerenciamento: Avaliar as práticas de gestão de privacidade e segurança;
• Comunicação: Revisar como as informações sobre privacidade são comunicadas internamente e externamente;
• Consentimento: Analisar as formas de obtenção e registro do consentimento dos titulares;
• Coleta, uso, retenção e descarte de dados: Identificar como os dados são coletados, utilizados, armazenados e descartados;
• Acesso e compartilhamento: Avaliar quem tem acesso aos dados e como são compartilhados com terceiros;
• Segurança: Avaliar as medidas de proteção de dados existentes.
• Qualidade dos dados: Garantir que os dados mantidos sejam íntegros.
• Monitoramento e fiscalização: Verificar a existência de práticas contínuas de fiscalização e auditoria.

Proteger: Implementação de Medidas de Segurança e Privacidade

Após a avaliação, entra-se na fase de proteção, onde são implementados os controles necessários para corrigir as lacunas identificadas. Este é o momento de aplicar políticas e práticas de privacidade alinhadas com os princípios das leis de privacidades e proteção de dados, que é assegurada, em larga escala, pela segurança da informação.

Entre os principais controles relacionados à segurança da informação e cibersegurança, destacam-se aqueles abordados em frameworks amplamente reconhecidos, como:

• Controles CIS (Center for Internet Security): Um conjunto de controles práticos e acionáveis que ajudam a mitigar os riscos cibernéticos, priorizando as melhores práticas de segurança.
• Família ISO 27001: Um padrão internacional que estabelece os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI), garantindo a proteção de informações sensíveis.
• NIST (National Institute of Standards and Technology): Um framework abrangente que fornece diretrizes e controles para proteger infraestruturas de tecnologia da informação e gerenciar riscos de cibersegurança.

Esses frameworks servem como referência para implementar e fortalecer as práticas de segurança da informação nas organizações e aparatam qualquer programa de governança em privacidade. Ressalte-se que essas práticas devem ser dinâmicas e adaptáveis às necessidades e riscos específicos da organização.

Manter: Monitoramento Contínuo e Auditorias Regulares

Manter um programa de privacidade eficaz requer monitoramento contínuo e auditorias periódicas para garantir que as medidas adotadas estejam sendo seguidas corretamente. Esta é a terceira fase do ciclo de vida da privacidade, chamada de manter, e envolve a supervisão ativa dos processos para assegurar a conformidade e a eficácia das políticas de privacidade.

O monitoramento inclui:

• Realizar auditorias internas e externas para identificar possíveis áreas de melhoria;
• Revisar e atualizar as políticas de privacidade à medida que novas leis e regulamentos surgem;
• Monitorar incidentes de segurança e garantir que as medidas corretivas sejam aplicadas.

Aqui, a gestão de riscos se torna crucial. É necessário definir claramente as funções e responsabilidades das equipes envolvidas (privacidade, auditoria, segurança da informação e compliance) e estabelecer canais de comunicação eficientes para a rápida identificação e resolução de problemas.

Responder: Tratamento de Incidentes e Solicitações de Titulares

Por fim, a fase de responder envolve a preparação para responder a incidentes de privacidade e solicitações de titulares de dados. É vital que a organização tenha um plano de resposta a incidentes robusto, que inclua:

• Ação imediata em caso de violações de dados.
• Comunicação com reguladores e titulares afetados.
• Implementação de melhorias para prevenir recorrências.

Na LGPD, o direito dos titulares de dados, como acesso, correção e exclusão de informações, é central. Assim, é fundamental que a organização tenha um processo bem estruturado para responder a essas solicitações em tempo hábil, conforme exigido pela lei. Além disso, a resposta a incidentes deve estar alinhada ao plano de resposta a incidentes, que precisa ser integrado ao programa de privacidade da organização.

Por que Implementar um Programa de Privacidade?

Implementar um programa de privacidade bem estruturado vai além de cumprir exigências regulatórias. Ele traz uma série de benefícios estratégicos que fortalecem a competitividade e a reputação da organização. Entre os principais motivos para adotar um programa de privacidade estão:

1. Melhoria na Marca e Confiança do Público

A gestão responsável dos dados pessoais constrói confiança com clientes, colaboradores e parceiros. Quando uma organização demonstra compromisso com a privacidade, ela se destaca como ética e confiável, o que aumenta a lealdade e a retenção de clientes.

2. Cumprimento das Obrigações Regulatórias

Com a crescente implementação de leis de proteção de dados no mundo (LGPD, GDPR, CCPA), o não cumprimento dessas regulamentações pode resultar em multas pesadas e sanções que comprometem tanto financeiramente quanto reputacionalmente a organização. Um programa de privacidade ajuda a evitar esses riscos.

3. Práticas Éticas de Tratamento de Dados

Empresas que tratam os dados pessoais de forma transparente e responsável estabelecem um padrão ético no mercado. Isso cria uma cultura interna de respeito pela privacidade e promove boas práticas, que acabam influenciando toda a cadeia de fornecedores e parceiros.

4. Possibilidade de Expansão Global

Empresas que operam globalmente ou que desejam expandir para outros países precisam aderir a diferentes regulamentações de privacidade. Um programa de privacidade estruturado permite que a organização opere de forma mais ágil e segura em ambientes regulatórios diversos, facilitando processos como fusões, aquisições e parcerias internacionais.

5. Prevenção e Mitigação de Violações de Dados

As violações de dados não apenas resultam em sanções regulatórias, mas também afetam a reputação e a confiança no mercado. Um programa de privacidade bem implementado minimiza a probabilidade de tais incidentes, e, caso ocorram, garante uma resposta rápida e eficaz.

6. Diferencial Competitivo

Privacidade é um ativo estratégico no mercado atual. Empresas que se destacam por sua capacidade de proteger dados pessoais ganham vantagem competitiva. Clientes e parceiros preferem trabalhar com organizações que demonstram responsabilidade e transparência em relação aos dados.

7. Aumento do Valor e Qualidade dos Dados

Dados bem geridos são um ativo valioso. Um programa de privacidade otimiza o uso de dados, permitindo que sejam tratados de maneira mais eficaz e eficiente. Além disso, promove uma visão de longo prazo sobre a governança de dados e sua utilização estratégica no negócio.

8. Redução do Risco de Ações Legais

A não conformidade com leis de privacidade pode levar a processos judiciais, ações coletivas ou reclamações de consumidores. Um programa de privacidade robusto protege a empresa desses riscos e garante que ela esteja preparada para responder adequadamente a qualquer situação.

9. Boa Cidadania Corporativa

Implementar um programa de privacidade também demonstra uma postura de responsabilidade social. Organizações que respeitam a privacidade e os direitos dos indivíduos promovem um ambiente de negócios mais justo e ético.

10. Integração da Ética de Dados nas Decisões Empresariais

Por fim, a ética de dados precisa ser um componente central na tomada de decisões de uma organização. Um programa de privacidade promove essa visão, garantindo que o uso de dados pessoais seja sempre feito de forma responsável e em conformidade com os valores corporativos e regulamentos.

Conclusão

A gestão do programa de privacidade é essencial para qualquer organização que busca não apenas conformidade regulatória, mas também a construção de um diferencial competitivo, reputação sólida e confiança do público. A implementação de um programa de privacidade eficaz envolve a avaliação, proteção, manutenção e resposta adequadas ao ciclo de vida dos dados pessoais.

Consultores, gerentes e especialistas em privacidade desempenham um papel fundamental na estruturação e manutenção desse programa, ajudando as organizações a navegar com sucesso no complexo cenário da proteção de dados. Ao adotar frameworks como o Privacy by Design e seguir as melhores práticas do setor, sua organização estará bem equipada para enfrentar os desafios da privacidade na era digital.

Para mais informações e referências sobre a LGPD e governança de privacidade, visite o site da Autoridade Nacional de Proteção de Dados (ANPD) e consulte guias práticos e recursos oferecidos por organizações de referência como o IAPP (International Association of Privacy Professionals).

Se você quer descomplicar a jornada rumo à conformidade com a LGPD, conte com a Avinto e suas soluções personalizadas de software, consultoria e documentos para um programa de privacidade robusto e eficiente.

The post Gestão do Programa de Privacidade appeared first on Avinto.

Bases Legais para o Tratamento de Dados pelo Poder Público

Consentimento

No âmbito do Poder Público, a utilização do consentimento como base legal para o tratamento de dados pessoais é limitada. Em muitas situações, o tratamento é necessário para o cumprimento de obrigações legais, não sendo adequado depender do consentimento do titular. No entanto, quando utilizado, deve-se garantir que o titular tenha a possibilidade real de autorizar ou não o tratamento, sem que de sua manifestação de vontade resultem restrições significativas à sua condição jurídica ou ao exercício de direitos fundamentais.

Legítimo Interesse

A aplicação do legítimo interesse no setor público, da mesma forma que ocorre com o consentimento, também é mais limitada. Esta base legal não é apropriada para tratamentos compulsórios ou obrigatórios decorrentes de lei e do exercício de prerrogativas estatais típicas. Contudo, pode ser utilizada quando o tratamento não for compulsório e houver uma ponderação equilibrada entre os interesses do controlador e os direitos dos titulares.

Cumprimento de Obrigação Legal ou Regulatória

Esta base legal é amplamente utilizada pelo Poder Público e aplica-se em dois contextos: normas de conduta e normas de organização. As normas de conduta referem-se a regras que estabelecem comportamentos específicos, em geral
estabelecendo um fato ou uma hipótese legal, com uma possível consequência jurídica em caso de descumprimento (como, por exemplo, a divulgação da agenda de compromissos públicos de autoridades), enquanto as normas de organização estruturam órgãos e entidades públicas, definindo suas competências e atribuições. Estas são parte essencial
do exercício de prerrogativas estatais típicas, uma vez que necessário para viabilizar a própria execução das atribuições, competências e finalidades públicas da entidade ou do órgão público.

O tratamento de dados pessoais no setor público deverá ser realizado “com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”, observando-se o interesse público e o atendimento da finalidade pública do controlador.

Execução de Políticas Públicas

O tratamento de dados pessoais para a execução de políticas públicas é essencial para o funcionamento da administração pública. Esta base legal permite que órgãos e entidades dos três Poderes e entes federativos, inclusive das Cortes de Contas e do Ministério Público, tratem dados com o objetivo de implementar programas e ações governamentais.

O conceito de política pública deve ser interpretado de forma ampla, de modo a abranger qualquer programa ou ação governamental, definido em instrumento formal, isto é, lei, regulamento ou ajuste contratual, cujo conteúdo inclua, em regra, objetivos, metas, prazos e meios de execução.

Princípios do Tratamento de Dados Pessoais pelo Poder Público

Finalidade e Adequação

O tratamento de dados pelo Poder Público deve observar os princípios da finalidade e adequação, garantindo que o tratamento de dados pessoais seja realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

Ainda, no âmbito do setor público, o tratamento de dados pessoais deve atender a uma finalidade pública, que seja:

• Legítima: ou seja, lícita e compatível com o ordenamento jurídico, além de amparada em uma base legal, que autorize o tratamento;
• Específica: de maneira que a partir da finalidade seja possível delimitar o escopo do tratamento e estabelecer as garantias necessárias para a proteção dos dados pessoais;
• Explícita: isto é, expressa de uma maneira clara e precisa; e
• Informada, isto é, disponibilizada em linguagem simples e de fácil compreensão e acesso ao titular dos dados.

Necessidade

A coleta de dados deve ser limitada ao mínimo necessário para a realização dos objetivos públicos. Evitar a coleta indiscriminada é uma medida essencial para proteger os direitos dos titulares.

No que se refere a esse princípio, entidades e órgãos públicos devem verificar se as informações habitualmente coletadas dos cidadãos – como cópias de documentos de identidade ou dados solicitados em formulários padrão – são, de fato, necessárias para as finalidades pretendidas, não sendo aceitável a prática de coleta indiscriminada de dados pessoais, especialmente daqueles para os quais não foi identificada uma finalidade específica e legítima para o tratamento.

Exemplo da aplicação deste princípio ocorre quando se constata que dados como estado civil e endereço residencial de contratantes num processo licitatório não sejam necessários para a identificação dos responsáveis pela contratação e para viabilizar o exercício do controle social sobre a atividade do órgão público. Assim, a fim de limitar o tratamento
ao mínimo necessário para a realização de suas finalidades, o ideal é não coletar esses tipos de dados

Transparência e Livre Acesso

A transparência é um princípio fundamental da LGPD. Órgãos públicos devem assegurar que os titulares tenham acesso fácil e compreensível às informações sobre o tratamento de seus dados pessoais.

Assim, enquanto o princípio da transparência impõe obrigações gerais que requerem uma postura ativa do agente de tratamento, o qual deve disponibilizar as informações exigidas pela lei independentemente de solicitação do titular, o princípio do livre acesso, por sua vez, enfatiza a necessidade de que o agente de tratamento ofereça mecanismos eficazes para que o titular possa solicitar e obter, de forma facilitada e gratuita, determinadas informações sobre o tratamento de seus dados pessoais.

Compartilhamento de Dados Pessoais pelo Poder Público

O compartilhamento de dados pessoais é a operação de tratamento em que órgãos e entidades públicas concedem permissão de acesso ou transferem uma base de dados pessoais a outro ente público ou a entidades privadas, com o objetivo de atender a uma finalidade pública.

Formalização e Registro

O compartilhamento de dados entre entidades públicas deve ser formalizado e devidamente registrado em contratos, convênios ou instrumentos firmados entre as partes ou lastreados em decisões administrativas devidamente expedidas, garantindo a rastreabilidade e a conformidade com a LGPD, em atenção às normas gerais que regem os procedimentos administrativos e, também, em atenção à obrigatoriedade de registro das operações de tratamento.

Objeto e Finalidade

Os dados compartilhados devem ter um objeto claro e uma finalidade específica, com a indicação precisa, por exemplo, de qual iniciativa, ação ou programa será executado ou, ainda, de qual atribuição legal será cumprida mediante o compartilhamento dos dados pessoais, alinhados às competências legais das entidades envolvidas.

Ademais, em qualquer hipótese, deve ser avaliada a compatibilidade entre a finalidade original da coleta e a finalidade do compartilhamento dos dados.

Base Legal

A base legal para o compartilhamento deve ser claramente definida e documentada no ato que autoriza ou formaliza o compartilhamento, assegurando a legalidade do processo.

Duração do Tratamento

É importante que o tratamento de dados pessoais seja um processo com duração definida, inclusive para possibilitar reavaliação periódica do instrumento que autorizou o compartilhamento. Assim, os dados devem ser mantidos apenas pelo período necessário para o cumprimento das finalidades estabelecidas, sendo eliminados após o término desse prazo.

Transparência e Direitos dos Titulares

Os atos que regulamentam e autorizam o compartilhamento de dados pessoais devem prever maneiras de cumprir o princípio da transparência, assegurando a disponibilização de informações claras, precisas e acessíveis aos titulares sobre a realização do compartilhamento e como exercer seus direitos.

Uma prática recomendada é divulgar essas informações nas páginas eletrônicas dos órgãos e entidades responsáveis.

Prevenção e Segurança

Órgãos públicos devem adotar medidas técnicas e administrativas eficazes para garantir a segurança dos dados pessoais, prevenindo acessos não autorizados e outros incidentes de segurança. Tais medidas organizacionais, além de previstas nos atos que regem e autorizam o compartilhamento dos dados, devem ser proporcionais aos riscos às liberdades civis e aos direitos fundamentais dos cidadãos envolvidos no caso concreto.

Outros Requisitos

Além da segurança, devem ser observados requisitos adicionais, como a realização de avaliações de impacto à proteção de dados pessoais, as quais podem auxiliar a motivação da decisão a ser proferida pela autoridade competente e a implementação de boas práticas de governança.

Divulgação de Dados Pessoais pelo Poder Público

O tratamento de dados pessoais pelo Poder Público, incluindo a divulgação pública de dados, deve observar as normas que garantem a proteção integral dos dados pessoais, a autodeterminação informativa e o respeito à privacidade dos titulares durante todo o ciclo do tratamento.

Proteção de Dados Sensíveis

Os dados pessoais sensíveis estão sujeitos a uma proteção jurídica especial. Portanto, é necessário adotar maior cautela ao tratar esses dados, especialmente quando se trata da divulgação de resultados de estudos em saúde pública.

Princípios de Finalidade, Adequação e Necessidade

Os princípios da finalidade, adequação e necessidade impõem limites claros ao tratamento de dados pessoais. As entidades e órgãos públicos devem verificar se as informações coletadas são adequadas e necessárias para os objetivos propostos. A coleta indiscriminada de dados deve ser evitada, preferindo-se a dispensa da coleta ou a eliminação das informações quando não forem essenciais.

Medidas de Mitigação de Risco

Quando a eliminação dos dados não é possível, podem ser adotadas medidas de mitigação de risco, fortalecendo a segurança na divulgação dos dados pessoais e diminuindo o potencial lesivo aos direitos dos titulares. Essas medidas podem ser descritas em um relatório de impacto à proteção de dados pessoais, que inclui a descrição dos processos de tratamento, riscos, salvaguardas e mecanismos de mitigação de risco.

Limitação da Divulgação

Uma possível salvaguarda é a limitação da divulgação aos dados estritamente necessários para alcançar os objetivos legítimos específicos, com a divulgação de remuneração individualizada de servidores públicos sem a apresentação completa de números como o CPF e a matrícula do servidor, por exemplo.

Contexto e Expectativas dos Titulares

O contexto e as expectativas legítimas dos titulares também são relevantes. Um exemplo é a divulgação de informações pessoais dos servidores, a qual se submete ao escrutínio da sociedade como uma decorrência natural do exercício da atividade pública. Conforme decidido pelo STF, “a remuneração dos agentes públicos constitui informação de interesse coletivo ou geral”, aplicando-se o princípio constitucional da publicidade administrativa, que permite o controle da atividade estatal pelos cidadãos, atuenuando-se os riscos pessoais decorrentes da divulgação com a proibição de se revelar o endereço residencial, CPF e RG de cada servidor.

Medidas Técnicas e Administrativas

Em atenção aos princípios de segurança, prevenção, responsabilização e prestação de contas, órgãos e entidades públicas devem adotar medidas técnicas e administrativas eficazes para comprovar a observância das normas de proteção de dados pessoais. Constitui boa prática realizar o tratamento de dados pessoais considerando a natureza, escopo, finalidade, probabilidade e gravidade dos riscos e benefícios decorrentes do tratamento. Sempre que possível, os dados pessoais devem ser pseudonimizados ou anonimizados.

Garantia de Direitos aos Titulares

Finalmente, a transparência no tratamento de dados e a garantia efetiva dos direitos dos titulares são fundamentais para diminuir o uso indevido de dados pessoais. A possibilidade de os titulares apresentarem requerimentos aos órgãos públicos, relatando eventuais violações a seus direitos, pode viabilizar a correção de erros e a implementação de medidas como a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD, por exemplo.

Conclusão

O tratamento de dados pessoais pelo Poder Público é um desafio complexo que requer atenção a diversos aspectos legais e técnicos. Compreender as bases legais, princípios e requisitos de transparência e segurança é fundamental para garantir a conformidade com a LGPD e a proteção dos direitos dos titulares. Utilizar softwares especializados e contar com consultoria de profissionais experientes são passos essenciais para uma gestão eficiente e segura dos dados públicos.

Para mais informações sobre LGPD, recomendamos visitar o site da Autoridade Nacional de Proteção de Dados (ANPD) e acompanhar as atualizações legislativas e orientações específicas.

Referências:

• Lei Geral de Proteção de Dados (LGPD)
• Autoridade Nacional de Proteção de Dados (ANPD)
• Tratamento de Alto Risco
• 3 Fases do Teste de Balanceamento de Legítimo Interesse

The post Tratamento de Dados Pessoais pelo Poder Público appeared first on Avinto.

Análise de Critérios Gerais e Específicos

A análise de um tratamento de alto risco se dá através de critérios gerais e específicos delineados pela LGPD proporcionam um quadro claro para determinar se um determinado tratamento se enquadra como de alto risco. Os critérios gerais englobam o tratamento em larga escala ou o tratamento que possa afetar significativamente os interesses e direitos fundamentais dos titulares. Por sua vez, os critérios específicos incluem o uso de tecnologias emergentes, vigilância de áreas acessíveis ao público, decisões baseadas em tratamento automatizado de dados pessoais e a utilização de dados sensíveis ou de grupos vulneráveis, como crianças, adolescentes e idosos.

Base Conceitual dos Critérios Gerais

A compreensão dos critérios gerais é fundamental para avaliar o risco envolvido no tratamento de dados pessoais. A noção de larga escala e o impacto sobre os interesses e direitos fundamentais dos titulares são pontos-chave nesse contexto. O conceito de larga escala, especialmente, é relevante em várias situações, desde a definição do tratamento de alto risco até a classificação de infrações graves e a avaliação da gravidade de incidentes de segurança.

Análise Quantitativa e Qualitativa

É crucial ressaltar que a determinação do tratamento de alto risco envolve tanto uma análise quantitativa quanto qualitativa. Enquanto a larga escala é avaliada principalmente quantitativamente, levando em conta o número de titulares envolvidos, o impacto significativo sobre os interesses e direitos fundamentais dos titulares é uma avaliação qualitativa. Isso significa considerar o potencial impacto nas liberdades individuais, no exercício de direitos e na ocorrência de danos materiais ou morais.

Critérios Gerais para Tratamento de Alto Risco

Critério Geral 1: Larga Escala

O termo larga escala se primordialmente ao número significativo de titulares envolvidos. De forma complementar, para a caracterização da larga escala podem ser considerados, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.

Número Significativo

Quanto ao número significativo de titulares, a Autoridade Nacional de Proteção de Dados (ANPD) estabeleceu um valor referencial considerando como número significativo e, portanto, em larga escala, qualquer tratamento que envolva o quantitativo mínimo de 2 (dois) milhões de titulares, o que representa aproximadamente 1% da população brasileira.

Larga Escala: Metodologia para Caracterização

A ANPD propõe uma abordagem multicritério para essa análise, levando em consideração diversos elementos práticos e contextuais do tratamento. Neste artigo, serão detalhadas as seis etapas dessa metodologia, visando proporcionar uma compreensão abrangente do processo de avaliação.

 Para acessar a planilha que traz a Metodologia de Alto Risco para Teste da ANPD, basta clicar aqui.

Etapa 1: Determinação do Número de Titulares e seu Peso Associado

Na primeira etapa, é essencial determinar o número de titulares (NT) cujos dados são tratados e atribuir um peso associado a esse valor. A tabela fornecida pela ANPD estabelece diferentes pesos de acordo com faixas específicas de quantidade de titulares. Esses pesos serão somados aos obtidos nas etapas subsequentes para avaliar a caracterização da larga escala.

Etapa 2: Determinação do Volume de Dados Pessoais e seu Peso Associado

Para obter a volume de dados tratados por titular (VDT), realiza-se a soma dos dados pessoais totais tratados e, em seguida, divide-se esse resultado pelo número total de titulares. O peso correspondente a essa divisão, conforme especificado na tabela abaixo, é então somado aos pesos obtidos nas demais etapas para determinar se o tratamento se caracteriza como sendo de larga escala.

Etapa 3: Determinação do Peso Associado à Duração do Tratamento

A terceira etapa envolve a determinação do valor associado ao período de tempo (T) durante o qual os dados dos titulares são tratados. Novamente, a ANPD fornece uma tabela com valores atribuídos a diferentes faixas de duração do tratamento. Esses valores serão somados aos pesos das etapas anteriores para compor o resultado final da análise.

Etapa 4: Determinação da Frequência do Tratamento e seu Peso Associado

É importante considerar a frequência (F) com que os dados pessoais são tratados e atribuir um peso associado a esse quantitativo. A finalidade do tratamento deve justificar a frequência com que o agente de tratamento o realiza. A ANPD disponibiliza uma tabela com valores para diferentes faixas de frequência de tratamento, os quais serão somados aos pesos das etapas anteriores.

Etapa 5: Determinação da Extensão Geográfica do Tratamento

Nesta etapa, avalia-se a extensão geográfica (EG) na qual os dados pessoais são tratados e atribui-se um peso associado a essa dimensão. A ANPD estabelece valores para diferentes faixas de extensão geográfica, desde municipal até internacional. O peso atribuído será somado aos obtidos nas etapas anteriores.

Etapa 6: Definição do Valor Total da Análise de Larga Escala e Tomada de Decisão

Na última etapa, soma-se o valor total da análise de larga escala. Esse valor serve como parâmetro para a tomada de decisão sobre a caracterização do tratamento como de larga escala. A ANPD estabelece um limite mínimo para essa caracterização e sugere avaliação adicional para resultados próximos a esse limite.

Estabeleceu-se como limite máximo para não ser considerado larga escala um resultado inferior a 25. Qualquer resultado que for superior a 25 pontos no somatório, a ANPD sugere que seja considerado como larga escala.
Para resultados do somatório entre 23,5 e 25, a recomendação é que o agente de tratamento avalie o caso concreto para decidir se é larga escala.

Critério Geral 2: Afetar Significativamente Interesses e Direitos Fundamentais

O art. 4º, §2º, da Resolução nº 2/2022 da LGPD enumera exemplos do que pode constituir tal afetação, incluindo a possibilidade de impedir o exercício de direitos, a utilização de serviços ou causar danos materiais ou morais aos titulares. Esses danos podem incluir discriminação, violação à integridade física, direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

É necessário, então, considerar três elementos centrais para caracterização de afetar significativamente os direitos e interesses dos titulares de dados. São eles:

1. impedir o exercício de direitos;
2. impedir a utilização de um serviço; ou
3. puder ocasionar danos materiais ou morais aos titulares, tais como:
   • discriminação;
   • violação à integridade física;
   • ao direito à imagem e à reputação;
   • fraudes financeiras; ou
   • roubo de identidade.

O rol acima não é taxativo, podendo haver outras situações que acarretam danos morais ou materiais além das listadas.

Critérios Específicos para Tratamento de Alto Risco

Uso de Tecnologias Emergentes ou Inovadoras

Tecnologias emergentes são aquelas em desenvolvimento, capazes de alterar ou redefinir modelos de negócio, e com potencial para exercer uma influência substancial sobre a economia. Essas inovações representam avanços práticos com um alto grau de relevância empresarial, destacando-se pelo potencial de crescimento rápido e impacto na sociedade, embora seus riscos ainda não estejam totalmente compreendidos, especialmente no que diz respeito às práticas de privacidade e proteção de dados. Exemplos dessas tecnologias incluem Inteligência Artificial (IA), Sistemas de Reconhecimento Facial e Veículos Autônomos.

Vigilância ou Controle de Zonas Acessíveis ao Público

Esse critério se aplica a situações em que ocorre o tratamento de dados pessoais com o propósito de monitorar ou controlar a presença e movimentação de pessoas em áreas de acesso público, como ruas, praças, estações de metrô, aeroportos, estádios e shopping centers. É importante ressaltar que o uso exclusivo em ambientes domésticos, onde não há captação de imagens dessas áreas mencionadas, não se enquadra nesse critério. Exemplos de ferramentas utilizadas para tal vigilância ou controle incluem câmeras de segurança, drones de monitoramento e dispositivos de rastreamento via GPS.

Decisões Tomadas Unicamente com Base em Tratamento Automatizado de Dados Pessoais

Essas decisões se referem ao uso de sistemas computacionais e algoritmos para realizar operações ou tomar decisões relacionadas a informações pessoais. Isso pode envolver a classificação, avaliação, aprovação ou rejeição de dados pessoais com base em critérios previamente estabelecidos. Assim, esse critério se aplica a situações em que algoritmos ou outras tecnologias são empregados para o tratamento automatizado de dados de forma significativa.

Utilização de Dados Pessoais Sensíveis ou de Dados Pessoais de Crianças, Adolescentes e Idosos

Por fim, a utilização de dados sensíveis ou pertencentes a grupos classificados como vulneráveis requer uma atenção especial. Esse critério específico abrange situações em que são manipulados dados sensíveis ou dados de grupos vulneráveis, como crianças, adolescentes e idosos, exigindo um grau maior de proteção.

Conclusão

Em conclusão, a determinação de um tratamento como de alto risco na LGPD é baseada na combinação de critérios gerais e específicos. Ao atender a um dos critérios gerais e, cumulativamente, a um dos critérios específicos, um tratamento é considerado de alto risco. Portanto, a análise criteriosa desses critérios é essencial para garantir a conformidade com as regulamentações de proteção de dados e para proteger os direitos fundamentais dos titulares de dados. Ao seguir as metodologias de análise e compreender os diferentes elementos envolvidos, as organizações podem garantir uma abordagem responsável e eficaz no tratamento de dados pessoais, promovendo a segurança e a privacidade dos indivíduos.

Para garantir a conformidade de suas atividades com a LGPD, o auxílio de um software especializado em LGPD ou uma consultoria especializada em proteção de dados podem amparar na implementação de um programa de governança em privacidade robusto, contribuindo assim para a proteção dos direitos dos titulares e para a conformidade legal.

The post Tratamento de Alto Risco appeared first on Avinto.

É importante ressaltar que o controlador não deve realizar o tratamento com base na hipótese legal do legítimo interesse caso o teste de balanceamento conclua pela prevalência dos direitos e liberdades fundamentais e legítimas expectativas dos titulares.

Não existe uma abordagem única para o teste de balanceamento. Em algumas circunstâncias, o teste pode ser breve ou simplificado, como nos casos em que é claramente identificada a existência de baixo impacto aos direitos dos titulares. Em outras situações, tal avaliação poderá demandar maior detalhamento e robustez, como, por exemplo, no caso de uso de novas tecnologias baseadas em quantidades massivas de dados pessoais.

3 Fases do Teste de Balanceamento

Fase 1: Finalidade

Nesta fase inicial do teste de balanceamento de legítimo interesse, é fundamental analisar o contexto da realização do tratamento, com foco sobre os benefícios gerados e as finalidades que se pretende alcançar. Para tanto, a primeira providência a ser adotada é a verificação da natureza dos dados pessoais, considerando que o legítimo interesse não é aplicável ao tratamento de dados pessoais sensíveis. Além disso, caso o tratamento envolva dados pessoais de crianças e adolescentes, devem ser adotadas as medidas adequadas visando à observância e à prevalência de seu melhor interesse.

Também nesta fase, é crucial identificar e descrever o interesse que justifica o tratamento, seja do controlador ou de terceiros, avaliando-se a sua legitimidade, sua compatibilidade com o ordenamento jurídico, seu embasamento em situações concretas e sua vinculação a finalidades legítimas, específicas e explícitas.

Fase 2: Necessidade

A segunda fase do teste é fundamentada na LGPD, especialmente no art. 7º, IX, que utiliza a expressão “quando necessário”, e no art. 10, §1º, que estabelece que “quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados”.

Neste ponto, cabe ao controlador identificar se o tratamento baseado no legítimo interesse é realmente necessário para atingir os objetivos definidos na fase anterior, além de estabelecer medidas de minimização do uso de dados para alcançar a finalidade pretendida. É essencial privilegiar formas menos intrusivas para atingir a finalidade, analisando se é possível alcançá-la de uma forma menos onerosa e com menores riscos ao titular.

Fase 3: Balanceamento e Salvaguardas

A terceira e última fase do teste de balanceamento consiste na etapa de realização da ponderação entre os interesses do controlador ou de terceiros e os direitos e liberdades fundamentais do titular. Neste ponto, será necessário avaliar o potencial risco e os impactos sobre os titulares dos dados com base nos interesses e nas finalidades identificados nas fases anteriores, balanceando esses riscos com as salvaguardas a serem adotadas e com o acesso claro e preciso aos titulares acerca das informações relativas ao tratamento de seus dados.

É fundamental adotar a perspectiva do titular nesta fase, garantindo que suas legítimas expectativas, direitos e liberdades fundamentais sejam respeitados. Quando os dados pessoais tratados se referirem a crianças ou adolescentes, também deve-se avaliar a prevalência de seu melhor interesse.

Cabe destacar que a existência de um possível risco ou impacto negativo sobre os titulares dos dados não afasta, por si só, a possibilidade de tratamento dos dados pessoais com base no legítimo interesse. O que a LGPD exige não é o impacto zero, mas sim que eventuais impactos sejam minimizados e levados em consideração na adoção de salvaguardas, garantindo que, no caso concreto, os interesses que justificam a realização do tratamento sejam compatíveis com o respeito aos direitos e às liberdades fundamentais do titular.

Prevenção à Fraude e à Segurança: Teste de Balanceamento

A LGPD autorização para o tratamento de dados sensíveis em prol da prevenção à fraude e segurança do titular, especialmente em processos de identificação e autenticação em sistemas eletrônicos. Embora essa autorização seja específica, sua aplicação requer uma análise semelhante à do legítimo interesse para que assim o controlador garanta que, no caso concreto, os direitos fundamentais do titular sejam protegidos, conforme estabelecido na própria legislação.

Modelo de Teste de Balanceamento de Legítimo Interesse

Para auxiliar os controladores no cumprimento das diretrizes estabelecidas pela LGPD e na realização do teste de balanceamento de legítimo interesse, apresentamos a seguir um modelo que pode ser utilizado e adaptado às necessidades específicas de cada organização:

Este modelo de teste de balanceamento pode ser utilizado como um guia inicial para auxiliar as organizações na avaliação da conformidade da escolha da hipótese de tratamento com a LGPD e na proteção dos direitos dos titulares dos dados. No entanto, é importante ressaltar que cada situação deve ser analisada individualmente, levando em consideração o contexto específico do tratamento de dados e os princípios estabelecidos pela legislação de proteção de dados.

Em resumo, o teste de balanceamento de legítimo interesse na LGPD é uma ferramenta crucial para garantir a conformidade legal e proteger os direitos dos titulares dos dados, promovendo uma cultura de privacidade e segurança da informação no ambiente digital. Ao seguir as diretrizes e as melhores práticas estabelecidas pela legislação, os controladores podem conduzir suas atividades de tratamento de dados de forma ética, transparente e responsável, fortalecendo a confiança dos usuários e contribuindo para o desenvolvimento de uma sociedade digital mais justa e equitativa.

Diante da complexidade e das exigências da LGPD, tanto em termos de conformidade legal quanto de proteção eficaz dos dados pessoais, contar com ferramentas e expertise especializada torna-se essencial para as organizações. Neste contexto, tanto um software especializado em LGPD quanto um consultor com conhecimento profundo da legislação desempenham papéis fundamentais.

Referências

• L13709compilado (planalto.gov.br)
• Guia Orientativo Hipóteses Legais de Tratamento de Dados Pessoais – Legítimo Interesse (www.gov.br)

The post 3 Fases do Teste de Balanceamento de Legítimo Interesse appeared first on Avinto.

A LGPD Autoriza Campanhas de Email Marketing?

Embora a LGPD não proíba explicitamente o email marketing, ela estabelece critérios que as empresas devem seguir para garantir que suas práticas estejam em conformidade com a lei. Isso inclui garantir que os usuários tenham controle sobre seus dados pessoais e que suas informações sejam tratadas de maneira segura e transparente.

Benefícios da Adequação do Email Marketing à LGPD

Adequar as práticas de email marketing à LGPD traz diversos benefícios, incluindo uma melhoria na entregabilidade de emails, uma redução na taxa de descadastro (churn rate) das listas de email e uma base de contatos mais qualificada e engajada.

Geração de Leads e a LGPD

A captação e a nutrição de leads são impactadas pela LGPD, exigindo uma abordagem mais transparente e consentida. Estratégias orgânicas de geração de interesse se tornam essenciais para construir relacionamentos sólidos e transparentes com os usuários, respeitando sua privacidade e protegendo seus dados pessoais.

A tônica se tornou alcançar leads por métodos mais orgânicos de geração de interesse e essa mudança de postura traz consigo a importância de uma abordagem mais autêntica e centrada no consentimento do usuário.

Compra da Base de Leads

Embora a compra de uma base de listas de e-mails direcionados para uma campanha não seja automaticamente considerada uma prática ilegal, o contexto em que essas informações são obtidas e transferidas pode torná-la questionável sob a perspectiva da LGPD. Nesse sentido, é fundamental realizar uma análise cuidadosa antes de adquirir uma lista de e-mails, levantando duas questões cruciais:

1. O terceiro com quem você negociou para obter a base de listas de e-mail pode comprovar que os dados foram obtidos de maneira legal?
2. O titular dos dados tinha conhecimento e consentimento explícito de que seus dados seriam utilizados para venda a terceiros?

É fundamental manter registros detalhados de todas as transações relacionadas à obtenção da lista de e-mails, registrando informações relevantes sobre os envolvidos, datas, métodos de obtenção e origem da lista. Além disso, é recomendável formalizar o acordo por meio de um contrato assinado entre as partes, evidenciando a legitimidade e o consentimento para transferência dos dados.

Mesmo após cumprir todos os requisitos legais, o recomendável é realizar uma análise amostral da lista de e-mails adquirida. Isso envolve verificar se há um número significativo de reclamações ou solicitações de descadastro por parte dos usuários. Um alto volume de rejeições pode não apenas levantar questões legais, mas também indicar uma base de dados imprecisa e pouco eficaz para as estratégias de marketing da empresa.

Quando Pode Enviar Email Marketing?

De acordo com a LGPD, é possível enviar email marketing em duas situações específicas:

1. Para clientes que já mantiveram relacionamento com a empresa, como aqueles que realizaram compras ou contrataram serviços, desde que tenham a opção de escolher por não receber comunicações de marketing.
2. Para pessoas físicas que tenham consentido explicitamente em receber comunicações da empresa, também com a opção de escolher por não receber.

Como Adequar Campanhas de Email Marketing à LGPD?

Para garantir conformidade com a LGPD, é essencial seguir algumas práticas recomendadas:

• Separar os contatos que consentiram daqueles que não consentiram em fazer parte da lista.
• Ser claro e direto ao solicitar o consentimento dos usuários, explicando claramente como suas informações serão utilizadas.
• Manter registros detalhados do consentimento obtido, incluindo data, hora e forma de obtenção.
• Oferecer opções claras de opt-out/revogação do consentimento, garantindo que os usuários possam retirar seu consentimento a qualquer momento.

Ainda, é crucial atentar-se a algumas diretrizes para garantir conformidade com a LGPD e promover uma abordagem transparente e ética no tratamento de dados:

• Certifique-se de que o consentimento obtido durante a coleta do e-mail seja específico para o envio de campanhas de e-mail e newsletters. Os dados não devem ser utilizados para outros fins, como veiculação de anúncios ou formação de perfis, sem o consentimento explícito do usuário.
• Transparência é fundamental. Sua política de privacidade deve comunicar de maneira clara e acessível como os dados do lead serão utilizados, de forma condizente com o consentimento exarado.
• O consentimento deve ser granular e específico. Ofereça aos usuários a possibilidade de escolher os tipos de mensagens ou conteúdos que desejam receber. Caixas de seleção como “Quais conteúdos deseja receber?” ajudam a segmentar melhor os clientes com base em seus interesses, além de estarem alinhadas com as exigências da LGPD.
• Inclua um link de opt-out em seus templates de e-mail, permitindo que os usuários revoguem seu consentimento de assinatura facilmente, caso desejem.
• Minimize a quantidade de dados coletados. Apenas os dados estritamente necessários para alcançar as finalidades pretendidas devem ser solicitados, em conformidade com os princípios da adequação e necessidade da LGPD. Por exemplo, se o objetivo é enviar conteúdo por e-mail, o e-mail muitas vezes é o suficiente, sendo o nome justificável para uma entregada mais personalizada, porém outros dados, como o telefone, já não se mostram pertinentes, por exemplo.
• Evite coletar dados pessoais sensíveis, como informações sobre origem étnica e racial, associação a organizações políticas ou religiosas, dados de saúde, vida sexual ou dados biométricos.

Ao seguir essas orientações, você estará não apenas em conformidade com a LGPD, mas também construindo relacionamentos mais transparentes e confiáveis com seus leads e clientes.

Exemplos de Textos para Formulários de Consentimento

Os formulários de consentimento devem ser claros e informativos, explicando claramente o propósito da coleta de dados e oferecendo opções claras de escolha aos usuários. Alguns exemplos incluem:

• “Assine nossa newsletter para receber atualizações e promoções.”
• “Receba o melhor conteúdo do nosso blog diretamente em sua caixa de entrada.”
• “Inscreva-se para receber informações sobre nossos próximos eventos.”

Exemplos práticos:

Principais Hipóteses de Tratamento Aplicáveis ao Email Marketing

Duas bases legais são especialmente relevantes para o email marketing: consentimento do titular dos dados e legítimo interesse da empresa. É essencial avaliar cada caso para garantir conformidade com a LGPD.

Consentimento

O consentimento deve ser livre, inequívoco e informado, com a opção de escolha clara para o titular dos dados. O titular precisa ter uma verdadeira opção de consentir ou não. É importante garantir que o consentimento seja obtido de forma transparente e que os usuários estejam cientes de como suas informações serão utilizadas.

Ainda, o consentimento deve ser expresso, ou seja, deve partir de uma conduta ativa do usuário e não mero padrão de navegação, por exemplo. Se a opção de autorização já estiver pré-assinalada, por exemplo, ela dificilmente será considerada como válida e eficaz.

Legítimo Interesse

O legítimo interesse é uma base legal importante sob a LGPD, que requer uma cuidadosa ponderação dos direitos e liberdades fundamentais dos titulares de dados e, por isso mesmo, importa em alguns ônus adicionais à instituição que o utilizam. Ao optar por essa base, é essencial considerar se o destinatário esperaria receber a mensagem em questão em situações cotidianas, normalmente por já possuir um relacionamento com a empresa, por exemplo. Além disso, é crucial equilibrar esses interesses legítimos com os direitos individuais dos titulares, lembrando que o legítimo interesse não pode ser utilizado quando há dados pessoais sensíveis.

Um exemplo prático do uso do legítimo interesse é o conceito de adesão flexível, também conhecido como soft opt-in, em campanhas virtuais. Esse modelo envolve uma série de situações de e-mail marketing que atendem a três critérios principais: primeiro, há um relacionamento preexistente entre o responsável pelo tratamento dos dados e o titular; segundo, a estratégia de marketing visa oferecer produtos ou serviços semelhantes aos desejados ou adquiridos anteriormente pelo titular; terceiro, é facilitada a opção de não consentimento, tanto no momento da adesão quanto no recebimento futuro de comunicações da empresa (opt-out).

Essa abordagem visa garantir uma interação transparente e ética com os titulares de dados, promovendo a liberdade de escolha e o respeito à privacidade dos indivíduos. Ao seguir essas diretrizes, as empresas podem utilizar o legítimo interesse de maneira responsável e em conformidade com as exigências legais estabelecidas pela LGPD.

Opt-out, Oposição e Revogação do Consentimento

É importante oferecer opções claras de opt-out e revogação do consentimento, garantindo que os usuários possam retirar seu consentimento a qualquer momento. Isso inclui garantir que os usuários possam facilmente optar por não receber mais comunicações da empresa e que suas informações sejam removidas da lista de contatos, se desejado.

Se a base legal utilizada for o legítimo interesse, essa manifestação pode ser considerada como uma oposição, dependendo do contexto. Em vez de apagar o e-mail, a organização deve apenas sinalizar que aquele endereço está na lista de titulares que não desejam receber mais comunicações. Isso evita erros futuros, já que a exclusão dos dados poderia resultar no envio inadvertido de novos e-mails ao titular.

Outra situação a ser considerada é o pedido de eliminação dos dados. Nesse caso, é importante agir conforme a solicitação do titular, garantindo que seus dados sejam removidos de forma eficaz e segura, em conformidade com os requisitos da LGPD.

Como Adequar uma Base de Leads à LGPD

Para adequar uma base de leads à LGPD, é crucial realizar uma análise meticulosa para compreender e distinguir quais leads possuem uma base legal adequada. Este é um processo que demanda atenção e cautela. É necessário revisar todos os dados e interações com esses leads para identificar quais deles já estão em conformidade com a legislação. É provável que muitos desses contatos se enquadrem nas bases legais de Consentimento, Legítimo Interesse e Contratos.

O legítimo interesse pode ser aplicado aos clientes com os quais você já possui relacionamento estabelecido. Por outro lado, contratos são uma hipótese de tratamento adequada para e-mails transacionais e de negociação. Já para situações como campanhas de venda e marketing, o consentimento é a base legal mais apropriada. Para garantir a conformidade, é fundamental confirmar se os leads desejam continuar recebendo suas comunicações. Uma estratégia eficaz para isso é o Consentimento Retroativo, que consiste no envio de uma campanha de e-mail marketing solicitando o consentimento dos leads para continuar a comunicação. É importante ressaltar que a falta de atualização nesse processo pode resultar em uma violação da LGPD. Portanto, é recomendável perguntar explicitamente aos leads se desejam permanecer em sua base de dados e deixar claro o propósito do envio de e-mails.

Ao seguir essas diretrizes, não apenas você estará em conformidade com a legislação de proteção de dados, mas também estabelecerá uma relação de confiança e transparência com seus leads, fortalecendo sua estratégia de marketing.

Referências

• Lei Geral de Proteção de Dados Pessoais (planalto.gov.br)
• Guia de Proteção de Dados Pessoais – Marketing (fgv.br)

The post LGPD e Email Marketing: Estratégias para Adequação appeared first on Avinto.

O que é uma Base Legal para Tratamento de Dados Pessoais?

As bases legais, conforme definido pela LGPD, são os fundamentos jurídicos que legitimam o tratamento de dados pessoais. Elas estabelecem as condições sob as quais as organizações podem coletar, armazenar e utilizar essas informações.

12 Bases Legais da LGPD

1. Consentimento

O consentimento é uma manifestação livre, informada e inequívoca do titular dos dados, concordando com o tratamento para uma finalidade específica. Assim, a autorização do titular deve ser intencional e ele deve saber exatamente para que fim seus dados serão tratados, sendo vedada a autorização tácita e para finalidades genéricas.
No caso de consentimento para o tratamento de dados pessoais sensíveis é vital que o mesmo seja explícito, destacado e relacionado à finalidades específicas.
Além disso, o consentimento pressupõe uma escolha efetiva entre autorizar e recusar o tratamento dos dados pessoais, incluindo a possibilidade de revogar o consentimento a qualquer momento.

Uma pessoa que se inscreve para um evento, tem a opção de fornecer e-mail, caso queira receber informações de outros eventos realizados pela empresa e uma mensagem esclarece que o fornecimento do e-mail é facultativo e a recusa não impede a participação no evento.

Exemplo

2. Cumprimento de Obrigação Legal ou Regulatória

Seguindo com as 12 bases legais da LGPD, quando o tratamento de dados é exigido por lei, como no cumprimento de obrigações trabalhistas, não é necessário obter consentimento dos titulares, uma vez que a legislação prevalece sobre a vontade individual nesses casos.

Tribunal de Justiça trata dados pessoais contidos em documentos em processos. Os dados pessoais em questão se referem, entre outros, as partes, testemunhas e especialistas ouvidos em audiências públicas.

Exemplo

3. Execução de Políticas Públicas

Órgãos e entidades do Poder Executivo, Legislativo e Judiciário, inclusive das Cortes de Contas e do Ministério Público, desde que estejam atuando no exercício de funções administrativas, podem realizar “o tratamento e uso compartilhado de dados necessários à execução de políticas públicas”, estas entendidas como qualquer programa ou ação governamental, definido em lei, regulamento ou ajuste contratual, cujo conteúdo inclui, via de regra, objetivos, metas, prazos e meios de execução.

4. Realização de Estudos por Órgão de Pesquisa

A utilização dessa base legal exige o atendimento a dois requisitos: o primeiro deles refere-se à natureza do agente de tratamento autorizado à realização de pesquisas envolvendo dados pessoais, o qual deve ser enquadrado como órgão de pesquisa, ou seja, órgão ou entidade da administração pública direta ou indireta ou, ainda, pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País.
Pessoas naturais ou pessoas jurídicas de direito privado com fins lucrativos que atuam como controlador ou operador podem realizar tratamento de dados pessoais para fins de estudos e pesquisa, desde que amparados em outra base legal, a exemplo do consentimento e do legítimo interesse, vedada a utilização deste último no caso de dados pessoais sensíveis.
Além da necessária avaliação da natureza e da finalidade institucional do agente de tratamento, outro requisito que deve ser observado para as operações fundamentadas na base legal em estudo é a garantia, sempre que possível, da anonimização dos dados pessoais.

4.1 Tratamento de dados pessoais para fins acadêmicos

Nas situações em que o tratamento de dados pessoais esteja estritamente vinculado ao exercício da liberdade acadêmica, a aplicação da LGPD é parcialmente derrogada.

5. Execução ou Criação de Contrato

Nas 12 bases legais da LGPD também se tem que o tratamento de dados é legítimo quando necessário para a execução de um contrato do qual o titular seja parte ou para a realização de procedimentos preliminares relacionados a esse contrato.
Desse modo, será legítima a utilização da base legal de execução de contrato sempre que houver a necessidade da manipulação de informações pessoais pelo controlador advinda de uma obrigação contratual em que o titular de dados seja parte ou que este tenha solicitado e que as informações requeridas sejam aquelas necessárias para atingir a finalidade da prestação do serviço solicitado.

Um usuário fornece dados pessoais para um cadastro em e-commerce para a concretização da venda de produto e emissão de nota fiscal eletrônica.

Exemplo

6. Exercício Regular de Direitos

Dados pessoais podem ser tratados para o exercício regular de direitos em processos judiciais, administrativos ou arbitrais, ou seja, para produzir provas e realizar a defesa em processos, garantindo o direito ao contraditório e à ampla defesa.

Uma pessoa teve seu carro atingido por um motorista embriagado e apresenta as filmagens e fotos do condutor responsável com os documentos que instruem a petição inicial de um processo de indenização.

Exemplo

7. Proteção da Vida ou da Incolumidade Física

É permitido o tratamento de dados para proteger a vida ou a integridade física do titular ou de terceiros.

Uma pessoa sofre um acidente nas dependências de uma empresa e se encontra impossibilitada de chamar uma ambulância ou se comunicar com a família.

Exemplo

8. Tutela da Saúde

O tratamento de dados é permitido exclusivamente para a tutela da saúde, em procedimentos realizados por profissionais de saúde ou autoridades sanitárias.

9. Legítimo Interesse

O legítimo interesse permite o tratamento de dados pessoais não sensíveis quando necessário para atender a interesses legítimos do controlador ou de terceiros, desde que não prevaleçam os direitos e liberdades fundamentais do titular.
A aplicação do legítimo interesse requer um teste de balanceamento, no qual os interesses do controlador ou de terceiros são ponderados em relação aos direitos e legítimas expectativas dos titulares.
O interesse legítimo deve atender três condições: i) compatibilidade com a legislação, ii) ter lastro em situações concretas e iii) ser vinculado à finalidades legítimas, específicas e explícitas.

Uma empresa realiza o tratamento de dados pessoais de seus funcionários visando a garantir a segurança dos sistemas de informação utilizados para viabilizar a autenticação de usuários e prevenir que softwares maliciosos possam criar vulnerabilidades na rede interna.

Exemplo

10. Proteção do Crédito

Essa hipótese legal pede uma interpretação restritiva e pode ser utilizada quando as atividades de tratamento visem a melhorar a análise de risco em situações em que o controlador deseja avaliar a capacidade de o titular honrar os compromissos financeiros que assume por ocasião de um contrato.

Um controlador do setor financeiro e de telecomunicações estaria autorizado a compartilhar dados pessoais com outros agentes de tratamento com base nessa hipótese legal apenas quando necessário para análise de risco de inadimplência do titular de dados pessoais.

Exemplo

11. Prevenção à Fraude

Essa base legal é direcionada aos processos de identificação e autenticação de cadastro dos titulares dos dados em sistemas eletrônicos, utilizada especificamente para o tratamento de dados pessoais sensíveis.

Uma empresa pode dispensar o consentimento dos titulares para tratar dados biométricos visando a confirmar se um funcionário é autorizado a entrar em área de acesso restrito da organização.

Exemplo

12. Dados Pessoais Sensíveis e Transferência Internacional de Dados

As bases legais para o tratamento de dados pessoais sensíveis estão previstas no art. 11 da LGPD. Já no caso de transferência internacional de dados pessoais, é necessário atender às hipóteses legais indicadas no art. 33.

Escolhendo a Base Legal Adequada

Não há uma base legal superior; a escolha depende do contexto e das necessidades específicas de cada tratamento. Considerações como a finalidade da atividade e o tipo de dados envolvidos são essenciais para determinar a base legal mais apropriada.

Em suma, a LGPD estabelece um conjunto robusto de bases legais para garantir que o tratamento de dados pessoais seja feito de maneira ética, transparente e legalmente sólida. Um bom software LGPD e profissionais capacitados podem sempre facilitar sua jornada nesta escolha. Ao seguir as disposições da lei e compreender as nuances de cada base legal, as organizações podem proteger os direitos dos titulares de dados e fortalecer a confiança em suas práticas de tratamento de dados.

Referências:

• Lei Geral de Proteção de Dados Pessoais
• ANPD – Guia Orientativo Tratamento de Dados Pessoais pelo Poder Público

The post 12 Bases Legais da LGPD: Entenda suas Aplicações appeared first on Avinto.

O que são Termos de Uso?

Os Termos de Uso são um conjunto de regras e condições que regulam a relação entre usuários e prestadores de serviços online. Ao aceitar esses termos, o usuário concorda em seguir as diretrizes estabelecidas, criando uma base legal para a interação.

Qual sua importância?

Os Termos de Uso são mais do que meros documentos legais; são contratos que definem direitos, obrigações e condições de uso de determinado serviço executado por uma empresa ou organização. Ao estabelecer claramente as regras do jogo, esses termos protegem tanto o usuário quanto o provedor de serviços, promovendo transparência e confiança.

Guia de Elaboração dos Termos de Uso

Para garantir uma ampla acessibilidade às informações, é imperativo que o Termo de Uso atenda aos seguintes critérios:

• Utilize uma linguagem acessível, clara e simples, facilitando a compreensão por parte dos usuários.
• Forneça informações precisas sobre as funcionalidades oferecidas aos usuários do serviço, bem como os requisitos necessários para acessá-las.
• Mantenha-se constantemente atualizado para refletir com precisão as práticas e políticas em vigor.
• Estabeleça um canal pelo qual os usuários possam expressar suas opiniões ou manifestações em relação à prestação do serviço.

A consulta jurídica é fundamental ao longo do processo de elaboração. Isso garante a conformidade das cláusulas presentes no Termo de Uso com as legislações em vigor, bem como a validade jurídica de todo o documento.

Cláusulas Essenciais

1. Aceitação, Concordância ou Ciência do Termo de Uso

Esta cláusula informa ao usuário, que a utilização do serviço está condicionada à aceitação com os Termos de Uso. Esclarecer esse ponto é crucial para garantir que as condições sejam reconhecidas e aceitas.

A aceitação ou concordância envolve a manifestação de anuência clara do usuário do serviço de forma favorável às cláusulas presentes no Termo de Uso, previamente à utilização do serviço.

1.2 Definições do Termo de Uso

Incluir uma seção de definições esclarece termos e jargões específicos, eliminando ambiguidades e proporcionando uma compreensão mais clara do documento a todos que utilizam o serviço. Exemplos de definições:

• Internet: o sistema constituído do conjunto de protocolos lógicos, estruturado em escala mundial para uso público e irrestrito, com a finalidade de possibilitar a comunicação de dados entre terminais por meio de diferentes redes;
• Sites e aplicativos: sites e aplicativos por meio dos quais o usuário acessa os serviços e os conteúdos disponibilizados;
• Terceiro: pessoa ou entidade que não participa diretamente em um contrato, em um ato jurídico ou em um negócio, ou que, para além das partes envolvidas, pode ter interesse num processo jurídico;
• Usuários: todas as pessoas naturais que utilizarem o serviço.

1.3 Arcabouço Legal

Referenciar leis relevantes, como a Lei Geral de Proteção de Dados (LGPD), bem como aquelas nas quais o serviço se ampara, assegura que o serviço esteja em conformidade com regulamentações importantes, fortalecendo a credibilidade e a segurança.

1.4 Descrição do serviço

Esta seção delimita claramente os serviços oferecidos (descrição de sua finalidade, forma de utilização e requisitos mínimos, quando aplicáveis), evitando mal-entendidos, ambiguidades e garantindo que os usuários saibam o que esperar.

1.5 Direitos do usuário do serviço

Enumerar os direitos do usuário, como privacidade e segurança, reforça o compromisso do provedor com uma experiência positiva.

1.6 Responsabilidades do usuário e da do fornecedor de serviços

Detalhar claramente as responsabilidades de ambas as partes ajuda a evitar conflitos. Isso inclui subseções sobre responsabilidades específicas:

– Responsabilidades do usuário

Esclarecer como os usuários devem interagir com o serviço, respeitando regras e normas estabelecidas.

A título exemplificativo, são deveres do usuário do serviço:

• Apresentar informações verdadeiras e se responsabilizar pelas possíveis consequências de erros e omissões;
• Obedecer às regras estabelecidas nos Termos e Políticas;
• Manter o sigilo das suas credenciais de acesso, que devem ser pessoais e intransferíveis;
• Responsabilizar-se por possíveis aplicativos de terceiros que possam fazer o uso de dados pessoais em seus dispositivos;
• Responsabilizar-se pela segurança do dispositivo pelo qual é realizado o acesso ao serviço;
• Reparar danos diretos e indiretos que sejam causados ao fornecedor de serviços e a terceiros pelo mal uso do serviço.

– Responsabilidades do fornecedor de serviços

Definir as obrigações da plataforma, como garantir a disponibilidade, segurança, manutenção adequada dos serviços e até mesmo suporte.

1.7 Direitos Autorais e Propriedade Intelectual

Nos Termos de Uso, faz-se crucial abordar questões relacionadas aos direitos autorais e à propriedade intelectual, tanto para impossibilitar o uso da tecnologia desenvolvida pela empresa por terceiros não autorizados, quanto para estabelecer clareza sobre a utilização, compartilhamento e proteção de conteúdos no serviço.

1.8 Vinculação com a Política de Privacidade

É crucial conectar os Termos de Uso com a Política de Privacidade sempre que o serviço tratar dados pessoais. Tal visa a garantindo uma visão abrangente das práticas de coleta e uso de dados, bem como respeito aos direitos dos usuários.

Exemplo prático: Termos de Uso Nuvemshop

Durante a utilização da Plataforma, certos dados pessoais serão coletados e tratados pela Nuvemshop e/ou por nossos parceiros ("Parceiros"). As regras relacionadas ao tratamento de dados pessoais pela Nuvemshop estão estipuladas na Política de Privacidade.

1.9 Mudanças no Termo de Uso

Esta cláusula informa os usuários sobre a possibilidade de alterações nos Termos de Uso, mantendo a transparência e permitindo que os usuários tomem decisões informadas.

1.10 Informações para contato

Fornecer informações de contato facilita a comunicação entre usuário e provedor, promovendo um ambiente aberto e acessível.

1.11 Foro

Especificar o foro jurídico em caso de litígios oferece clareza sobre os procedimentos legais, evitando conflitos desnecessários.

Em conclusão, a elaboração cuidadosa dos Termos de Uso é essencial para construir uma relação sólida entre usuários e provedores de serviços. Ao adotar uma abordagem transparente, em conformidade com regulamentações como a LGPD, você não apenas fortalece a confiança, mas também estabelece uma base sólida para uma experiência digital positiva.

Lembre-se, a transparência é a chave para construir relacionamentos digitais duradouros.

Referências:

• Ministério da Gestão e Inovação em Serviços Púbicos
• Modelo com Orientações para Elaboração
• Lei Geral de Proteção de Dados
• Nuvemshop

The post Termos de Uso appeared first on Avinto.

O que é Transferência Internacional de Dados

A transferência internacional de dados ocorre quando dados pessoais são enviados para países estrangeiros ou organismo internacional do qual o Brasil seja membro. Isso pode incluir a transmissão de dados para filiais, parceiros comerciais, fornecedores ou servidores localizados em território estrangeiro. É importante ressaltar que a LGPD se aplica a qualquer organização que colete, armazene ou processe dados pessoais de residentes brasileiros, independentemente de onde a organização esteja sediada.

Quando é Permitida a Transferência Internacional de Dados Segundo a LGPD

A transferência internacional de dados somente poderá ser realizada para atender a propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

A LGPD prevê, ainda, as situações em que a transferência internacional de dados é permitida:

1. Para países ou organismos internacionais que ofereçam níveis adequados de proteção de dados, alinhados aos padrões da LGPD.
2. Quando houver garantias oferecidas pelo controlador de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados.
3. Quando a transferência necessária para cooperação jurídica internacional entre órgãos públicos ou para execução de política pública .
4. Transferência essencial para proteger a vida ou a integridade física do titular ou terceiros.
5. Mediante autorização da ANPD.
6. Transferência baseada no consentimento específico e destacado do titular, com informação prévia sobre a natureza internacional da operação.
7. Transferência necessária para cumprimento de obrigações legais ou regulatórias, para execução de contrato ou para exercício regular de direitos em processo.

Entender esses cenários é crucial para garantir a conformidade e segurança na manipulação internacional de dados pessoais.

Transferência para Países com Nível de Proteção Diferente do Brasil

Quando a transferência envolve países com níveis de proteção de dados diferentes do Brasil, a LGPD exige que a organização brasileira adote medidas adicionais para garantir a segurança dos dados transferidos. Isso pode incluir a celebração de contratos ou acordos que estabeleçam garantias de proteção adequadas através de cláusulas contratuais específicas, cláusulas-padrão contratuais, normas corporativas globais, selos, certificados ou códigos de conduta regularmente emitidos

Cuidados na Celebração de Contratos e Parcerias com Organizações Estrangeiras

Ao celebrar contratos e parcerias com organizações estrangeiras, é essencial considerar aspectos de proteção de dados. Recomenda-se a inclusão de cláusulas específicas sobre a conformidade com a LGPD e a garantia de que a organização estrangeira adote medidas adequadas de segurança e privacidade dos dados.

Regulamento de Transferências Internacionais de Dados Pessoais

A Autoridade Nacional de Proteção de Dados (ANPD) é responsável por regulamentar as transferências internacionais de dados pessoais. Ela disponibiliza um modelo disponível no Anexo II do Regulamento de cláusulas-padrão contratuais que pode ser adotado pelas organizações para garantir a conformidade com a LGPD ao transferir dados internacionalmente.

Cláusulas-Padrão Contratuais (Data Protection Agreements ou DPAs)

As cláusulas-padrão contratuais, também conhecidas como DPAs, são uma ferramenta fundamental para garantir a conformidade com a LGPD ao transferir dados internacionalmente. Essas cláusulas são modelos predefinidos que estabelecem as obrigações das partes envolvidas na transferência e a proteção dos dados pessoais e estão previstas no Anexo II do Regulamento acima mencionado.

Normas Corporativas Globais (Binding Corporate Rules ou BCRs)

Além das cláusulas-padrão contratuais, as organizações podem considerar a implementação de Normas Corporativas Globais (BCRs). Essas regras internas estabelecem diretrizes globais para o tratamento de dados pessoais, garantindo que as filiais em diferentes países atendam aos padrões de proteção de dados.

Cláusulas Contratuais Específicas

As cláusulas contratuais específicas são instrumentos contratuais personalizados que estabelecem compromissos claros entre o controlador dos dados (na origem) e o destinatário estrangeiro. Essas cláusulas visam garantir que o destinatário adote medidas adequadas de proteção de dados, alinhadas aos princípios e direitos previstos na LGPD. A verificação de tais cláusulas será realizada pela ANPD, nos termos do Regulamento específico.

Casos Práticos

Para ilustrar a importância dessas práticas, consideremos um caso prático: uma empresa brasileira que precisa transferir dados de seus clientes para os servidores de uma empresa localizada nos Estados Unidos. Nesse cenário, a empresa brasileira deve obter o consentimento dos clientes ou utilizar cláusulas-padrão contratuais para garantir a conformidade com a LGPD.

Outros exemplos de transferência internacional de dados são o compartilhamento de base de dados entre empresas do mesmo grupo econômico, armazenamento de dados em data centers localizados no exterior e contratação de provedor de computação em serviço de nuvem.

Conclusão

A transferência internacional de dados é uma realidade para muitas organizações, mas a LGPD estabelece diretrizes rígidas para garantir a proteção dos dados pessoais dos cidadãos brasileiros. É crucial que as empresas estejam cientes das permissões e obrigações estabelecidas pela LGPD ao transferir dados para o exterior. Ao seguir as melhores práticas, como a utilização de cláusulas-padrão contratuais e o modelo da ANPD, as organizações podem cumprir suas obrigações legais e proteger os direitos dos titulares dos dados. Em um mundo cada vez mais conectado, a conformidade com a LGPD na transferência internacional de dados é essencial para manter a confiança dos clientes e evitar possíveis sanções legais.

Referências:

• Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD)
• Autoridade Nacional de Proteção de Dados (ANPD)
• Regulamento de Transferências Internacionais de Dados Pessoais e do modelo de Cláusulas-Padrão Contratuais (ANPD)
• Autoridade Europeia de Proteção de Dados – Regulamento Geral de Proteção de Dados (GDPR)
• Guia de Proteção de Dados Pessoais Transferência Internacional (FGV).

The post LGPD e Transferência Internacional de Dados appeared first on Avinto.

IA e a sua relação com a LGPD – Lei 13.709/2018

A Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais, é a legislação brasileira que estabelece as regras para a coleta, armazenamento e tratamento de dados pessoais. A aplicação da LGPD é ampla e impacta diretamente a forma como a IA é utilizada, uma vez que os algoritmos de IA frequentemente envolvem o tratamento de dados pessoais. A proteção da privacidade e a transparência tornam-se imperativos nesse cenário.

Quais os principais pontos de atenção na intersecção entre a LGPD e Inteligência Artificial?

A LGPD e o direito à explicação nas decisões automatizadas

Um dos principais desafios da integração entre IA e LGPD é garantir o direito à explicação nas decisões automatizadas, conforme previsto no artigo 20 da LGPD. Isso significa que as empresas que utilizam IA devem ser capazes de explicar de forma clara e compreensível como as decisões foram tomadas, especialmente quando essas decisões afetam os direitos e liberdades do usuário.

Reconhecimento facial: até onde transita a privacidade do usuário?

O uso de reconhecimento facial é um tópico controverso quando se trata de privacidade. A LGPD impõe limitações estritas ao tratamento de dados biométricos e a utilização de reconhecimento facial pode ser considerada uma prática sensível. Portanto, é crucial obter o consentimento explícito dos usuários e garantir a segurança e a privacidade desses dados.

LGPD, a inteligência artificial e a proteção da pessoa humana

A LGPD coloca a proteção da pessoa humana no centro de suas preocupações. A IA deve ser usada de maneira a respeitar a dignidade, os direitos e as liberdades dos indivíduos. Além disso, é fundamental evitar o uso de algoritmos que perpetuem discriminações e preconceitos.

Dicas para adequação à LGPD

Aqui estão algumas dicas para as empresas e desenvolvedores que desejam conciliar a IA com a LGPD de forma apropriada:

1. Privacy by Design

Integre a privacidade desde o início do desenvolvimento da IA. Isso significa que a proteção de dados deve ser considerada em todas as fases do ciclo de vida do projeto de desenvolvimento de uma tecnologia.

2. Treinamentos

Capacite sua equipe em relação à LGPD e aos princípios da privacidade. Um entendimento sólido inclusive no que tange ao impacto aos próprios desenvolvedores e equipe é fundamental para garantir a conformidade.

3. Licitude dos Dados

Certifique-se de que os dados coletados e processados sejam obtidos de forma lícita e com o consentimento adequado. Respeitar a finalidade para a qual os dados foram coletados é fundamental.

4. Anonimização e Pseudoanonimização

Utilize técnicas de anonimização ou pseudoanonimização para minimizar o risco de identificação dos indivíduos a partir dos dados. Isso pode ajudar a reduzir a sensibilidade dos dados e os riscos associados.

5. Minimização de dados

Colete apenas os dados estritamente necessários para a finalidade desejada. A coleta excessiva de informações pessoais deve ser evitada.

6. Testes para evitar tratamentos discriminatórios

Realize testes rigorosos para identificar e corrigir qualquer viés ou discriminação nos algoritmos de IA, a fim de garantir que as decisões automatizadas sejam justas e imparciais.

7. Medidas para redução do enviesamento do algoritmo

Desenvolva algoritmos que sejam transparentes e que possam ser auditados. Monitorar e mitigar o enviesamento é essencial para garantir a justiça das decisões automatizadas.

Em resumo, a IA e a LGPD podem ser conciliadas desde que haja uma abordagem cuidadosa e responsável. A proteção da privacidade e a transparência devem ser prioridades em todos os projetos envolvendo IA e dados pessoais. Cumprir com a LGPD não apenas garante a conformidade legal, mas também constrói a confiança dos usuários e contribui para o desenvolvimento ético da IA.

Para informações detalhadas sobre a LGPD, você pode consultar o site oficial da Autoridade Nacional de Proteção de Dados (ANPD) e para atualizações sobre a IA e seus impactos na sociedade, o MIT Technology Review é uma excelente fonte de referência. Em caso de dúvidas, procure um profissional especializado.

The post LGPD e Inteligência Artificial appeared first on Avinto.

Entendendo a LGPD

A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, é a legislação brasileira que visa proteger a privacidade e a segurança dos dados pessoais. Ela entrou em vigor em setembro de 2020 e se aplica a todas as organizações que coletam, processam ou armazenam dados pessoais de cidadãos brasileiros. A LGPD foi criada com o objetivo de dar aos cidadãos o controle sobre seus próprios dados, bem como estabelecer regras rígidas para as empresas que lidam com esses dados.

Introdução à Conformidade com a LGPD

Para garantir a adequação à LGPD, as organizações precisam tomar medidas específicas. A conformidade não é apenas uma questão de evitar penalidades financeiras, mas também de construir a confiança dos clientes e demonstrar responsabilidade corporativa. A seguir, exploramos os princípios fundamentais da conformidade com a LGPD.

Princípios Fundamentais da Adequação à LGPD

A adequação à LGPD é baseada em alguns princípios-chave:

1. Finalidade: Os dados pessoais devem ser coletados para finalidades específicas, legítimas e informadas aos titulares.
2. Adequação: Deve haver compatibilidade do tratamento com as finalidades informadas ao titular.
3. Necessidade: Deve haver uma necessidade legítima para o tratamento dos dados pessoais, evitando a coleta excessiva de informações.
4. Livre Acesso: A consulta dos titulares sobre a forma e duração do tratamento deve ser fácil e gratuita.
5. Transparência: As organizações devem ser transparentes quanto ao tratamento de dados, informando os titulares de forma clara, precisa e fácil sobre como suas informações serão usadas.
6. Segurança: Medidas de segurança adequadas devem ser implementadas para proteger os dados pessoais contra acesso não autorizado e vazamentos.
7. Não Discriminação: O tratamento de dados pessoais não pode ser utilizado para fins discriminatórios, ilícitos ou abusivos.

Principais Passos para a Adequação à LGPD

Comprometimento da Alta Gestão

O primeiro passo é o comprometimento da alta gestão. É essencial que a liderança da organização esteja alinhada com os princípios da LGPD e entenda a importância de sua implementação, apoiando as práticas necessárias para o compliance, como, por exemplo:

• Analisar e priorizar as ações mais urgentes.
• Projetar ou refinar uma estratégia de privacidade.
• Guiar o estabelecimento da cultura de proteção de dados na instituição.

Criação de Comitê de Privacidade e Nomeação de DPO

A formação de um Comitê de Privacidade é crucial, uma vez que esse comitê será responsável por supervisionar a implantação e conformidade com a LGPD. Além disso, é necessário nomear um Encarregado de Proteção de Dados (DPO), uma figura-chave para garantir a observância da lei, uma vez que é o ponto focal de interlocução entre o titular dos dados, a Autoridade Nacional de Proteção de Dados (ANPD) e os agentes de tratamento.

Avaliação das Atividades de Tratamento de Dados da Organização e Fundamentos Legais

A organização deve realizar um mapeamento minucioso de suas atividades de tratamento de dados. Isso envolve identificar quais dados são coletados, como são processados, até mesmo como são descartados e com base em quais fundamentos legais. Nessa etapa, de alta importância a correta documentação e avaliação das seguintes informações:

• Agentes de tratamento
• Finalidade
• Dados pessoais tratados
• Categorias dos titulares dos dados pessoais
• Compartilhamento dados pessoais
• Encarregado
• Bases legais para tratamento
• Tempo de retenção
• Transferência internacional

Fazer download planilha de mapeamento de dados (modelo para registro das atividades de tratamento) clicando aqui.

Implementação de Medidas e Políticas de Proteção de Dados

Com base na análise anterior, é essencial implementar medidas técnicas de segurança da informação (como por exemplo, controles de acesso, segurança dos dados pessoais armazenados, segurança das comunicações) e políticas necessárias à proteção de dados. Isso inclui política de privacidade, política de segurança da informação, protocolos de criptografia e outras salvaguardas.

Avaliação dos Riscos e Impactos na Privacidade e Proteção de Dados

As organizações também devem conduzir avaliações de impacto à privacidade (Relatório de Impacto à Proteção de Dados Pessoais – RIPD ou DPIAs) para descrever os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Isso é fundamental para garantir a segurança dos dados.

Adequação de Contratos, Obtenção de Consentimento e Gerenciamento dos Direitos dos Titulares de Dados

Os contratos com terceiros que têm acesso aos dados pessoais devem ser revisados e atualizados para garantir a conformidade com a LGPD. Deverá ser avaliada a necessidade de novas cláusulas conforme os princípios da LGPD:

• Responsabilidades do controlador e operador;
• Forma da coleta e o tratamento de dados;
• Forma de armazenamento de dados;
• Garantia dos direitos dos titulares;
• O detalhamento de quem tem acesso aos dados, o responsável por seu uso e tratamento;
• As particularidades de possíveis auditorias;
• As medidas de proteção e segurança dos dados tratados pela contratada.

Além disso, obter o consentimento dos titulares de dados é uma prática obrigatória para os tratamentos cuja base legal seja o consentimento, conforme identificado durante o mapeamento.

Garantia da Segurança dos Dados e Notificação de Violações

As empresas devem investir na segurança dos dados, adotando tecnologias e práticas que protejam as informações pessoais. Além disso, em caso de violações de dados, a LGPD exige a notificação imediata às autoridades e aos titulares dos dados afetados.

Treinamento e Educação dos Colaboradores

A conscientização é fundamental. Todos os funcionários devem ser treinados para entender a LGPD e seu papel na proteção dos dados pessoais. O treinamento e a conscientização de colaboradores é o que garante que a privacidade seja implementada desde a concepção de produtos e serviços.

Manutenção da Adequação à LGPD e Monitoramento Contínuo

A conformidade com a LGPD não é um evento único, mas um processo contínuo. É essencial manter-se atualizado com as mudanças na legislação e monitorar constantemente a eficácia das medidas de proteção de dados. A partir da implementação, é que é feita a gestão de incidentes, a análise dos resultados e a demonstração da evolução das ações e
dos resultados obtidos.

Conte com uma Consultoria LGPD

A conformidade com a LGPD pode ser desafiadora, dada a complexidade das regulamentações e a necessidade de adaptação constante. Nesse contexto, contar com uma consultoria especializada em LGPD pode ser uma estratégia inteligente. Fale conosco e veja como podemos ajudar.

Referências:

1. Lei Geral de Proteção de Dados (LGPD)
2. Autoridade Nacional de Proteção de Dados (ANPD)

A adequação à LGPD é uma obrigação legal e uma oportunidade para fortalecer a confiança do público em sua organização. Não apenas assegura a conformidade com a lei, mas também demonstra um compromisso com a proteção da privacidade e a segurança dos dados pessoais. Portanto, inicie sua jornada em direção à conformidade com a LGPD hoje e proteja os dados que você coleta e processa, beneficiando não apenas sua organização, mas também seus clientes e parceiros.

The post Adequação à LGPD: O Caminho da Conformidade appeared first on Avinto.