Quem é o Encarregado pelo Tratamento de Dados Pessoais (DPO)?

O Encarregado pelo Tratamento de Dados Pessoais é o profissional designado pela organização para atuar como ponto de contato entre a empresa, os titulares dos dados e a ANPD. Importante salientar que não é do encarregado a responsabilidade, perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pelo controlador.

Atribuições do Encarregado pelo Tratamento de Dados Pessoais (DPO)

1. Aceitar Reclamações e Comunicações dos Titulares:
   • O encarregado deve receber e responder a reclamações e comunicações dos titulares de dados, prestando os esclarecimentos necessários e tomando as providências cabíveis.
2. Receber Comunicações da ANPD:
   • O encarregado deve receber e responder às comunicações da ANPD, adotando as medidas necessárias para atender às solicitações e fornecer as informações pertinentes.
3. Orientar Funcionários e Contratados:
   • É responsabilidade do encarregado orientar os funcionários e contratados do agente de tratamento sobre as práticas adequadas de proteção de dados pessoais.
4. Executar Outras Atribuições:
   • O encarregado deve executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.

Atribuições Adicionais do Encarregado pelo Tratamento de Dados Pessoais (DPO)

O encarregado deve prestar assistência e orientação ao agente de tratamento nas seguintes áreas:

1. Registro e Comunicação de Incidente de Segurança.
2. Registro das Operações de Tratamento de Dados Pessoais.
3. Relatório de Impacto à Proteção de Dados Pessoais.
4. Supervisão e Mitigação de Riscos.
5. Medidas de Segurança: Técnicas e administrativas para proteger dados pessoais.
6. Políticas Internas: Assegurar o cumprimento da LGPD e regulamentações da ANPD.
7. Instrumentos Contratuais: Relacionados ao tratamento de dados pessoais.
8. Transferências Internacionais de Dados.
9. Regras de Boas Práticas e Governança.
10. Design de Produtos e Serviços: Compatíveis com os princípios da LGPD, incluindo privacidade por padrão e limitação da coleta de dados.
11. Decisões Estratégicas: Relativas ao tratamento de dados pessoais.

Da Indicação do Encarregado pelo Tratamento de Dados Pessoais (DPO)

A indicação do encarregado deve ser formalizada por um documento escrito, datado e assinado pelo agente de tratamento, detalhando suas atividades e formas de atuação. Isso é essencial para assegurar transparência e clareza na designação do encarregado, conforme estabelecido pelo Art. 3º da regulamentação da ANPD. O documento deve estar disponível para apresentação à ANPD quando solicitado.

Qualificações do Encarregado

Embora a LGPD não exija certificações específicas para o encarregado de proteção de dados, é recomendável que ele possua conhecimentos em proteção de dados pessoais, direito digital e segurança da informação. Além disso, habilidades de comunicação e gestão de crises são essenciais para desempenhar adequadamente suas funções.

Ainda, o exercício da atividade de encarregado não pressupõe a inscrição em qualquer entidade de classe ou afins.

O Encarregado e os Agentes de Tratamento

Agentes de Tratamento de Pequeno Porte

Agentes de tratamento de pequeno porte, como microempresas, empresas de pequeno porte e startups, são dispensados da responsabilidade de indicar um encarregado para lidar com a proteção de dados pessoais. Entretanto, tais agentes devem disponibilizar um canal de comunicação com o titular de dados.

De qualquer forma, a nomeação de um encarregado pelo tratamento de dados pessoais representa uma boa prática em termos de medidas organizacionais relativas à um programa de governança em privacidade e pode servir como fator de minoração das sanções aplicadas pela ANPD.

Operadores

Também é facultativa a indicação de encarregado por operadores, isto é, pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador. Entretanto, da mesma forma que ocorre com Agentes de Tratamento de Pequeno Porte, a nomeação de um encarregado pelo tratamento de dados pessoais é considerada política de boas práticas de governança e pode servir como fator de minoração das sanções aplicadas pela ANPD.

Pessoas Jurídicas de Direito Público

No caso de pessoas jurídicas de direito público, a designação do encarregado é obrigatória para garantir a transparência e a conformidade com a LGPD. Esses encarregados têm um papel crucial na implementação e fiscalização das práticas de proteção de dados, sendo responsáveis por atender às demandas dos titulares e da ANPD, devendo recair a indicação, preferencialmente, sobre servidores ou empregados públicos detentores de reputação ilibada.

Da Identidade e das Informações de Contato do Encarregado

A identidade e as informações de contato do encarregado devem ser disponibilizadas publicamente, preferencialmente nos sites das organizações. Se o encarregado for pessoa física, deve-se divulgar o nome completo. Se for pessoa jurídica, a razão social da empresa e o nome completo do responsável devem ser informados. Em ambos os casos, é necessário divulgar os meios de comunicação para que os titulares possam exercer seus direitos e a ANPD possa fazer contato. Isso garante transparência e facilita a comunicação com os titulares de dados pessoais, permitindo-lhes exercer seus direitos garantidos pela LGPD.

A Avinto oferece profissionais experientes para atuarem como DPO as a Service, ajudando empresas a cumprir essas exigências com eficiência e transparência.

Do Conflito de Interesse

É crucial que o encarregado exerça suas funções com independência e sem conflitos de interesse. Isso significa que o encarregado não deve ter outras responsabilidades ou vínculos que possam comprometer sua capacidade de garantir a proteção dos dados pessoais de forma imparcial e eficiente.

Importância do Encarregado pelo Tratamento de Dados Pessoais (DPO) para a Conformidade com a LGPD

A presença de um encarregado bem qualificado é fundamental para garantir que a organização cumpra os requisitos da LGPD. Este profissional atua de forma preventiva, identificando riscos e implementando medidas para mitigar possíveis incidentes de segurança. Ademais, ao promover uma cultura de privacidade, o encarregado ajuda a construir a confiança dos clientes e parceiros, o que pode se traduzir em vantagem competitiva para a empresa.

Conclusão

O encarregado pelo tratamento de dados pessoais (DPO) desempenha um papel vital na conformidade com a LGPD. Sua atuação abrange desde a orientação interna até a comunicação com a ANPD, passando pelo atendimento aos titulares de dados. Para que uma organização esteja realmente em conformidade com a LGPD, a presença de um encarregado bem preparado e proativo é imprescindível.

Ademais, implementar um programa eficaz de governança em privacidade é essencial para cumprir a LGPD e proteger os dados pessoais. Para consultores e empresas de pequeno e médio porte, um bom software de LGPD pode ser uma ferramenta valiosa, simplificando a gestão de dados e garantindo a conformidade com as normas. Além disso, a consultoria especializada pode oferecer orientações e suporte na elaboração e implementação de políticas de privacidade robustas, ajudando as empresas a mitigar riscos e responder adequadamente às demandas regulatórias e dos titulares de dados.

Para mais informações sobre a LGPD e a atuação do encarregado, consulte a Autoridade Nacional de Proteção de Dados (ANPD) e outros sites especializados em proteção de dados.

Fontes:

• Lei Geral de Proteção de Dados – LGPD
• Autoridade Nacional de Proteção de Dados – ANPD
• Documentos e Publicações da ANPD

The post Encarregado pelo Tratamento de Dados Pessoais (DPO) appeared first on Avinto.

Análise de Critérios Gerais e Específicos

A análise de um tratamento de alto risco se dá através de critérios gerais e específicos delineados pela LGPD proporcionam um quadro claro para determinar se um determinado tratamento se enquadra como de alto risco. Os critérios gerais englobam o tratamento em larga escala ou o tratamento que possa afetar significativamente os interesses e direitos fundamentais dos titulares. Por sua vez, os critérios específicos incluem o uso de tecnologias emergentes, vigilância de áreas acessíveis ao público, decisões baseadas em tratamento automatizado de dados pessoais e a utilização de dados sensíveis ou de grupos vulneráveis, como crianças, adolescentes e idosos.

Base Conceitual dos Critérios Gerais

A compreensão dos critérios gerais é fundamental para avaliar o risco envolvido no tratamento de dados pessoais. A noção de larga escala e o impacto sobre os interesses e direitos fundamentais dos titulares são pontos-chave nesse contexto. O conceito de larga escala, especialmente, é relevante em várias situações, desde a definição do tratamento de alto risco até a classificação de infrações graves e a avaliação da gravidade de incidentes de segurança.

Análise Quantitativa e Qualitativa

É crucial ressaltar que a determinação do tratamento de alto risco envolve tanto uma análise quantitativa quanto qualitativa. Enquanto a larga escala é avaliada principalmente quantitativamente, levando em conta o número de titulares envolvidos, o impacto significativo sobre os interesses e direitos fundamentais dos titulares é uma avaliação qualitativa. Isso significa considerar o potencial impacto nas liberdades individuais, no exercício de direitos e na ocorrência de danos materiais ou morais.

Critérios Gerais para Tratamento de Alto Risco

Critério Geral 1: Larga Escala

O termo larga escala se primordialmente ao número significativo de titulares envolvidos. De forma complementar, para a caracterização da larga escala podem ser considerados, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.

Número Significativo

Quanto ao número significativo de titulares, a Autoridade Nacional de Proteção de Dados (ANPD) estabeleceu um valor referencial considerando como número significativo e, portanto, em larga escala, qualquer tratamento que envolva o quantitativo mínimo de 2 (dois) milhões de titulares, o que representa aproximadamente 1% da população brasileira.

Larga Escala: Metodologia para Caracterização

A ANPD propõe uma abordagem multicritério para essa análise, levando em consideração diversos elementos práticos e contextuais do tratamento. Neste artigo, serão detalhadas as seis etapas dessa metodologia, visando proporcionar uma compreensão abrangente do processo de avaliação.

 Para acessar a planilha que traz a Metodologia de Alto Risco para Teste da ANPD, basta clicar aqui.

Etapa 1: Determinação do Número de Titulares e seu Peso Associado

Na primeira etapa, é essencial determinar o número de titulares (NT) cujos dados são tratados e atribuir um peso associado a esse valor. A tabela fornecida pela ANPD estabelece diferentes pesos de acordo com faixas específicas de quantidade de titulares. Esses pesos serão somados aos obtidos nas etapas subsequentes para avaliar a caracterização da larga escala.

Etapa 2: Determinação do Volume de Dados Pessoais e seu Peso Associado

Para obter a volume de dados tratados por titular (VDT), realiza-se a soma dos dados pessoais totais tratados e, em seguida, divide-se esse resultado pelo número total de titulares. O peso correspondente a essa divisão, conforme especificado na tabela abaixo, é então somado aos pesos obtidos nas demais etapas para determinar se o tratamento se caracteriza como sendo de larga escala.

Etapa 3: Determinação do Peso Associado à Duração do Tratamento

A terceira etapa envolve a determinação do valor associado ao período de tempo (T) durante o qual os dados dos titulares são tratados. Novamente, a ANPD fornece uma tabela com valores atribuídos a diferentes faixas de duração do tratamento. Esses valores serão somados aos pesos das etapas anteriores para compor o resultado final da análise.

Etapa 4: Determinação da Frequência do Tratamento e seu Peso Associado

É importante considerar a frequência (F) com que os dados pessoais são tratados e atribuir um peso associado a esse quantitativo. A finalidade do tratamento deve justificar a frequência com que o agente de tratamento o realiza. A ANPD disponibiliza uma tabela com valores para diferentes faixas de frequência de tratamento, os quais serão somados aos pesos das etapas anteriores.

Etapa 5: Determinação da Extensão Geográfica do Tratamento

Nesta etapa, avalia-se a extensão geográfica (EG) na qual os dados pessoais são tratados e atribui-se um peso associado a essa dimensão. A ANPD estabelece valores para diferentes faixas de extensão geográfica, desde municipal até internacional. O peso atribuído será somado aos obtidos nas etapas anteriores.

Etapa 6: Definição do Valor Total da Análise de Larga Escala e Tomada de Decisão

Na última etapa, soma-se o valor total da análise de larga escala. Esse valor serve como parâmetro para a tomada de decisão sobre a caracterização do tratamento como de larga escala. A ANPD estabelece um limite mínimo para essa caracterização e sugere avaliação adicional para resultados próximos a esse limite.

Estabeleceu-se como limite máximo para não ser considerado larga escala um resultado inferior a 25. Qualquer resultado que for superior a 25 pontos no somatório, a ANPD sugere que seja considerado como larga escala.
Para resultados do somatório entre 23,5 e 25, a recomendação é que o agente de tratamento avalie o caso concreto para decidir se é larga escala.

Critério Geral 2: Afetar Significativamente Interesses e Direitos Fundamentais

O art. 4º, §2º, da Resolução nº 2/2022 da LGPD enumera exemplos do que pode constituir tal afetação, incluindo a possibilidade de impedir o exercício de direitos, a utilização de serviços ou causar danos materiais ou morais aos titulares. Esses danos podem incluir discriminação, violação à integridade física, direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

É necessário, então, considerar três elementos centrais para caracterização de afetar significativamente os direitos e interesses dos titulares de dados. São eles:

1. impedir o exercício de direitos;
2. impedir a utilização de um serviço; ou
3. puder ocasionar danos materiais ou morais aos titulares, tais como:
   • discriminação;
   • violação à integridade física;
   • ao direito à imagem e à reputação;
   • fraudes financeiras; ou
   • roubo de identidade.

O rol acima não é taxativo, podendo haver outras situações que acarretam danos morais ou materiais além das listadas.

Critérios Específicos para Tratamento de Alto Risco

Uso de Tecnologias Emergentes ou Inovadoras

Tecnologias emergentes são aquelas em desenvolvimento, capazes de alterar ou redefinir modelos de negócio, e com potencial para exercer uma influência substancial sobre a economia. Essas inovações representam avanços práticos com um alto grau de relevância empresarial, destacando-se pelo potencial de crescimento rápido e impacto na sociedade, embora seus riscos ainda não estejam totalmente compreendidos, especialmente no que diz respeito às práticas de privacidade e proteção de dados. Exemplos dessas tecnologias incluem Inteligência Artificial (IA), Sistemas de Reconhecimento Facial e Veículos Autônomos.

Vigilância ou Controle de Zonas Acessíveis ao Público

Esse critério se aplica a situações em que ocorre o tratamento de dados pessoais com o propósito de monitorar ou controlar a presença e movimentação de pessoas em áreas de acesso público, como ruas, praças, estações de metrô, aeroportos, estádios e shopping centers. É importante ressaltar que o uso exclusivo em ambientes domésticos, onde não há captação de imagens dessas áreas mencionadas, não se enquadra nesse critério. Exemplos de ferramentas utilizadas para tal vigilância ou controle incluem câmeras de segurança, drones de monitoramento e dispositivos de rastreamento via GPS.

Decisões Tomadas Unicamente com Base em Tratamento Automatizado de Dados Pessoais

Essas decisões se referem ao uso de sistemas computacionais e algoritmos para realizar operações ou tomar decisões relacionadas a informações pessoais. Isso pode envolver a classificação, avaliação, aprovação ou rejeição de dados pessoais com base em critérios previamente estabelecidos. Assim, esse critério se aplica a situações em que algoritmos ou outras tecnologias são empregados para o tratamento automatizado de dados de forma significativa.

Utilização de Dados Pessoais Sensíveis ou de Dados Pessoais de Crianças, Adolescentes e Idosos

Por fim, a utilização de dados sensíveis ou pertencentes a grupos classificados como vulneráveis requer uma atenção especial. Esse critério específico abrange situações em que são manipulados dados sensíveis ou dados de grupos vulneráveis, como crianças, adolescentes e idosos, exigindo um grau maior de proteção.

Conclusão

Em conclusão, a determinação de um tratamento como de alto risco na LGPD é baseada na combinação de critérios gerais e específicos. Ao atender a um dos critérios gerais e, cumulativamente, a um dos critérios específicos, um tratamento é considerado de alto risco. Portanto, a análise criteriosa desses critérios é essencial para garantir a conformidade com as regulamentações de proteção de dados e para proteger os direitos fundamentais dos titulares de dados. Ao seguir as metodologias de análise e compreender os diferentes elementos envolvidos, as organizações podem garantir uma abordagem responsável e eficaz no tratamento de dados pessoais, promovendo a segurança e a privacidade dos indivíduos.

Para garantir a conformidade de suas atividades com a LGPD, o auxílio de um software especializado em LGPD ou uma consultoria especializada em proteção de dados podem amparar na implementação de um programa de governança em privacidade robusto, contribuindo assim para a proteção dos direitos dos titulares e para a conformidade legal.

The post Tratamento de Alto Risco appeared first on Avinto.

Introdução

A LGPD preconiza que toda pessoa natural tem assegurada a titularidade de seus dados pessoais. Dentro desse contexto, os direitos do titular de dados pessoais ganham destaque, conferindo aos indivíduos um conjunto de prerrogativas essenciais para o exercício do controle sobre suas informações pessoais, destacando sua importância na garantia da autodeterminação informativa, bem como à efetivação dos direitos fundamentais de liberdade, de intimidade e de privacidade.

Confirmação da Existência de Tratamento

O tratamento de dados abrange uma série de atividades relacionadas a informações pessoais, tais como coleta, armazenamento, uso e classificação. O titular de dados tem o direito de solicitar essa confirmação a qualquer momento. Além disso, ele também tem o direito de acessar seus dados e saber com quais entidades públicas e privadas o controlador compartilhou suas informações.

A LGPD determina que essa confirmação pode ser fornecida de maneira imediata e simplificada ou por meio de uma declaração abrangente e clara em até 15 dias a partir da data do pedido feito pelo titular dos dados. Esta última deve especificar a origem dos dados, os critérios utilizados no tratamento e a finalidade para a qual os dados estão sendo tratados.

Acesso aos Dados

O acesso aos dados pessoais é essencial para que o titular compreenda como suas informações estão sendo utilizadas. Segundo o Artigo 19 da LGPD, nos mesmos moldes que a confirmação da existência do tratamento, o titular tem o direito de acessar seus dados de forma simplificada e imediata, ou por meio de uma declaração clara e completa dentro de um prazo de até 15 dias. Esse acesso deve ser facilitado pelo controlador, que deve fornecer as informações de forma eletrônica segura ou sob forma impressa, conforme preferência do titular.

Importante salientar que o titular tem o direito de acesso a todo e quaisquer dados pessoais tratados pelo agente de tratamento, não somente aqueles dados por si originalmente fornecidos, em um amplo direito de acesso.

Correção de Dados Incompletos, Inexatos ou Desatualizados

A precisão e a qualidade dos dados pessoais são fundamentais para a proteção da privacidade do titular. A LGPD estabelece o direito do titular à correção de dados incompletos, inexatos ou desatualizados. Para além, o controlador tem a obrigação de atualizar ou proceder com a correção dos dados imediatamente após a ciência de sua inexatidão ou incompletude e de comunicar essa correção aos demais agentes de tratamento envolvidos.

A correção dos dados pelo controlador e a subsequente comunicação dessa necessidade aos demais agentes de tratamento envolvidos só podem ser protelada em situações de comprovada impossibilidade ou de esforço desproporcional.

Anonimização, Bloqueio ou Eliminação de Dados

A anonimização, o bloqueio e a eliminação de dados desnecessários são medidas importantes para garantir a privacidade dos titulares. A LGPD prevê que os dados anonimizados deixam de ser considerados dados pessoais, podendo ser mantidos pelo controlador em determinadas situações, mormente por sua capacidade de preservar informações úteis para o controlador para fins de análises estatísticas, por exemplo.

O bloqueio consiste na suspensão temporária de qualquer operação de tratamento e pode ser utilizado para preservar a integridade dos dados durante investigações ou questionamentos sobre a legalidade do tratamento.

Do mesmo modo, a eliminação põe fim ao tratamento, uma vez que implica na remoção do dado ou conjunto de dados pessoais. Assim, qualquer informação relacionada aos dados eliminados não pode ser retida pelo controlador, mesmo que desvinculada dos dados pessoais originais.

Por fim, no que tange ao direito à eliminação, tal direito é autônomo e independe da revogação do consentimento.

Portabilidade

O direito do titular à portabilidade permite que o titular transfira seus dados pessoais de um controlador a outro, facilitando a mobilidade e o controle sobre suas informações.

Na prática, a eficácia da portabilidade depende da garantia da interoperabilidade, que é a capacidade dos dados serem transferidos entre diferentes agentes de tratamento sem obstáculos que dificultem ou impeçam sua utilização imediata por outro agente de tratamento.

Eliminação dos Dados Tratados com Consentimento

O direito do titular de dados à eliminação dos dados pessoais tratados com o seu consentimento é fundamental para garantir o controle sobre suas informações. Exceto nas situações previstas no artigo 16 da LGPD, essa prerrogativa confere ao titular o poder de solicitar a exclusão de seus dados, assegurando sua privacidade e autonomia.

Um exemplo comum é a solicitação da exclusão de dados utilizados para criar um perfil comportamental, mesmo sem revogar o consentimento fornecido para esse tratamento específico, significando que os dados pessoais continuarão sendo processados e resultarão na formação de um novo perfil comportamental.

Transparência sobre o Compartilhamento de Dados com Entidades Terceiras

A transparência sobre o compartilhamento de dados com terceiros é essencial para que o titular possa exercer seu direito à autodeterminação informativa. A LGPD exige que o controlador informe ao titular sobre todas as entidades públicas e privadas com as quais seus dados estão sendo compartilhados, garantindo a transparência e a prestação de contas no tratamento de dados pessoais.

Informação Sobre a Negativa de Consentimento

Os titulares devem ser devidamente informados de forma clara e compreensível sobre as implicações de sua decisão de consentir ou não com o tratamento de seus dados pessoais. Essas informações devem abranger aspectos como a impossibilidade de acessar determinados serviços ou funcionalidades, restrições ao uso de determinados recursos, exclusão de benefícios ou vantagens oferecidos pela empresa, entre outras consequências que podem resultar da recusa em fornecer o consentimento para o tratamento de dados. Um exemplo muito comum ocorre quando um usuário é instado a consentir ou não com o uso de cookies em determinado site e é informado sobre o efeito deletério à experiência de navegação e acesso a algumas ferramentas no caso de não fornecer seu consentimento.

Revogação do Consentimento

O direito à revogação do consentimento decorre da autodeterminação informativa e confere ao titular o poder de retirar sua autorização para o tratamento de seus dados pessoais a qualquer momento. Após a revogação do consentimento, o controlador deve interromper o tratamento dos dados e, se não houver outra base legal para o tratamento, eliminar as informações relacionadas ao titular.

Revisão e Explicação de Decisões Automatizadas

O direito à revisão de decisões automatizadas garante que o titular possa contestar as decisões tomadas unicamente com base em tratamento automatizado de seus dados pessoais. Esse direito é fundamental para proteger os titulares contra possíveis discriminações ou prejuízos decorrentes de algoritmos ou sistemas automatizados.

Nos casos em que haja intervenções humanas pontuais, tem-se que é necessária a avaliação do real efeito dessas eventuais intervenções humanas na decisão ou no tratamento, diante do caso concreto, antes de desqualificar a decisão ou o tratamento automatizado.

No que tange ao direito à explicação, o mesmo garante ao titular o direito receber informações claras e suficientes para que o mesmo entenda a lógica e os critérios utilizados para tratar seus dados pessoais para uma ou várias finalidades, dentre as quais se inserem julgamentos e avaliações dos titulares de dados, por exemplo.

Outros Direitos do Titular de Dados Pessoais

Direito de Petição perante a ANPD

O titular dos dados pessoais possui o direito de peticionar em relação aos seus dados perante o controlador, sendo possível recorrer à Autoridade Nacional de Proteção de Dados. Este direito confere ao titular uma via de recurso para reclamar ou contestar o tratamento de seus dados pessoais, garantindo assim a proteção de seus direitos e interesses.

Direito de Oposição ao Tratamento com Fundamento em Dispensa de Consentimento

Por fim, o titular tem o direito de se opor ao tratamento realizado com base em uma das hipóteses de dispensa de consentimento previstas na legislação, caso haja descumprimento das disposições estabelecidas na LGPD. Esse direito assegura ao titular a possibilidade de contestar o tratamento de seus dados, mesmo quando o consentimento não é exigido, garantindo sua autodeterminação informativa, autonomia e proteção contra o uso indevido ou inadequado de suas informações pessoais.

Conclusão

Em resumo, a LGPD fortalece os direitos dos titulares de dados pessoais, conferindo-lhes maior controle e autonomia sobre suas informações. Ao conhecer e garantir esses direitos, as organizações contribuem para a proteção da privacidade e para o desenvolvimento de uma cultura de respeito aos dados pessoais. Portanto, esteja ciente de seus direitos e não hesite em exercê-los sempre que necessário. Sua privacidade é fundamental e deve ser protegida.

Adequação à LGPD

Para as organizações e empresas que buscam se adequar à LGPD, é essencial contar com recursos especializados que facilitem o processo de conformidade com a legislação. Nesse sentido, uma consultoria especializada em LGPD e o uso de software dedicado podem ser estratégias fundamentais para descomplicar e agilizar o projeto de adequação. Conte com a Avinto em sua jornada!

Referências

• L13709compilado (planalto.gov.br)
• Governo Federal – Participa + Brasil – Tomada de Subsídios sobre os direitos dos titulares. (www.gov.br)

The post Direitos do Titular de Dados Pessoais appeared first on Avinto.

O que é uma Base Legal para Tratamento de Dados Pessoais?

As bases legais, conforme definido pela LGPD, são os fundamentos jurídicos que legitimam o tratamento de dados pessoais. Elas estabelecem as condições sob as quais as organizações podem coletar, armazenar e utilizar essas informações.

12 Bases Legais da LGPD

1. Consentimento

O consentimento é uma manifestação livre, informada e inequívoca do titular dos dados, concordando com o tratamento para uma finalidade específica. Assim, a autorização do titular deve ser intencional e ele deve saber exatamente para que fim seus dados serão tratados, sendo vedada a autorização tácita e para finalidades genéricas.
No caso de consentimento para o tratamento de dados pessoais sensíveis é vital que o mesmo seja explícito, destacado e relacionado à finalidades específicas.
Além disso, o consentimento pressupõe uma escolha efetiva entre autorizar e recusar o tratamento dos dados pessoais, incluindo a possibilidade de revogar o consentimento a qualquer momento.

Uma pessoa que se inscreve para um evento, tem a opção de fornecer e-mail, caso queira receber informações de outros eventos realizados pela empresa e uma mensagem esclarece que o fornecimento do e-mail é facultativo e a recusa não impede a participação no evento.

Exemplo

2. Cumprimento de Obrigação Legal ou Regulatória

Seguindo com as 12 bases legais da LGPD, quando o tratamento de dados é exigido por lei, como no cumprimento de obrigações trabalhistas, não é necessário obter consentimento dos titulares, uma vez que a legislação prevalece sobre a vontade individual nesses casos.

Tribunal de Justiça trata dados pessoais contidos em documentos em processos. Os dados pessoais em questão se referem, entre outros, as partes, testemunhas e especialistas ouvidos em audiências públicas.

Exemplo

3. Execução de Políticas Públicas

Órgãos e entidades do Poder Executivo, Legislativo e Judiciário, inclusive das Cortes de Contas e do Ministério Público, desde que estejam atuando no exercício de funções administrativas, podem realizar “o tratamento e uso compartilhado de dados necessários à execução de políticas públicas”, estas entendidas como qualquer programa ou ação governamental, definido em lei, regulamento ou ajuste contratual, cujo conteúdo inclui, via de regra, objetivos, metas, prazos e meios de execução.

4. Realização de Estudos por Órgão de Pesquisa

A utilização dessa base legal exige o atendimento a dois requisitos: o primeiro deles refere-se à natureza do agente de tratamento autorizado à realização de pesquisas envolvendo dados pessoais, o qual deve ser enquadrado como órgão de pesquisa, ou seja, órgão ou entidade da administração pública direta ou indireta ou, ainda, pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País.
Pessoas naturais ou pessoas jurídicas de direito privado com fins lucrativos que atuam como controlador ou operador podem realizar tratamento de dados pessoais para fins de estudos e pesquisa, desde que amparados em outra base legal, a exemplo do consentimento e do legítimo interesse, vedada a utilização deste último no caso de dados pessoais sensíveis.
Além da necessária avaliação da natureza e da finalidade institucional do agente de tratamento, outro requisito que deve ser observado para as operações fundamentadas na base legal em estudo é a garantia, sempre que possível, da anonimização dos dados pessoais.

4.1 Tratamento de dados pessoais para fins acadêmicos

Nas situações em que o tratamento de dados pessoais esteja estritamente vinculado ao exercício da liberdade acadêmica, a aplicação da LGPD é parcialmente derrogada.

5. Execução ou Criação de Contrato

Nas 12 bases legais da LGPD também se tem que o tratamento de dados é legítimo quando necessário para a execução de um contrato do qual o titular seja parte ou para a realização de procedimentos preliminares relacionados a esse contrato.
Desse modo, será legítima a utilização da base legal de execução de contrato sempre que houver a necessidade da manipulação de informações pessoais pelo controlador advinda de uma obrigação contratual em que o titular de dados seja parte ou que este tenha solicitado e que as informações requeridas sejam aquelas necessárias para atingir a finalidade da prestação do serviço solicitado.

Um usuário fornece dados pessoais para um cadastro em e-commerce para a concretização da venda de produto e emissão de nota fiscal eletrônica.

Exemplo

6. Exercício Regular de Direitos

Dados pessoais podem ser tratados para o exercício regular de direitos em processos judiciais, administrativos ou arbitrais, ou seja, para produzir provas e realizar a defesa em processos, garantindo o direito ao contraditório e à ampla defesa.

Uma pessoa teve seu carro atingido por um motorista embriagado e apresenta as filmagens e fotos do condutor responsável com os documentos que instruem a petição inicial de um processo de indenização.

Exemplo

7. Proteção da Vida ou da Incolumidade Física

É permitido o tratamento de dados para proteger a vida ou a integridade física do titular ou de terceiros.

Uma pessoa sofre um acidente nas dependências de uma empresa e se encontra impossibilitada de chamar uma ambulância ou se comunicar com a família.

Exemplo

8. Tutela da Saúde

O tratamento de dados é permitido exclusivamente para a tutela da saúde, em procedimentos realizados por profissionais de saúde ou autoridades sanitárias.

9. Legítimo Interesse

O legítimo interesse permite o tratamento de dados pessoais não sensíveis quando necessário para atender a interesses legítimos do controlador ou de terceiros, desde que não prevaleçam os direitos e liberdades fundamentais do titular.
A aplicação do legítimo interesse requer um teste de balanceamento, no qual os interesses do controlador ou de terceiros são ponderados em relação aos direitos e legítimas expectativas dos titulares.
O interesse legítimo deve atender três condições: i) compatibilidade com a legislação, ii) ter lastro em situações concretas e iii) ser vinculado à finalidades legítimas, específicas e explícitas.

Uma empresa realiza o tratamento de dados pessoais de seus funcionários visando a garantir a segurança dos sistemas de informação utilizados para viabilizar a autenticação de usuários e prevenir que softwares maliciosos possam criar vulnerabilidades na rede interna.

Exemplo

10. Proteção do Crédito

Essa hipótese legal pede uma interpretação restritiva e pode ser utilizada quando as atividades de tratamento visem a melhorar a análise de risco em situações em que o controlador deseja avaliar a capacidade de o titular honrar os compromissos financeiros que assume por ocasião de um contrato.

Um controlador do setor financeiro e de telecomunicações estaria autorizado a compartilhar dados pessoais com outros agentes de tratamento com base nessa hipótese legal apenas quando necessário para análise de risco de inadimplência do titular de dados pessoais.

Exemplo

11. Prevenção à Fraude

Essa base legal é direcionada aos processos de identificação e autenticação de cadastro dos titulares dos dados em sistemas eletrônicos, utilizada especificamente para o tratamento de dados pessoais sensíveis.

Uma empresa pode dispensar o consentimento dos titulares para tratar dados biométricos visando a confirmar se um funcionário é autorizado a entrar em área de acesso restrito da organização.

Exemplo

12. Dados Pessoais Sensíveis e Transferência Internacional de Dados

As bases legais para o tratamento de dados pessoais sensíveis estão previstas no art. 11 da LGPD. Já no caso de transferência internacional de dados pessoais, é necessário atender às hipóteses legais indicadas no art. 33.

Escolhendo a Base Legal Adequada

Não há uma base legal superior; a escolha depende do contexto e das necessidades específicas de cada tratamento. Considerações como a finalidade da atividade e o tipo de dados envolvidos são essenciais para determinar a base legal mais apropriada.

Em suma, a LGPD estabelece um conjunto robusto de bases legais para garantir que o tratamento de dados pessoais seja feito de maneira ética, transparente e legalmente sólida. Um bom software LGPD e profissionais capacitados podem sempre facilitar sua jornada nesta escolha. Ao seguir as disposições da lei e compreender as nuances de cada base legal, as organizações podem proteger os direitos dos titulares de dados e fortalecer a confiança em suas práticas de tratamento de dados.

Referências:

• Lei Geral de Proteção de Dados Pessoais
• ANPD – Guia Orientativo Tratamento de Dados Pessoais pelo Poder Público

The post 12 Bases Legais da LGPD: Entenda suas Aplicações appeared first on Avinto.

1. Definição de Legítimo Interesse

Legítimo interesse é uma hipótese legal prevista no art. 7º, IX da Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018). Essa hipótese permite o tratamento de dados pessoais gerais, não sensíveis, quando necessário para atender aos interesses legítimos do controlador ou de terceiros. No entanto, é importante ressaltar que esses interesses e finalidades devem estar em conformidade com os direitos e liberdades fundamentais do titular de dados, exigindo a proteção de suas informações pessoais.

2. Natureza dos dados pessoais

Antes de aplicar a hipótese legal do legítimo interesse na LGPD, o controlador deve analisar a natureza dos dados pessoais que serão tratados. Essa análise é crucial para determinar se a hipótese legal é aplicável ao caso concreto. É importante destacar que essa base legal não se aplica ao tratamento de dados pessoais sensíveis, uma vez que sua previsão está apenas no art. 7º da LGPD e não no art. 11, que trata dos dados pessoais sensíveis.

No entanto, o art. 11, II, g, da LGPD autoriza o tratamento de dados pessoais sensíveis quando for necessário para a garantia da prevenção à fraude e à segurança do titular nos processos de identificação e autenticação de cadastro em sistemas eletrônicos. Essa autorização é aplicável apenas para atender a uma dessas finalidades específicas, como a prevenção à fraude e essa autorização requer, de igual modo ao legítimo interesse, uma análise e um teste de balanceamento.

2.1 Dados pessoais de crianças e adolescentes

No que diz respeito ao tratamento de dados pessoais de crianças e adolescentes, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o Enunciado nº 1/2023, estabelecendo que o tratamento desses dados pode ser realizado com base nas hipóteses legais previstas nos artigos 7º e 11 da LGPD, desde que seja observado e prevaleça o princípio do melhor interesse da criança ou adolescente, conforme o art. 14 da LGPD. Isso significa que é possível utilizar o legítimo interesse e outras hipóteses legais para o tratamento desses dados, desde que o interesse da criança ou adolescente seja considerado e protegido.

3. Teste de Balanceamento

A aplicação do legítimo interesse na LGPD requer um teste de balanceamento, no qual os interesses do controlador ou de terceiros são ponderados em relação aos direitos e legítimas expectativas dos titulares. Esse teste de balanceamento deve considerar fatores como a finalidade do tratamento, os direitos fundamentais dos titulares e a minimização e proporcionalidade do tratamento em relação aos interesses envolvidos.

4. Interesse legítimo

Para aplicar o legítimo interesse, o controlador deve identificar e avaliar a legitimidade do interesse que justifica o tratamento dos dados pessoais. Esse interesse deve atender a três condições:

1. Compatibilidade com a legislação: o tratamento dos dados pessoais não deve ser vedado pela legislação vigente e nem pode, direta ou indiretamente, contrariar disposições legais nem os princípios aplicáveis ao caso;
2. Lastro em situações concretas: afastando interesses considerados a partir de situações futuras, abstratas ou meramente especulativas;
3. Vinculação a finalidades legítimas, específicas e explícitas: descritas de forma clara e precisa, delimitando o escopo do tratamento e permitindo a ponderação dos interesses do controlador ou terceiros com os direitos e legítimas expectativas dos titulares.

Garantir maior segurança e promover serviços do controlador são exemplos de interesses que podem ser atendidos com o tratamento de dados pessoais.

4.1 Interesse de Terceiro

O interesse de terceiro pode ser associado a qualquer pessoa natural ou jurídica, ou mesmo a um grupo de pessoas. Isso também inclui os interesses da coletividade, abrangendo toda a sociedade. Não há diferença nos requisitos legais aplicáveis para o interesse do controlador ou de terceiros. Portanto, o tratamento de dados pessoais com base no legítimo interesse de terceiro requer a mesma análise e teste de balanceamento que o tratamento de dados pessoais com base no legítimo interesse do controlador.

5. Direitos e Liberdades Fundamentais

Um ponto essencial é garantir a autodeterminação informativa, que é o direito do titular de ter o controle sobre o uso de seus dados pessoais. Os controladores devem agir de maneira responsável, garantindo que os titulares tenham conhecimento e participem ativamente das decisões relacionadas ao tratamento de seus dados. Isso inclui o direito do titular de se opor ao tratamento realizado com base no legítimo interesse. Portanto, é fundamental que os controladores disponibilizem canais de fácil acesso para que os titulares possam exercer seus direitos e solicitar medidas como o término do tratamento e a exclusão de seus dados pessoais, quando aplicável.

6. Legítima expectativa do titular

O controlador deve avaliar e ser capaz de demonstrar que o tratamento dos dados pessoais é razoavelmente esperado pelos titulares naquela situação específica. Essa avaliação da legítima expectativa pode levar em consideração vários fatores, como a existência de uma relação prévia entre o controlador e o titular, a forma de coleta dos dados e a finalidade original da coleta. É importante que o tratamento esteja em conformidade com a expectativa razoável do titular em relação ao contexto e finalidade do tratamento.

Exemplo de aplicação do legítimo interesse:

• Envio de mensagens com propagandas para clientes de lojas virtuais;
• Envio de descontos da editora de uma instituição de ensino aos seus alunos;
• Dados de crianças e adolescentes e rede wi-fi da escola;
• Câmera de segurança em shopping center.

Conclusão

O legítimo interesse é uma base legal de tratamento no âmbito da LGPD que permite o tratamento de dados pessoais gerais, desde que sejam atendidas as condições de compatibilidade com a legislação, lastro em situações concretas e vinculação a finalidades legítimas, específicas e explícitas. Essa hipótese também pode ser aplicada para o tratamento de dados pessoais de crianças e adolescentes, desde que sejam observados e prevaleça o princípio do melhor interesse desses indivíduos.

Ao utilizar o legítimo interesse como base legal para o tratamento de dados pessoais, os controladores devem avaliar e equilibrar os interesses do controlador ou de terceiros com os direitos, legítimas expectativas e liberdades dos titulares. É essencial garantir a autodeterminação informativa dos titulares e oferecer meios para que exerçam seus direitos de maneira efetiva.

Em resumo, o legítimo interesse é uma importante base legal na LGPD, porém requer uma análise cuidadosa e criteriosa, garantindo a proteção dos dados pessoais. Um bom software LGPD e a consultoria certa podem te auxiliar na análise desse balanceamento.

The post Desvendando o Legítimo Interesse na LGPD appeared first on Avinto.

O que é Transferência Internacional de Dados

A transferência internacional de dados ocorre quando dados pessoais são enviados para países estrangeiros ou organismo internacional do qual o Brasil seja membro. Isso pode incluir a transmissão de dados para filiais, parceiros comerciais, fornecedores ou servidores localizados em território estrangeiro. É importante ressaltar que a LGPD se aplica a qualquer organização que colete, armazene ou processe dados pessoais de residentes brasileiros, independentemente de onde a organização esteja sediada.

Quando é Permitida a Transferência Internacional de Dados Segundo a LGPD

A transferência internacional de dados somente poderá ser realizada para atender a propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

A LGPD prevê, ainda, as situações em que a transferência internacional de dados é permitida:

1. Para países ou organismos internacionais que ofereçam níveis adequados de proteção de dados, alinhados aos padrões da LGPD.
2. Quando houver garantias oferecidas pelo controlador de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados.
3. Quando a transferência necessária para cooperação jurídica internacional entre órgãos públicos ou para execução de política pública .
4. Transferência essencial para proteger a vida ou a integridade física do titular ou terceiros.
5. Mediante autorização da ANPD.
6. Transferência baseada no consentimento específico e destacado do titular, com informação prévia sobre a natureza internacional da operação.
7. Transferência necessária para cumprimento de obrigações legais ou regulatórias, para execução de contrato ou para exercício regular de direitos em processo.

Entender esses cenários é crucial para garantir a conformidade e segurança na manipulação internacional de dados pessoais.

Transferência para Países com Nível de Proteção Diferente do Brasil

Quando a transferência envolve países com níveis de proteção de dados diferentes do Brasil, a LGPD exige que a organização brasileira adote medidas adicionais para garantir a segurança dos dados transferidos. Isso pode incluir a celebração de contratos ou acordos que estabeleçam garantias de proteção adequadas através de cláusulas contratuais específicas, cláusulas-padrão contratuais, normas corporativas globais, selos, certificados ou códigos de conduta regularmente emitidos

Cuidados na Celebração de Contratos e Parcerias com Organizações Estrangeiras

Ao celebrar contratos e parcerias com organizações estrangeiras, é essencial considerar aspectos de proteção de dados. Recomenda-se a inclusão de cláusulas específicas sobre a conformidade com a LGPD e a garantia de que a organização estrangeira adote medidas adequadas de segurança e privacidade dos dados.

Regulamento de Transferências Internacionais de Dados Pessoais

A Autoridade Nacional de Proteção de Dados (ANPD) é responsável por regulamentar as transferências internacionais de dados pessoais. Ela disponibiliza um modelo disponível no Anexo II do Regulamento de cláusulas-padrão contratuais que pode ser adotado pelas organizações para garantir a conformidade com a LGPD ao transferir dados internacionalmente.

Cláusulas-Padrão Contratuais (Data Protection Agreements ou DPAs)

As cláusulas-padrão contratuais, também conhecidas como DPAs, são uma ferramenta fundamental para garantir a conformidade com a LGPD ao transferir dados internacionalmente. Essas cláusulas são modelos predefinidos que estabelecem as obrigações das partes envolvidas na transferência e a proteção dos dados pessoais e estão previstas no Anexo II do Regulamento acima mencionado.

Normas Corporativas Globais (Binding Corporate Rules ou BCRs)

Além das cláusulas-padrão contratuais, as organizações podem considerar a implementação de Normas Corporativas Globais (BCRs). Essas regras internas estabelecem diretrizes globais para o tratamento de dados pessoais, garantindo que as filiais em diferentes países atendam aos padrões de proteção de dados.

Cláusulas Contratuais Específicas

As cláusulas contratuais específicas são instrumentos contratuais personalizados que estabelecem compromissos claros entre o controlador dos dados (na origem) e o destinatário estrangeiro. Essas cláusulas visam garantir que o destinatário adote medidas adequadas de proteção de dados, alinhadas aos princípios e direitos previstos na LGPD. A verificação de tais cláusulas será realizada pela ANPD, nos termos do Regulamento específico.

Casos Práticos

Para ilustrar a importância dessas práticas, consideremos um caso prático: uma empresa brasileira que precisa transferir dados de seus clientes para os servidores de uma empresa localizada nos Estados Unidos. Nesse cenário, a empresa brasileira deve obter o consentimento dos clientes ou utilizar cláusulas-padrão contratuais para garantir a conformidade com a LGPD.

Outros exemplos de transferência internacional de dados são o compartilhamento de base de dados entre empresas do mesmo grupo econômico, armazenamento de dados em data centers localizados no exterior e contratação de provedor de computação em serviço de nuvem.

Conclusão

A transferência internacional de dados é uma realidade para muitas organizações, mas a LGPD estabelece diretrizes rígidas para garantir a proteção dos dados pessoais dos cidadãos brasileiros. É crucial que as empresas estejam cientes das permissões e obrigações estabelecidas pela LGPD ao transferir dados para o exterior. Ao seguir as melhores práticas, como a utilização de cláusulas-padrão contratuais e o modelo da ANPD, as organizações podem cumprir suas obrigações legais e proteger os direitos dos titulares dos dados. Em um mundo cada vez mais conectado, a conformidade com a LGPD na transferência internacional de dados é essencial para manter a confiança dos clientes e evitar possíveis sanções legais.

Referências:

• Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD)
• Autoridade Nacional de Proteção de Dados (ANPD)
• Regulamento de Transferências Internacionais de Dados Pessoais e do modelo de Cláusulas-Padrão Contratuais (ANPD)
• Autoridade Europeia de Proteção de Dados – Regulamento Geral de Proteção de Dados (GDPR)
• Guia de Proteção de Dados Pessoais Transferência Internacional (FGV).

The post LGPD e Transferência Internacional de Dados appeared first on Avinto.

A Lei Geral de Proteção de Dados (LGPD) é uma legislação que trouxe importantes mudanças no tratamento de informações pessoais no Brasil. Entender os papéis dos diferentes atores envolvidos na LGPD é fundamental para cumprir as regras e garantir a privacidade dos dados pessoais. Neste artigo, vamos desvendar quem é quem na LGPD, quem é o controlador, operador e encarregado, explicando de forma simples, mas completa, para que todos possam compreender.

O que é o Controlador na LGPD?

O controlador é como o “chefão” dos dados. Ele é a pessoa ou empresa responsável por tomar as decisões sobre como os dados pessoais serão tratados. Assim como o operador, ele é um agente de tratamento. Pense nele como o capitão de um navio, definindo o rumo e as regras do jogo. O controlador é quem decide quais informações serão coletadas, por que serão coletadas e como serão usadas.

A definição legal de controlador se encontra no art. 5º, VI, da LGPD:

Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais.

Papel do Controlador:

• Decidir o que fazer com os dados.
• Garantir que os dados sejam utilizados de maneira correta e segura.
• Comprovar que o consentimento do titular foi obtido com observância da lei.
• Respeitar os direitos das pessoas sobre seus dados.
• Elaborar relatório de impacto à proteção de dados pessoais.
• Comunicar à ANPD a ocorrência de incidentes de segurança.

Controladoria Conjunta e Controladoria Singular

Aqui entra um detalhe interessante. Às vezes, mais de uma pessoa ou empresa pode ser controladora dos mesmos dados, quando dois ou mais responsáveis determinam conjuntamente as
finalidades e os meios desse tratamento, e isso é chamado de controladoria conjunta. Por exemplo, se duas empresas por acordo entre si decidem como usar seus dados e para quais finalidades, elas são co-controladoras. Por outro lado, a controladoria singular é quando apenas uma pessoa ou empresa tem o controle total dos dados.

O que é o Operador na LGPD?

Agora, seguindo em nossa diferenciação do controlador, operador e encarregado, vamos falar sobre outro agente de tratamento, o operador. Ele é como o “mestre das tarefas”. O operador não decide o que fazer com os dados, mas é responsável por executar as ações determinadas pelo controlador. Imagine o operador como um marinheiro que segue as ordens do capitão.

A definição legal se encontra no art. 5º, inciso X da LGPD:

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Papel do Operador:

• Tratar os dados de acordo com as instruções do controlador.
• Garantir a segurança e a privacidade dos dados.
• Informar o controlador contratos com suboperador.

Suboperador

Em alguns casos, o operador pode precisar de ajuda para lidar com os dados. Nesse caso, ele pode contratar um suboperador. O suboperador é como um assistente do operador, auxiliando nas tarefas, mas sempre seguindo as regras do controlador.

O que é o Encarregado ou DPO na LGPD?

Agora, conheçamos o encarregado ou DPO (Data Protection Officer). Ele é como o “guardião dos dados”. O DPO é uma pessoa encarregada de garantir que o tratamento dos dados seja feito de acordo com a LGPD. Imagine-o como um vigilante que cuida para que todas as regras sejam seguidas.

Funções do DPO:

• Informar e aconselhar o controlador e o operador sobre as obrigações da LGPD.
• Monitorar o cumprimento da lei e as políticas de proteção de dados.
• Ser o ponto de contato entre o controlador, as autoridades e os titulares de dados.

O Cargo de DPO é Obrigatório?

A LGPD não estabeleceu circunstâncias específicas em que uma organização deva nomear um encarregado. Portanto, a norma geral é que toda organização deverá designar um indivíduo para desempenhar esse papel, principalmente nos casos em que o tratamento de dados é realizado por uma grande empresa ou envolve informações sensíveis. O DPO é como um super-herói da privacidade, garantindo que tudo esteja seguro.

O que é o DPO as a Service?

Aqui está uma dica importante: se uma empresa não quer ou não pode ter seu próprio DPO em tempo integral, ela pode usar o DPO as a Service. Isso é como alugar ou terceirizar um encarregado de proteção de dados para ajudar a cumprir as regras da LGPD.

Contrate um DPO Profissional

A LGPD é uma lei importante, e cumprir suas regras é fundamental para proteger a privacidade das pessoas e evitar problemas legais. Se você é um controlador ou operador e não tem um DPO, é uma boa ideia considerar a contratação de um profissional ou um serviço especializado.

Em resumo, na LGPD, o controlador decide, o operador executa e o DPO protege. Cada um tem um papel fundamental na garantia da privacidade dos dados. Lembre-se sempre de respeitar as regras da LGPD, pois a proteção de dados é uma responsabilidade de todos nós.

Para mais informações sobre a LGPD, você pode consultar sites confiáveis, como o site oficial da Autoridade Nacional de Proteção de Dados (ANPD) e o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado.

Agora que você sabe quem é o Controlador, Operador e Encarregado na LGPD, fica mais fácil entender como a lei funciona e como ela protege os nossos dados pessoais.

The post Controlador, Operador e Encarregado (DPO) na LGPD appeared first on Avinto.

Diferença entre Dados e Dados Pessoais

Dados, em sua forma mais ampla, são informações. Podem ser números, textos, imagens, sons, ou qualquer outra manifestação de informações. No entanto, nem todos os dados são classificados como dados pessoais. A diferença crucial entre dados em geral e dados pessoais está na capacidade de identificar uma pessoa a partir dessas informações.

Dados Pessoais

Os dados pessoais representam a base da LGPD. Eles são a pedra angular da regulamentação e compreendem qualquer informação que possa identificar, direta ou indiretamente, uma pessoa natural. Essas informações podem incluir desde dados cadastrais básicos, como nomes, endereços e números de identificação, até informações mais específicas, como dados de localização e até mesmo cookies. Em resumo, dados pessoais são todas as informações que, de alguma forma, permitem identificar uma pessoa.

São exemplos de dados pessoais:

• Nome e sobrenome;
• Data e local de nascimento;
• RG;
• CPF;
• Retrato em fotografia;
• Endereço residencial;
• Endereço de e-mail;
• Número de cartão bancário;
• Renda;
• Histórico de pagamentos;
• Hábitos de consumo;
• Dados de localização, como por exemplo, a função de dados de localização no celular;
• Endereço de IP (protocolo de internet);
• Cookies;
• Número de telefone;
• Placa de Veículos.

A LGPD define dados pessoais como informações relacionadas a uma pessoa natural identificada ou identificável. Vamos desmembrar essa classificação de dados pessoais para compreendermos melhor:

Informação Relacionada à Pessoa Natural Identificada

São dados que se referem a uma pessoa cuja identidade é conhecida. Isso inclui informações como nome, endereço, número de CPF, RG, entre outros. A pessoa é facilmente reconhecível a partir desses dados.

Informação Relacionada à Pessoa Natural Identificável

Dados pessoais também podem ser informações que, sozinhas, não identificam uma pessoa, mas, quando combinadas com outras informações, tornam possível a identificação. Por exemplo, o número de telefone de alguém isoladamente pode não identificar a pessoa, mas se for vinculado a um nome, torna-se uma informação identificável.

Dados Sensíveis

Prosseguindo com a classificação dos dados segundo a LGPD, temos os dados sensíveis. Estes merecem um tratamento especial de acordo com a LGPD. Eles são informações ainda mais delicadas, que podem expor aspectos muito íntimos da vida de uma pessoa e que têm um grande potencial de causar danos ou discriminação se mal utilizadas. A LGPD estabelece que o tratamento de dados sensíveis é mais restrito e requer um consentimento explícito do titular dos dados, de forma a proteger a privacidade dessas informações.

São considerados dados pessoais sensíveis:

• Dado pessoal sobre origem racial ou étnica;
• Convicção religiosa;
• Opinião política;
• Filiação à sindicato ou à organização de caráter religioso, filosófico ou político;
• Dados referentes à saúde ou à vida sexual;
• Dados genéticos ou biométricos, quando vinculado a uma pessoa natural.

Dados Pessoais de Crianças e Adolescentes

A LGPD também se preocupa em proteger dados pessoais de crianças e adolescentes. Para crianças com idade inferior a 12 anos, o tratamento de dados pessoais requer consentimento específico e destacado dos pais ou responsáveis legais. Para adolescentes entre 12 e 18 anos, o consentimento pode ser dado diretamente por eles, desde que devidamente informados.

É permitida a coleta de dados pessoais de menores sem consentimento somente em casos de necessidade, como para entrar em contato com os pais ou responsável legal, e esses dados podem ser usados uma única vez, sem armazenamento. Também é permitida a coleta para fins de proteção, mas em nenhum momento esses dados podem ser compartilhados com terceiros sem o consentimento de pelo menos um dos pais ou do responsável legal.

Dados Públicos

Nem todos os dados são tratados igualmente na LGPD. Existem categorias específicas, como os dados públicos, que recebem um tratamento mais flexível. Dados públicos são informações que, por natureza, são acessíveis ao público em geral, como dados presentes em registros públicos, diretórios de empresas e informações de domínio público. Esses dados podem ser coletados e utilizados sem o consentimento explícito do titular, desde que observadas as regras e finalidades legais.

Dados Anonimizados

A LGPD também contempla a categoria de dados anonimizados, que são informações que não podem ser associadas a um indivíduo específico, mesmo que outros dados estejam disponíveis. A anonimização é uma técnica que remove ou codifica elementos que permitiriam a identificação do titular dos dados. Uma vez que os dados se tornam verdadeiramente anônimos, eles não estão sujeitos às disposições da LGPD, uma vez que não representam uma ameaça à privacidade.

Dados Anônimos

Dados anônimos são diferentes dos dados anonimizados. Enquanto os dados anonimizados são obtidos a partir de informações pessoais e passam por processos de desidentificação, os dados anônimos nunca estiveram ligados a um indivíduo em primeiro lugar. Eles são informações que não possuem qualquer capacidade de identificar alguém e, portanto, não são considerados dados pessoais. A LGPD não se aplica a dados anônimos, uma vez que não representam uma ameaça à privacidade.

Conclusão

A classificação dos dados segundo a LGPD em dados pessoais, sensíveis, públicos, anonimizados e anônimos é fundamental para entender como a LGPD impacta a coleta, o armazenamento e o processamento de informações pessoais no Brasil. Compreender essa diferença é essencial para empresas e organizações que lidam com informações pessoais para garantir o cumprimento das obrigações legais e a proteção da privacidade no ambiente digital.

Para aprofundar seu entendimento sobre a LGPD, é altamente recomendável consultar as fontes oficiais e especialistas capazes de fornecerem informações atualizadas e precisas sobre a lei. Sites como o portal da Autoridade Nacional de Proteção de Dados (ANPD) e o Ministério da Justiça e Segurança Pública oferecem recursos valiosos para quem deseja se manter informado sobre as diretrizes da LGPD.

The post Classificação dos Dados segundo a LGPD appeared first on Avinto.