O Papel do Gerente do Programa de Privacidade

O gerente do programa de privacidade é o responsável por liderar a implementação e manutenção do programa de privacidade de uma organização. Mais do que um simples guardião de políticas, esse profissional é um facilitador estratégico, trabalhando para:

• Alinhar o programa de privacidade aos objetivos de negócios, garantindo que ele apoie a organização como um parceiro valioso.
• Promover uma cultura de privacidade na organização, motivando equipes e elevando o “QI de dados” corporativo.
• Mitigar riscos de privacidade, protegendo a empresa, colaboradores, clientes e fornecedores.

Suas responsabilidades abrangem desde a criação de políticas até a gestão de incidentes e a preparação para mudanças regulatórias.

Metas do Gerente e do Programa de Privacidade

O sucesso de um programa de privacidade depende de metas claras e alinhadas tanto com os interesses da organização quanto com as expectativas de stakeholders internos e externos.

Metas do Gerente do Programa de Privacidade

1. Definir obrigações de privacidade: Identificar requisitos legais e melhores práticas aplicáveis.
2. Identificar e mitigar riscos: Mapear processos e identificar vulnerabilidades.
3. Documentar políticas e procedimentos: Revisar e criar documentos que promovam a governança de dados.
4. Implementar práticas positivas: Estabelecer medidas que fomentem o uso responsável de dados pessoais.
5. Promover a cultura de privacidade: Engajar colaboradores para que entendam e valorizem a proteção de dados.

Metas do Programa de Privacidade

1. Demonstrar conformidade: Estabelecer um framework auditável que assegure adesão à LGPD, GDPR ou outras regulamentações aplicáveis.
2. Construir confiança: Provar a clientes e colaboradores que a organização leva a sério a proteção de dados.
3. Responder a incidentes: Implementar planos de resposta eficazes para mitigar danos em caso de violação.
4. Evoluir continuamente: Avaliar e aprimorar a maturidade do programa ao longo do tempo.

Principais Responsabilidades do Gerente do Programa de Privacidade

A seguir, detalhamos algumas das responsabilidades mais relevantes do Gerente do Programa de Privacidade:

1. Políticas e Procedimentos

O gerente é responsável por criar e revisar políticas e avisos de privacidade, garantindo que sejam claros, atualizados e aplicáveis em toda a organização.

2. Conscientização e Treinamento

Promover o entendimento da privacidade por meio de treinamentos específicos e campanhas de conscientização é fundamental para criar uma cultura de privacidade.

3. Resposta à Incidentes

Estar preparado para lidar com violações de dados e coordenar a comunicação com reguladores, titulares de dados, equipe de gestão de incidentes e outras partes interessadas, como conselho e acionistas.

4. Avaliações de Impacto

Realizar testes de balanceamentos, avaliações de impacto à privacidade, relatórios de impacto à proteção de dados pessoais (DPIAs) para identificar e minimizar riscos em novos projetos, produtos e serviços.

5. Governança e Colaboração Interfuncional

Trabalhar com departamentos como jurídico, TI, segurança da informação e marketing para assegurar que a privacidade esteja integrada às operações diárias.

6. Monitoramento e Auditorias

Acompanhar métricas de privacidade e realizar auditorias regulares para medir a eficácia do programa e identificar melhorias.

7. Gestão de Fornecedores

Garantir que terceiros também sigam padrões de privacidade, especialmente em transferências de dados internacionais.

8. Privacy by Design

Implementar a privacidade desde a concepção em novos produtos, garantindo conformidade desde o início.

Por Que a Organização Precisa de um Programa de Privacidade?

A necessidade de um programa de privacidade vai além da simples conformidade legal. Ele é um ativo estratégico que oferece inúmeros benefícios, como:

• Melhoria da marca e da confiança pública: Demonstrar compromisso com a proteção de dados fortalece a reputação da organização.
• Mitigação de riscos: Prevenir e minimizar os impactos de violações de dados e ações legais.
• Vantagem competitiva: Empresas com práticas robustas de privacidade atraem clientes e parceiros de negócios.
• Conformidade regulatória: Estar em conformidade com a LGPD e outras leis evita multas e sanções.

Além disso, a privacidade bem gerida é um diferencial ético, promovendo boas práticas no tratamento de dados pessoais e integrando a ética à tomada de decisões organizacionais.

O Papel dos Embaixadores da Privacidade

A construção de um programa de privacidade robusto não é tarefa exclusiva do gerente ou do diretor de privacidade. Muitos programas criam comitês de privacidade, compostos por representantes de diferentes áreas, chamados de embaixadores da privacidade.

Esses embaixadores desempenham um papel crítico ao levar o conhecimento sobre privacidade para suas equipes, garantindo que os princípios de proteção de dados sejam incorporados ao dia a dia organizacional.

A Importância da Colaboração Interfuncional

O gerente do programa de privacidade precisa trabalhar em conjunto com várias áreas da organização, como:

• Jurídico: Para garantir conformidade regulatória.
• TI e Segurança da Informação: Para implementar controles técnicos que protejam os dados pessoais.
• Marketing: Para alinhar estratégias de coleta e uso de dados com as exigências de privacidade.

Essa abordagem colaborativa é essencial para integrar a privacidade como parte estratégica do negócio.

Conclusão

O gerente do programa de privacidade é mais do que um executor de políticas — é um líder estratégico que impulsiona a organização rumo a uma gestão responsável e eficaz de dados pessoais.

Investir em um programa de privacidade robusto vai além do cumprimento legal. Ele fortalece a marca, reduz riscos, melhora a confiança dos stakeholders e transforma a proteção de dados em um diferencial competitivo.

Se sua organização ainda não possui um programa de privacidade ou precisa aprimorá-lo, consulte especialistas e frameworks de referência, como as diretrizes da ANPD ou da IAPP, para garantir um processo bem-sucedido. Um bom software LGPD também pode lhe auxiliar nesse processo.

Lembre-se: na era digital, a privacidade é um ativo estratégico indispensável.

The post Responsabilidades do Gerente do Programa de Privacidade appeared first on Avinto.

1. Objetivo e Escopo

A Resolução CD/ANPD nº 19/2024 estabelece as regras específicas para a transferência internacional de dados pessoais no Brasil, complementando a Lei Geral de Proteção de Dados (LGPD). Seu objetivo é assegurar que os dados pessoais transferidos para fora do território nacional sejam protegidos de maneira equivalente à proteção garantida pela legislação brasileira. Esta resolução aplica-se a todas as operações de transferência internacional de dados, independentemente do setor de atuação da empresa ou da natureza dos dados tratados.

As transferências internacionais serão consideradas lícitas quando:

• Tiverem como destino país ou organismo internacional considerado adequado pela ANPD;
• Quando forem viabilizadas por instrumentos contratuais adequados, ou seja, mediante cláusula-padrão contratual, cláusula específica e normas corporativas globais; ou
• Encontrarem amparo em outras hipóteses legais previstas no artigo 33 da LGPD.

2. Diretrizes

Para a transferência internacional de dados ser realizada de maneira legal, é necessário observar um conjunto de diretrizes que assegurem a conformidade com a LGPD. Entre as principais diretrizes, destacam-se:

1. Garantia de proteção equivalente: Os países ou organizações internacionais destinatários dos dados devem oferecer um nível de proteção de dados pessoais equivalente ao previsto na legislação nacional, conforme avaliado pela Autoridade Nacional de Proteção de Dados (ANPD).
2. Legalidade e transparência: Todas as operações de transferência devem ser documentadas e comunicadas de forma transparente aos titulares dos dados, garantindo o cumprimento dos princípios da LGPD.
3. Segurança na transferência: Medidas técnicas e organizacionais adequadas devem ser implementadas para garantir a segurança dos dados durante a transferência.

3. Transferência Internacional de Dados

3.1 Requisitos Gerais

A transferência internacional de dados ocorre quando há transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.

Exemplos de situações cotidianas no ambiente empresarial que podem envolver a transferência internacional de dados incluem:

• Utilização de uma plataforma de videoconferência internacional para reuniões empresariais, onde informações sensíveis são trocadas e armazenadas em servidores no exterior;
• Integração de sistemas financeiros entre a sede e suas filiais em diferentes países, onde informações fiscais e contábeis são compartilhadas;
• Armazenamento de arquivos em servidores de backup localizados fora do Brasil, como parte da estratégia de continuidade de negócios;
• Outsourcing de serviços de suporte técnico para uma empresa com sede no exterior, que acessa dados de clientes para resolução de problemas;
• Contratação de um fornecedor de CRM (Customer Relationship Management) baseado em outro país, que gerencia dados de clientes e vendas.

3.2 Caracterização da Transferência Internacional de Dados

A transferência internacional de dados ocorre quando há a transferência de dados pessoais para agente de tratamento localizado em país estrangeiro ou que seja organismo internacional.

Isso inclui, por exemplo, o armazenamento em servidores localizados no exterior ou o compartilhamento de dados com uma filial internacional de uma empresa.

 Atenção
A coleta internacional de dados, assim definida a obtenção direta de dados pessoais do titular por um agente de tratamento situado no exterior, não é considerada transferência internacional de dados. No entanto, essa coleta deve estar em conformidade com as disposições da LGPD, especialmente quando o tratamento for realizado no território nacional, quando o objetivo for oferecer bens ou serviços aos titulares de dados localizados no Brasil ou, ainda, quando os dados coletados dirão respeito a indivíduos no Brasil.

3.3 Aplicação da Legislação Nacional de Proteção de Dados Pessoais

Via de regra, a LGPD aplica-se a qualquer operação de tratamento de dados pessoais realizada em território nacional, independentemente de onde os dados sejam armazenados ou tratados posteriormente. Assim, mesmo em casos de transferência internacional, as exigências da LGPD devem ser rigorosamente seguidas.

3.4 Hipótese Legal e Mecanismo de Transferência

A transferência internacional de dados deve ser conduzida de maneira rigorosa, garantindo que os dados pessoais sejam tratados para fins legítimos, específicos, explícitos e previamente informados ao titular. A continuidade do tratamento deve ser compatível com as finalidades originais, evitando qualquer desvio de propósito. Para que essa transferência ocorra legalmente, é necessário que ela se baseie em uma das hipóteses legais estabelecidas na LGPD e utilize um dos mecanismos de transferência válidos. Esses mecanismos incluem a transferência para países ou organismos internacionais reconhecidos pela ANPD como possuidores de um grau adequado de proteção de dados, a utilização de cláusulas-padrão contratuais, normas corporativas globais, ou outras hipóteses previstas na LGPD. Além disso, a transferência deve ser restrita ao mínimo necessário, assegurando que os dados transferidos sejam pertinentes, proporcionais e não excessivos em relação às finalidades específicas do tratamento.

4. Decisão de Adequação

A decisão de adequação é um instrumento utilizado pela ANPD para reconhecer que um país ou organização internacional possui um nível de proteção de dados pessoais equivalente ao exigido pela LGPD. Os critérios avaliados incluem:

• Normas gerais de proteção de dados: Existência de uma legislação de proteção de dados robusta e abrangente.
• Direitos dos titulares: Garantias legais para que os titulares possam exercer seus direitos de forma efetiva.
• Supervisão independente: Presença de uma autoridade de proteção de dados independente e com poder para aplicar sanções.

Assim, a emissão de uma decisão de adequação pela ANPD permite a transferência de dados pessoais para o país ou organização internacional avaliado, sem necessidade de mecanismos adicionais de proteção. Consultores devem acompanhar as decisões da ANPD para orientar adequadamente seus clientes sobre os países considerados adequados.

5. Cláusulas-Padrão Contratuais

5.1 Medidas de Transparência

As cláusulas-padrão contratuais são cláusulas aprovadas pela ANPD que estabelecem obrigações específicas para as partes envolvidas na transferência de dados, garantindo que os dados sejam tratados de acordo com a LGPD. Entre as medidas de transparência, destacam-se:

• Informações claras: Detalhamento das partes envolvidas, finalidade da transferência e direitos dos titulares.
• Responsabilidades definidas: Estabelecimento das obrigações de cada parte em relação à proteção dos dados.

Minuta de Contrato com Cláusulas-Padrão Contratuais para Transferência Internacional

Para auxiliar os agentes de tratamento no cumprimento das diretrizes estabelecidas pela LGPD, segue minuta de contrato com cláusulas-padrão contratuais para transferência internacional conforme aprovadas pela ANPD que pode ser utilizado e adaptado às necessidades específicas de cada organização:

5.2 Cláusulas-Padrão Contratuais Equivalentes

Além das cláusulas-padrão aprovadas pela ANPD, é possível utilizar cláusulas contratuais equivalentes, desde que elas ofereçam garantias de proteção de dados similares ou superiores. Essas cláusulas devem ser submetidas à aprovação da ANPD.

6. Cláusulas Contratuais Específicas

As cláusulas contratuais específicas são utilizadas para situações onde as cláusulas-padrão não são aplicáveis ou não cobrem todos os aspectos da transferência de dados. Essas cláusulas devem ser desenhadas de forma a garantir que a proteção de dados seja mantida em todas as etapas do processo, e devem ser aprovadas pela ANPD antes de serem implementadas.

7. Das Normas Corporativas Globais

As normas corporativas globais (BCRs – Binding Corporate Rules) são políticas internas de proteção de dados adotadas por grupos empresariais multinacionais. As BCRs garantem que todas as empresas do grupo sigam os mesmos padrões de proteção de dados, independentemente do país onde estão localizadas. A adoção de BCRs pode facilitar a transferência internacional de dados dentro de um grupo empresarial, desde que elas sejam aprovadas pela ANPD.

8. Disposições Comuns às Cláusulas Contratuais Específicas e Normas Corporativas Globais

8.1 Medidas de Transparência

Tanto as cláusulas contratuais específicas quanto as normas corporativas globais devem incluir medidas de transparência, garantindo que os titulares sejam informados sobre como seus dados serão tratados. Isso inclui:

• Comunicação clara e acessível: O controlador deve publicar em seu site um documento em linguagem simples que explique a transferência internacional de dados.
• Informação: O controlador deve fornecer ao titular, mediante solicitação, a íntegra das cláusulas contratuais específicas ou das normas corporativas globais.
• Atualizações regulares: Notificação aos titulares sobre qualquer mudança significativa nas práticas de tratamento de dados.

8.2 Alterações

Qualquer alteração nas cláusulas contratuais específicas ou nas normas corporativas globais deve ser comunicada à ANPD e aos titulares dos dados. É importante que as mudanças não reduzam o nível de proteção originalmente acordado.

Conclusão

A conformidade com as normas de transferência internacional de dados exige atenção cuidadosa às diretrizes e requisitos estabelecidos pela LGPD e pela ANPD. Um bom software LGPD pode auxiliar nessa missão, facilitando a implementação e manutenção da adequação em privacidade e proteção de dados. Para consultores e especialistas em privacidade, é essencial estar atualizado e garantir que as práticas adotadas por seus clientes estejam em conformidade com a legislação, oferecendo proteção adequada aos dados pessoais em todos os momentos.

Referências:

• Lei Geral de Proteção de Dados Pessoais (LGPD)
• Resolução CD/ANPD nº 19/2024

The post Transferência Internacional de Dados appeared first on Avinto.

Bases Legais para o Tratamento de Dados pelo Poder Público

Consentimento

No âmbito do Poder Público, a utilização do consentimento como base legal para o tratamento de dados pessoais é limitada. Em muitas situações, o tratamento é necessário para o cumprimento de obrigações legais, não sendo adequado depender do consentimento do titular. No entanto, quando utilizado, deve-se garantir que o titular tenha a possibilidade real de autorizar ou não o tratamento, sem que de sua manifestação de vontade resultem restrições significativas à sua condição jurídica ou ao exercício de direitos fundamentais.

Legítimo Interesse

A aplicação do legítimo interesse no setor público, da mesma forma que ocorre com o consentimento, também é mais limitada. Esta base legal não é apropriada para tratamentos compulsórios ou obrigatórios decorrentes de lei e do exercício de prerrogativas estatais típicas. Contudo, pode ser utilizada quando o tratamento não for compulsório e houver uma ponderação equilibrada entre os interesses do controlador e os direitos dos titulares.

Cumprimento de Obrigação Legal ou Regulatória

Esta base legal é amplamente utilizada pelo Poder Público e aplica-se em dois contextos: normas de conduta e normas de organização. As normas de conduta referem-se a regras que estabelecem comportamentos específicos, em geral
estabelecendo um fato ou uma hipótese legal, com uma possível consequência jurídica em caso de descumprimento (como, por exemplo, a divulgação da agenda de compromissos públicos de autoridades), enquanto as normas de organização estruturam órgãos e entidades públicas, definindo suas competências e atribuições. Estas são parte essencial
do exercício de prerrogativas estatais típicas, uma vez que necessário para viabilizar a própria execução das atribuições, competências e finalidades públicas da entidade ou do órgão público.

O tratamento de dados pessoais no setor público deverá ser realizado “com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”, observando-se o interesse público e o atendimento da finalidade pública do controlador.

Execução de Políticas Públicas

O tratamento de dados pessoais para a execução de políticas públicas é essencial para o funcionamento da administração pública. Esta base legal permite que órgãos e entidades dos três Poderes e entes federativos, inclusive das Cortes de Contas e do Ministério Público, tratem dados com o objetivo de implementar programas e ações governamentais.

O conceito de política pública deve ser interpretado de forma ampla, de modo a abranger qualquer programa ou ação governamental, definido em instrumento formal, isto é, lei, regulamento ou ajuste contratual, cujo conteúdo inclua, em regra, objetivos, metas, prazos e meios de execução.

Princípios do Tratamento de Dados Pessoais pelo Poder Público

Finalidade e Adequação

O tratamento de dados pelo Poder Público deve observar os princípios da finalidade e adequação, garantindo que o tratamento de dados pessoais seja realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

Ainda, no âmbito do setor público, o tratamento de dados pessoais deve atender a uma finalidade pública, que seja:

• Legítima: ou seja, lícita e compatível com o ordenamento jurídico, além de amparada em uma base legal, que autorize o tratamento;
• Específica: de maneira que a partir da finalidade seja possível delimitar o escopo do tratamento e estabelecer as garantias necessárias para a proteção dos dados pessoais;
• Explícita: isto é, expressa de uma maneira clara e precisa; e
• Informada, isto é, disponibilizada em linguagem simples e de fácil compreensão e acesso ao titular dos dados.

Necessidade

A coleta de dados deve ser limitada ao mínimo necessário para a realização dos objetivos públicos. Evitar a coleta indiscriminada é uma medida essencial para proteger os direitos dos titulares.

No que se refere a esse princípio, entidades e órgãos públicos devem verificar se as informações habitualmente coletadas dos cidadãos – como cópias de documentos de identidade ou dados solicitados em formulários padrão – são, de fato, necessárias para as finalidades pretendidas, não sendo aceitável a prática de coleta indiscriminada de dados pessoais, especialmente daqueles para os quais não foi identificada uma finalidade específica e legítima para o tratamento.

Exemplo da aplicação deste princípio ocorre quando se constata que dados como estado civil e endereço residencial de contratantes num processo licitatório não sejam necessários para a identificação dos responsáveis pela contratação e para viabilizar o exercício do controle social sobre a atividade do órgão público. Assim, a fim de limitar o tratamento
ao mínimo necessário para a realização de suas finalidades, o ideal é não coletar esses tipos de dados

Transparência e Livre Acesso

A transparência é um princípio fundamental da LGPD. Órgãos públicos devem assegurar que os titulares tenham acesso fácil e compreensível às informações sobre o tratamento de seus dados pessoais.

Assim, enquanto o princípio da transparência impõe obrigações gerais que requerem uma postura ativa do agente de tratamento, o qual deve disponibilizar as informações exigidas pela lei independentemente de solicitação do titular, o princípio do livre acesso, por sua vez, enfatiza a necessidade de que o agente de tratamento ofereça mecanismos eficazes para que o titular possa solicitar e obter, de forma facilitada e gratuita, determinadas informações sobre o tratamento de seus dados pessoais.

Compartilhamento de Dados Pessoais pelo Poder Público

O compartilhamento de dados pessoais é a operação de tratamento em que órgãos e entidades públicas concedem permissão de acesso ou transferem uma base de dados pessoais a outro ente público ou a entidades privadas, com o objetivo de atender a uma finalidade pública.

Formalização e Registro

O compartilhamento de dados entre entidades públicas deve ser formalizado e devidamente registrado em contratos, convênios ou instrumentos firmados entre as partes ou lastreados em decisões administrativas devidamente expedidas, garantindo a rastreabilidade e a conformidade com a LGPD, em atenção às normas gerais que regem os procedimentos administrativos e, também, em atenção à obrigatoriedade de registro das operações de tratamento.

Objeto e Finalidade

Os dados compartilhados devem ter um objeto claro e uma finalidade específica, com a indicação precisa, por exemplo, de qual iniciativa, ação ou programa será executado ou, ainda, de qual atribuição legal será cumprida mediante o compartilhamento dos dados pessoais, alinhados às competências legais das entidades envolvidas.

Ademais, em qualquer hipótese, deve ser avaliada a compatibilidade entre a finalidade original da coleta e a finalidade do compartilhamento dos dados.

Base Legal

A base legal para o compartilhamento deve ser claramente definida e documentada no ato que autoriza ou formaliza o compartilhamento, assegurando a legalidade do processo.

Duração do Tratamento

É importante que o tratamento de dados pessoais seja um processo com duração definida, inclusive para possibilitar reavaliação periódica do instrumento que autorizou o compartilhamento. Assim, os dados devem ser mantidos apenas pelo período necessário para o cumprimento das finalidades estabelecidas, sendo eliminados após o término desse prazo.

Transparência e Direitos dos Titulares

Os atos que regulamentam e autorizam o compartilhamento de dados pessoais devem prever maneiras de cumprir o princípio da transparência, assegurando a disponibilização de informações claras, precisas e acessíveis aos titulares sobre a realização do compartilhamento e como exercer seus direitos.

Uma prática recomendada é divulgar essas informações nas páginas eletrônicas dos órgãos e entidades responsáveis.

Prevenção e Segurança

Órgãos públicos devem adotar medidas técnicas e administrativas eficazes para garantir a segurança dos dados pessoais, prevenindo acessos não autorizados e outros incidentes de segurança. Tais medidas organizacionais, além de previstas nos atos que regem e autorizam o compartilhamento dos dados, devem ser proporcionais aos riscos às liberdades civis e aos direitos fundamentais dos cidadãos envolvidos no caso concreto.

Outros Requisitos

Além da segurança, devem ser observados requisitos adicionais, como a realização de avaliações de impacto à proteção de dados pessoais, as quais podem auxiliar a motivação da decisão a ser proferida pela autoridade competente e a implementação de boas práticas de governança.

Divulgação de Dados Pessoais pelo Poder Público

O tratamento de dados pessoais pelo Poder Público, incluindo a divulgação pública de dados, deve observar as normas que garantem a proteção integral dos dados pessoais, a autodeterminação informativa e o respeito à privacidade dos titulares durante todo o ciclo do tratamento.

Proteção de Dados Sensíveis

Os dados pessoais sensíveis estão sujeitos a uma proteção jurídica especial. Portanto, é necessário adotar maior cautela ao tratar esses dados, especialmente quando se trata da divulgação de resultados de estudos em saúde pública.

Princípios de Finalidade, Adequação e Necessidade

Os princípios da finalidade, adequação e necessidade impõem limites claros ao tratamento de dados pessoais. As entidades e órgãos públicos devem verificar se as informações coletadas são adequadas e necessárias para os objetivos propostos. A coleta indiscriminada de dados deve ser evitada, preferindo-se a dispensa da coleta ou a eliminação das informações quando não forem essenciais.

Medidas de Mitigação de Risco

Quando a eliminação dos dados não é possível, podem ser adotadas medidas de mitigação de risco, fortalecendo a segurança na divulgação dos dados pessoais e diminuindo o potencial lesivo aos direitos dos titulares. Essas medidas podem ser descritas em um relatório de impacto à proteção de dados pessoais, que inclui a descrição dos processos de tratamento, riscos, salvaguardas e mecanismos de mitigação de risco.

Limitação da Divulgação

Uma possível salvaguarda é a limitação da divulgação aos dados estritamente necessários para alcançar os objetivos legítimos específicos, com a divulgação de remuneração individualizada de servidores públicos sem a apresentação completa de números como o CPF e a matrícula do servidor, por exemplo.

Contexto e Expectativas dos Titulares

O contexto e as expectativas legítimas dos titulares também são relevantes. Um exemplo é a divulgação de informações pessoais dos servidores, a qual se submete ao escrutínio da sociedade como uma decorrência natural do exercício da atividade pública. Conforme decidido pelo STF, “a remuneração dos agentes públicos constitui informação de interesse coletivo ou geral”, aplicando-se o princípio constitucional da publicidade administrativa, que permite o controle da atividade estatal pelos cidadãos, atuenuando-se os riscos pessoais decorrentes da divulgação com a proibição de se revelar o endereço residencial, CPF e RG de cada servidor.

Medidas Técnicas e Administrativas

Em atenção aos princípios de segurança, prevenção, responsabilização e prestação de contas, órgãos e entidades públicas devem adotar medidas técnicas e administrativas eficazes para comprovar a observância das normas de proteção de dados pessoais. Constitui boa prática realizar o tratamento de dados pessoais considerando a natureza, escopo, finalidade, probabilidade e gravidade dos riscos e benefícios decorrentes do tratamento. Sempre que possível, os dados pessoais devem ser pseudonimizados ou anonimizados.

Garantia de Direitos aos Titulares

Finalmente, a transparência no tratamento de dados e a garantia efetiva dos direitos dos titulares são fundamentais para diminuir o uso indevido de dados pessoais. A possibilidade de os titulares apresentarem requerimentos aos órgãos públicos, relatando eventuais violações a seus direitos, pode viabilizar a correção de erros e a implementação de medidas como a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD, por exemplo.

Conclusão

O tratamento de dados pessoais pelo Poder Público é um desafio complexo que requer atenção a diversos aspectos legais e técnicos. Compreender as bases legais, princípios e requisitos de transparência e segurança é fundamental para garantir a conformidade com a LGPD e a proteção dos direitos dos titulares. Utilizar softwares especializados e contar com consultoria de profissionais experientes são passos essenciais para uma gestão eficiente e segura dos dados públicos.

Para mais informações sobre LGPD, recomendamos visitar o site da Autoridade Nacional de Proteção de Dados (ANPD) e acompanhar as atualizações legislativas e orientações específicas.

Referências:

• Lei Geral de Proteção de Dados (LGPD)
• Autoridade Nacional de Proteção de Dados (ANPD)
• Tratamento de Alto Risco
• 3 Fases do Teste de Balanceamento de Legítimo Interesse

The post Tratamento de Dados Pessoais pelo Poder Público appeared first on Avinto.

É importante ressaltar que o controlador não deve realizar o tratamento com base na hipótese legal do legítimo interesse caso o teste de balanceamento conclua pela prevalência dos direitos e liberdades fundamentais e legítimas expectativas dos titulares.

Não existe uma abordagem única para o teste de balanceamento. Em algumas circunstâncias, o teste pode ser breve ou simplificado, como nos casos em que é claramente identificada a existência de baixo impacto aos direitos dos titulares. Em outras situações, tal avaliação poderá demandar maior detalhamento e robustez, como, por exemplo, no caso de uso de novas tecnologias baseadas em quantidades massivas de dados pessoais.

3 Fases do Teste de Balanceamento

Fase 1: Finalidade

Nesta fase inicial do teste de balanceamento de legítimo interesse, é fundamental analisar o contexto da realização do tratamento, com foco sobre os benefícios gerados e as finalidades que se pretende alcançar. Para tanto, a primeira providência a ser adotada é a verificação da natureza dos dados pessoais, considerando que o legítimo interesse não é aplicável ao tratamento de dados pessoais sensíveis. Além disso, caso o tratamento envolva dados pessoais de crianças e adolescentes, devem ser adotadas as medidas adequadas visando à observância e à prevalência de seu melhor interesse.

Também nesta fase, é crucial identificar e descrever o interesse que justifica o tratamento, seja do controlador ou de terceiros, avaliando-se a sua legitimidade, sua compatibilidade com o ordenamento jurídico, seu embasamento em situações concretas e sua vinculação a finalidades legítimas, específicas e explícitas.

Fase 2: Necessidade

A segunda fase do teste é fundamentada na LGPD, especialmente no art. 7º, IX, que utiliza a expressão “quando necessário”, e no art. 10, §1º, que estabelece que “quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados”.

Neste ponto, cabe ao controlador identificar se o tratamento baseado no legítimo interesse é realmente necessário para atingir os objetivos definidos na fase anterior, além de estabelecer medidas de minimização do uso de dados para alcançar a finalidade pretendida. É essencial privilegiar formas menos intrusivas para atingir a finalidade, analisando se é possível alcançá-la de uma forma menos onerosa e com menores riscos ao titular.

Fase 3: Balanceamento e Salvaguardas

A terceira e última fase do teste de balanceamento consiste na etapa de realização da ponderação entre os interesses do controlador ou de terceiros e os direitos e liberdades fundamentais do titular. Neste ponto, será necessário avaliar o potencial risco e os impactos sobre os titulares dos dados com base nos interesses e nas finalidades identificados nas fases anteriores, balanceando esses riscos com as salvaguardas a serem adotadas e com o acesso claro e preciso aos titulares acerca das informações relativas ao tratamento de seus dados.

É fundamental adotar a perspectiva do titular nesta fase, garantindo que suas legítimas expectativas, direitos e liberdades fundamentais sejam respeitados. Quando os dados pessoais tratados se referirem a crianças ou adolescentes, também deve-se avaliar a prevalência de seu melhor interesse.

Cabe destacar que a existência de um possível risco ou impacto negativo sobre os titulares dos dados não afasta, por si só, a possibilidade de tratamento dos dados pessoais com base no legítimo interesse. O que a LGPD exige não é o impacto zero, mas sim que eventuais impactos sejam minimizados e levados em consideração na adoção de salvaguardas, garantindo que, no caso concreto, os interesses que justificam a realização do tratamento sejam compatíveis com o respeito aos direitos e às liberdades fundamentais do titular.

Prevenção à Fraude e à Segurança: Teste de Balanceamento

A LGPD autorização para o tratamento de dados sensíveis em prol da prevenção à fraude e segurança do titular, especialmente em processos de identificação e autenticação em sistemas eletrônicos. Embora essa autorização seja específica, sua aplicação requer uma análise semelhante à do legítimo interesse para que assim o controlador garanta que, no caso concreto, os direitos fundamentais do titular sejam protegidos, conforme estabelecido na própria legislação.

Modelo de Teste de Balanceamento de Legítimo Interesse

Para auxiliar os controladores no cumprimento das diretrizes estabelecidas pela LGPD e na realização do teste de balanceamento de legítimo interesse, apresentamos a seguir um modelo que pode ser utilizado e adaptado às necessidades específicas de cada organização:

Este modelo de teste de balanceamento pode ser utilizado como um guia inicial para auxiliar as organizações na avaliação da conformidade da escolha da hipótese de tratamento com a LGPD e na proteção dos direitos dos titulares dos dados. No entanto, é importante ressaltar que cada situação deve ser analisada individualmente, levando em consideração o contexto específico do tratamento de dados e os princípios estabelecidos pela legislação de proteção de dados.

Em resumo, o teste de balanceamento de legítimo interesse na LGPD é uma ferramenta crucial para garantir a conformidade legal e proteger os direitos dos titulares dos dados, promovendo uma cultura de privacidade e segurança da informação no ambiente digital. Ao seguir as diretrizes e as melhores práticas estabelecidas pela legislação, os controladores podem conduzir suas atividades de tratamento de dados de forma ética, transparente e responsável, fortalecendo a confiança dos usuários e contribuindo para o desenvolvimento de uma sociedade digital mais justa e equitativa.

Diante da complexidade e das exigências da LGPD, tanto em termos de conformidade legal quanto de proteção eficaz dos dados pessoais, contar com ferramentas e expertise especializada torna-se essencial para as organizações. Neste contexto, tanto um software especializado em LGPD quanto um consultor com conhecimento profundo da legislação desempenham papéis fundamentais.

Referências

• L13709compilado (planalto.gov.br)
• Guia Orientativo Hipóteses Legais de Tratamento de Dados Pessoais – Legítimo Interesse (www.gov.br)

The post 3 Fases do Teste de Balanceamento de Legítimo Interesse appeared first on Avinto.

A LGPD Autoriza Campanhas de Email Marketing?

Embora a LGPD não proíba explicitamente o email marketing, ela estabelece critérios que as empresas devem seguir para garantir que suas práticas estejam em conformidade com a lei. Isso inclui garantir que os usuários tenham controle sobre seus dados pessoais e que suas informações sejam tratadas de maneira segura e transparente.

Benefícios da Adequação do Email Marketing à LGPD

Adequar as práticas de email marketing à LGPD traz diversos benefícios, incluindo uma melhoria na entregabilidade de emails, uma redução na taxa de descadastro (churn rate) das listas de email e uma base de contatos mais qualificada e engajada.

Geração de Leads e a LGPD

A captação e a nutrição de leads são impactadas pela LGPD, exigindo uma abordagem mais transparente e consentida. Estratégias orgânicas de geração de interesse se tornam essenciais para construir relacionamentos sólidos e transparentes com os usuários, respeitando sua privacidade e protegendo seus dados pessoais.

A tônica se tornou alcançar leads por métodos mais orgânicos de geração de interesse e essa mudança de postura traz consigo a importância de uma abordagem mais autêntica e centrada no consentimento do usuário.

Compra da Base de Leads

Embora a compra de uma base de listas de e-mails direcionados para uma campanha não seja automaticamente considerada uma prática ilegal, o contexto em que essas informações são obtidas e transferidas pode torná-la questionável sob a perspectiva da LGPD. Nesse sentido, é fundamental realizar uma análise cuidadosa antes de adquirir uma lista de e-mails, levantando duas questões cruciais:

1. O terceiro com quem você negociou para obter a base de listas de e-mail pode comprovar que os dados foram obtidos de maneira legal?
2. O titular dos dados tinha conhecimento e consentimento explícito de que seus dados seriam utilizados para venda a terceiros?

É fundamental manter registros detalhados de todas as transações relacionadas à obtenção da lista de e-mails, registrando informações relevantes sobre os envolvidos, datas, métodos de obtenção e origem da lista. Além disso, é recomendável formalizar o acordo por meio de um contrato assinado entre as partes, evidenciando a legitimidade e o consentimento para transferência dos dados.

Mesmo após cumprir todos os requisitos legais, o recomendável é realizar uma análise amostral da lista de e-mails adquirida. Isso envolve verificar se há um número significativo de reclamações ou solicitações de descadastro por parte dos usuários. Um alto volume de rejeições pode não apenas levantar questões legais, mas também indicar uma base de dados imprecisa e pouco eficaz para as estratégias de marketing da empresa.

Quando Pode Enviar Email Marketing?

De acordo com a LGPD, é possível enviar email marketing em duas situações específicas:

1. Para clientes que já mantiveram relacionamento com a empresa, como aqueles que realizaram compras ou contrataram serviços, desde que tenham a opção de escolher por não receber comunicações de marketing.
2. Para pessoas físicas que tenham consentido explicitamente em receber comunicações da empresa, também com a opção de escolher por não receber.

Como Adequar Campanhas de Email Marketing à LGPD?

Para garantir conformidade com a LGPD, é essencial seguir algumas práticas recomendadas:

• Separar os contatos que consentiram daqueles que não consentiram em fazer parte da lista.
• Ser claro e direto ao solicitar o consentimento dos usuários, explicando claramente como suas informações serão utilizadas.
• Manter registros detalhados do consentimento obtido, incluindo data, hora e forma de obtenção.
• Oferecer opções claras de opt-out/revogação do consentimento, garantindo que os usuários possam retirar seu consentimento a qualquer momento.

Ainda, é crucial atentar-se a algumas diretrizes para garantir conformidade com a LGPD e promover uma abordagem transparente e ética no tratamento de dados:

• Certifique-se de que o consentimento obtido durante a coleta do e-mail seja específico para o envio de campanhas de e-mail e newsletters. Os dados não devem ser utilizados para outros fins, como veiculação de anúncios ou formação de perfis, sem o consentimento explícito do usuário.
• Transparência é fundamental. Sua política de privacidade deve comunicar de maneira clara e acessível como os dados do lead serão utilizados, de forma condizente com o consentimento exarado.
• O consentimento deve ser granular e específico. Ofereça aos usuários a possibilidade de escolher os tipos de mensagens ou conteúdos que desejam receber. Caixas de seleção como “Quais conteúdos deseja receber?” ajudam a segmentar melhor os clientes com base em seus interesses, além de estarem alinhadas com as exigências da LGPD.
• Inclua um link de opt-out em seus templates de e-mail, permitindo que os usuários revoguem seu consentimento de assinatura facilmente, caso desejem.
• Minimize a quantidade de dados coletados. Apenas os dados estritamente necessários para alcançar as finalidades pretendidas devem ser solicitados, em conformidade com os princípios da adequação e necessidade da LGPD. Por exemplo, se o objetivo é enviar conteúdo por e-mail, o e-mail muitas vezes é o suficiente, sendo o nome justificável para uma entregada mais personalizada, porém outros dados, como o telefone, já não se mostram pertinentes, por exemplo.
• Evite coletar dados pessoais sensíveis, como informações sobre origem étnica e racial, associação a organizações políticas ou religiosas, dados de saúde, vida sexual ou dados biométricos.

Ao seguir essas orientações, você estará não apenas em conformidade com a LGPD, mas também construindo relacionamentos mais transparentes e confiáveis com seus leads e clientes.

Exemplos de Textos para Formulários de Consentimento

Os formulários de consentimento devem ser claros e informativos, explicando claramente o propósito da coleta de dados e oferecendo opções claras de escolha aos usuários. Alguns exemplos incluem:

• “Assine nossa newsletter para receber atualizações e promoções.”
• “Receba o melhor conteúdo do nosso blog diretamente em sua caixa de entrada.”
• “Inscreva-se para receber informações sobre nossos próximos eventos.”

Exemplos práticos:

Principais Hipóteses de Tratamento Aplicáveis ao Email Marketing

Duas bases legais são especialmente relevantes para o email marketing: consentimento do titular dos dados e legítimo interesse da empresa. É essencial avaliar cada caso para garantir conformidade com a LGPD.

Consentimento

O consentimento deve ser livre, inequívoco e informado, com a opção de escolha clara para o titular dos dados. O titular precisa ter uma verdadeira opção de consentir ou não. É importante garantir que o consentimento seja obtido de forma transparente e que os usuários estejam cientes de como suas informações serão utilizadas.

Ainda, o consentimento deve ser expresso, ou seja, deve partir de uma conduta ativa do usuário e não mero padrão de navegação, por exemplo. Se a opção de autorização já estiver pré-assinalada, por exemplo, ela dificilmente será considerada como válida e eficaz.

Legítimo Interesse

O legítimo interesse é uma base legal importante sob a LGPD, que requer uma cuidadosa ponderação dos direitos e liberdades fundamentais dos titulares de dados e, por isso mesmo, importa em alguns ônus adicionais à instituição que o utilizam. Ao optar por essa base, é essencial considerar se o destinatário esperaria receber a mensagem em questão em situações cotidianas, normalmente por já possuir um relacionamento com a empresa, por exemplo. Além disso, é crucial equilibrar esses interesses legítimos com os direitos individuais dos titulares, lembrando que o legítimo interesse não pode ser utilizado quando há dados pessoais sensíveis.

Um exemplo prático do uso do legítimo interesse é o conceito de adesão flexível, também conhecido como soft opt-in, em campanhas virtuais. Esse modelo envolve uma série de situações de e-mail marketing que atendem a três critérios principais: primeiro, há um relacionamento preexistente entre o responsável pelo tratamento dos dados e o titular; segundo, a estratégia de marketing visa oferecer produtos ou serviços semelhantes aos desejados ou adquiridos anteriormente pelo titular; terceiro, é facilitada a opção de não consentimento, tanto no momento da adesão quanto no recebimento futuro de comunicações da empresa (opt-out).

Essa abordagem visa garantir uma interação transparente e ética com os titulares de dados, promovendo a liberdade de escolha e o respeito à privacidade dos indivíduos. Ao seguir essas diretrizes, as empresas podem utilizar o legítimo interesse de maneira responsável e em conformidade com as exigências legais estabelecidas pela LGPD.

Opt-out, Oposição e Revogação do Consentimento

É importante oferecer opções claras de opt-out e revogação do consentimento, garantindo que os usuários possam retirar seu consentimento a qualquer momento. Isso inclui garantir que os usuários possam facilmente optar por não receber mais comunicações da empresa e que suas informações sejam removidas da lista de contatos, se desejado.

Se a base legal utilizada for o legítimo interesse, essa manifestação pode ser considerada como uma oposição, dependendo do contexto. Em vez de apagar o e-mail, a organização deve apenas sinalizar que aquele endereço está na lista de titulares que não desejam receber mais comunicações. Isso evita erros futuros, já que a exclusão dos dados poderia resultar no envio inadvertido de novos e-mails ao titular.

Outra situação a ser considerada é o pedido de eliminação dos dados. Nesse caso, é importante agir conforme a solicitação do titular, garantindo que seus dados sejam removidos de forma eficaz e segura, em conformidade com os requisitos da LGPD.

Como Adequar uma Base de Leads à LGPD

Para adequar uma base de leads à LGPD, é crucial realizar uma análise meticulosa para compreender e distinguir quais leads possuem uma base legal adequada. Este é um processo que demanda atenção e cautela. É necessário revisar todos os dados e interações com esses leads para identificar quais deles já estão em conformidade com a legislação. É provável que muitos desses contatos se enquadrem nas bases legais de Consentimento, Legítimo Interesse e Contratos.

O legítimo interesse pode ser aplicado aos clientes com os quais você já possui relacionamento estabelecido. Por outro lado, contratos são uma hipótese de tratamento adequada para e-mails transacionais e de negociação. Já para situações como campanhas de venda e marketing, o consentimento é a base legal mais apropriada. Para garantir a conformidade, é fundamental confirmar se os leads desejam continuar recebendo suas comunicações. Uma estratégia eficaz para isso é o Consentimento Retroativo, que consiste no envio de uma campanha de e-mail marketing solicitando o consentimento dos leads para continuar a comunicação. É importante ressaltar que a falta de atualização nesse processo pode resultar em uma violação da LGPD. Portanto, é recomendável perguntar explicitamente aos leads se desejam permanecer em sua base de dados e deixar claro o propósito do envio de e-mails.

Ao seguir essas diretrizes, não apenas você estará em conformidade com a legislação de proteção de dados, mas também estabelecerá uma relação de confiança e transparência com seus leads, fortalecendo sua estratégia de marketing.

Referências

• Lei Geral de Proteção de Dados Pessoais (planalto.gov.br)
• Guia de Proteção de Dados Pessoais – Marketing (fgv.br)

The post LGPD e Email Marketing: Estratégias para Adequação appeared first on Avinto.

1. Definição de Legítimo Interesse

Legítimo interesse é uma hipótese legal prevista no art. 7º, IX da Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018). Essa hipótese permite o tratamento de dados pessoais gerais, não sensíveis, quando necessário para atender aos interesses legítimos do controlador ou de terceiros. No entanto, é importante ressaltar que esses interesses e finalidades devem estar em conformidade com os direitos e liberdades fundamentais do titular de dados, exigindo a proteção de suas informações pessoais.

2. Natureza dos dados pessoais

Antes de aplicar a hipótese legal do legítimo interesse na LGPD, o controlador deve analisar a natureza dos dados pessoais que serão tratados. Essa análise é crucial para determinar se a hipótese legal é aplicável ao caso concreto. É importante destacar que essa base legal não se aplica ao tratamento de dados pessoais sensíveis, uma vez que sua previsão está apenas no art. 7º da LGPD e não no art. 11, que trata dos dados pessoais sensíveis.

No entanto, o art. 11, II, g, da LGPD autoriza o tratamento de dados pessoais sensíveis quando for necessário para a garantia da prevenção à fraude e à segurança do titular nos processos de identificação e autenticação de cadastro em sistemas eletrônicos. Essa autorização é aplicável apenas para atender a uma dessas finalidades específicas, como a prevenção à fraude e essa autorização requer, de igual modo ao legítimo interesse, uma análise e um teste de balanceamento.

2.1 Dados pessoais de crianças e adolescentes

No que diz respeito ao tratamento de dados pessoais de crianças e adolescentes, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o Enunciado nº 1/2023, estabelecendo que o tratamento desses dados pode ser realizado com base nas hipóteses legais previstas nos artigos 7º e 11 da LGPD, desde que seja observado e prevaleça o princípio do melhor interesse da criança ou adolescente, conforme o art. 14 da LGPD. Isso significa que é possível utilizar o legítimo interesse e outras hipóteses legais para o tratamento desses dados, desde que o interesse da criança ou adolescente seja considerado e protegido.

3. Teste de Balanceamento

A aplicação do legítimo interesse na LGPD requer um teste de balanceamento, no qual os interesses do controlador ou de terceiros são ponderados em relação aos direitos e legítimas expectativas dos titulares. Esse teste de balanceamento deve considerar fatores como a finalidade do tratamento, os direitos fundamentais dos titulares e a minimização e proporcionalidade do tratamento em relação aos interesses envolvidos.

4. Interesse legítimo

Para aplicar o legítimo interesse, o controlador deve identificar e avaliar a legitimidade do interesse que justifica o tratamento dos dados pessoais. Esse interesse deve atender a três condições:

1. Compatibilidade com a legislação: o tratamento dos dados pessoais não deve ser vedado pela legislação vigente e nem pode, direta ou indiretamente, contrariar disposições legais nem os princípios aplicáveis ao caso;
2. Lastro em situações concretas: afastando interesses considerados a partir de situações futuras, abstratas ou meramente especulativas;
3. Vinculação a finalidades legítimas, específicas e explícitas: descritas de forma clara e precisa, delimitando o escopo do tratamento e permitindo a ponderação dos interesses do controlador ou terceiros com os direitos e legítimas expectativas dos titulares.

Garantir maior segurança e promover serviços do controlador são exemplos de interesses que podem ser atendidos com o tratamento de dados pessoais.

4.1 Interesse de Terceiro

O interesse de terceiro pode ser associado a qualquer pessoa natural ou jurídica, ou mesmo a um grupo de pessoas. Isso também inclui os interesses da coletividade, abrangendo toda a sociedade. Não há diferença nos requisitos legais aplicáveis para o interesse do controlador ou de terceiros. Portanto, o tratamento de dados pessoais com base no legítimo interesse de terceiro requer a mesma análise e teste de balanceamento que o tratamento de dados pessoais com base no legítimo interesse do controlador.

5. Direitos e Liberdades Fundamentais

Um ponto essencial é garantir a autodeterminação informativa, que é o direito do titular de ter o controle sobre o uso de seus dados pessoais. Os controladores devem agir de maneira responsável, garantindo que os titulares tenham conhecimento e participem ativamente das decisões relacionadas ao tratamento de seus dados. Isso inclui o direito do titular de se opor ao tratamento realizado com base no legítimo interesse. Portanto, é fundamental que os controladores disponibilizem canais de fácil acesso para que os titulares possam exercer seus direitos e solicitar medidas como o término do tratamento e a exclusão de seus dados pessoais, quando aplicável.

6. Legítima expectativa do titular

O controlador deve avaliar e ser capaz de demonstrar que o tratamento dos dados pessoais é razoavelmente esperado pelos titulares naquela situação específica. Essa avaliação da legítima expectativa pode levar em consideração vários fatores, como a existência de uma relação prévia entre o controlador e o titular, a forma de coleta dos dados e a finalidade original da coleta. É importante que o tratamento esteja em conformidade com a expectativa razoável do titular em relação ao contexto e finalidade do tratamento.

Exemplo de aplicação do legítimo interesse:

• Envio de mensagens com propagandas para clientes de lojas virtuais;
• Envio de descontos da editora de uma instituição de ensino aos seus alunos;
• Dados de crianças e adolescentes e rede wi-fi da escola;
• Câmera de segurança em shopping center.

Conclusão

O legítimo interesse é uma base legal de tratamento no âmbito da LGPD que permite o tratamento de dados pessoais gerais, desde que sejam atendidas as condições de compatibilidade com a legislação, lastro em situações concretas e vinculação a finalidades legítimas, específicas e explícitas. Essa hipótese também pode ser aplicada para o tratamento de dados pessoais de crianças e adolescentes, desde que sejam observados e prevaleça o princípio do melhor interesse desses indivíduos.

Ao utilizar o legítimo interesse como base legal para o tratamento de dados pessoais, os controladores devem avaliar e equilibrar os interesses do controlador ou de terceiros com os direitos, legítimas expectativas e liberdades dos titulares. É essencial garantir a autodeterminação informativa dos titulares e oferecer meios para que exerçam seus direitos de maneira efetiva.

Em resumo, o legítimo interesse é uma importante base legal na LGPD, porém requer uma análise cuidadosa e criteriosa, garantindo a proteção dos dados pessoais. Um bom software LGPD e a consultoria certa podem te auxiliar na análise desse balanceamento.

The post Desvendando o Legítimo Interesse na LGPD appeared first on Avinto.

O que é Transferência Internacional de Dados

A transferência internacional de dados ocorre quando dados pessoais são enviados para países estrangeiros ou organismo internacional do qual o Brasil seja membro. Isso pode incluir a transmissão de dados para filiais, parceiros comerciais, fornecedores ou servidores localizados em território estrangeiro. É importante ressaltar que a LGPD se aplica a qualquer organização que colete, armazene ou processe dados pessoais de residentes brasileiros, independentemente de onde a organização esteja sediada.

Quando é Permitida a Transferência Internacional de Dados Segundo a LGPD

A transferência internacional de dados somente poderá ser realizada para atender a propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

A LGPD prevê, ainda, as situações em que a transferência internacional de dados é permitida:

1. Para países ou organismos internacionais que ofereçam níveis adequados de proteção de dados, alinhados aos padrões da LGPD.
2. Quando houver garantias oferecidas pelo controlador de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados.
3. Quando a transferência necessária para cooperação jurídica internacional entre órgãos públicos ou para execução de política pública .
4. Transferência essencial para proteger a vida ou a integridade física do titular ou terceiros.
5. Mediante autorização da ANPD.
6. Transferência baseada no consentimento específico e destacado do titular, com informação prévia sobre a natureza internacional da operação.
7. Transferência necessária para cumprimento de obrigações legais ou regulatórias, para execução de contrato ou para exercício regular de direitos em processo.

Entender esses cenários é crucial para garantir a conformidade e segurança na manipulação internacional de dados pessoais.

Transferência para Países com Nível de Proteção Diferente do Brasil

Quando a transferência envolve países com níveis de proteção de dados diferentes do Brasil, a LGPD exige que a organização brasileira adote medidas adicionais para garantir a segurança dos dados transferidos. Isso pode incluir a celebração de contratos ou acordos que estabeleçam garantias de proteção adequadas através de cláusulas contratuais específicas, cláusulas-padrão contratuais, normas corporativas globais, selos, certificados ou códigos de conduta regularmente emitidos

Cuidados na Celebração de Contratos e Parcerias com Organizações Estrangeiras

Ao celebrar contratos e parcerias com organizações estrangeiras, é essencial considerar aspectos de proteção de dados. Recomenda-se a inclusão de cláusulas específicas sobre a conformidade com a LGPD e a garantia de que a organização estrangeira adote medidas adequadas de segurança e privacidade dos dados.

Regulamento de Transferências Internacionais de Dados Pessoais

A Autoridade Nacional de Proteção de Dados (ANPD) é responsável por regulamentar as transferências internacionais de dados pessoais. Ela disponibiliza um modelo disponível no Anexo II do Regulamento de cláusulas-padrão contratuais que pode ser adotado pelas organizações para garantir a conformidade com a LGPD ao transferir dados internacionalmente.

Cláusulas-Padrão Contratuais (Data Protection Agreements ou DPAs)

As cláusulas-padrão contratuais, também conhecidas como DPAs, são uma ferramenta fundamental para garantir a conformidade com a LGPD ao transferir dados internacionalmente. Essas cláusulas são modelos predefinidos que estabelecem as obrigações das partes envolvidas na transferência e a proteção dos dados pessoais e estão previstas no Anexo II do Regulamento acima mencionado.

Normas Corporativas Globais (Binding Corporate Rules ou BCRs)

Além das cláusulas-padrão contratuais, as organizações podem considerar a implementação de Normas Corporativas Globais (BCRs). Essas regras internas estabelecem diretrizes globais para o tratamento de dados pessoais, garantindo que as filiais em diferentes países atendam aos padrões de proteção de dados.

Cláusulas Contratuais Específicas

As cláusulas contratuais específicas são instrumentos contratuais personalizados que estabelecem compromissos claros entre o controlador dos dados (na origem) e o destinatário estrangeiro. Essas cláusulas visam garantir que o destinatário adote medidas adequadas de proteção de dados, alinhadas aos princípios e direitos previstos na LGPD. A verificação de tais cláusulas será realizada pela ANPD, nos termos do Regulamento específico.

Casos Práticos

Para ilustrar a importância dessas práticas, consideremos um caso prático: uma empresa brasileira que precisa transferir dados de seus clientes para os servidores de uma empresa localizada nos Estados Unidos. Nesse cenário, a empresa brasileira deve obter o consentimento dos clientes ou utilizar cláusulas-padrão contratuais para garantir a conformidade com a LGPD.

Outros exemplos de transferência internacional de dados são o compartilhamento de base de dados entre empresas do mesmo grupo econômico, armazenamento de dados em data centers localizados no exterior e contratação de provedor de computação em serviço de nuvem.

Conclusão

A transferência internacional de dados é uma realidade para muitas organizações, mas a LGPD estabelece diretrizes rígidas para garantir a proteção dos dados pessoais dos cidadãos brasileiros. É crucial que as empresas estejam cientes das permissões e obrigações estabelecidas pela LGPD ao transferir dados para o exterior. Ao seguir as melhores práticas, como a utilização de cláusulas-padrão contratuais e o modelo da ANPD, as organizações podem cumprir suas obrigações legais e proteger os direitos dos titulares dos dados. Em um mundo cada vez mais conectado, a conformidade com a LGPD na transferência internacional de dados é essencial para manter a confiança dos clientes e evitar possíveis sanções legais.

Referências:

• Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD)
• Autoridade Nacional de Proteção de Dados (ANPD)
• Regulamento de Transferências Internacionais de Dados Pessoais e do modelo de Cláusulas-Padrão Contratuais (ANPD)
• Autoridade Europeia de Proteção de Dados – Regulamento Geral de Proteção de Dados (GDPR)
• Guia de Proteção de Dados Pessoais Transferência Internacional (FGV).

The post LGPD e Transferência Internacional de Dados appeared first on Avinto.

IA e a sua relação com a LGPD – Lei 13.709/2018

A Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais, é a legislação brasileira que estabelece as regras para a coleta, armazenamento e tratamento de dados pessoais. A aplicação da LGPD é ampla e impacta diretamente a forma como a IA é utilizada, uma vez que os algoritmos de IA frequentemente envolvem o tratamento de dados pessoais. A proteção da privacidade e a transparência tornam-se imperativos nesse cenário.

Quais os principais pontos de atenção na intersecção entre a LGPD e Inteligência Artificial?

A LGPD e o direito à explicação nas decisões automatizadas

Um dos principais desafios da integração entre IA e LGPD é garantir o direito à explicação nas decisões automatizadas, conforme previsto no artigo 20 da LGPD. Isso significa que as empresas que utilizam IA devem ser capazes de explicar de forma clara e compreensível como as decisões foram tomadas, especialmente quando essas decisões afetam os direitos e liberdades do usuário.

Reconhecimento facial: até onde transita a privacidade do usuário?

O uso de reconhecimento facial é um tópico controverso quando se trata de privacidade. A LGPD impõe limitações estritas ao tratamento de dados biométricos e a utilização de reconhecimento facial pode ser considerada uma prática sensível. Portanto, é crucial obter o consentimento explícito dos usuários e garantir a segurança e a privacidade desses dados.

LGPD, a inteligência artificial e a proteção da pessoa humana

A LGPD coloca a proteção da pessoa humana no centro de suas preocupações. A IA deve ser usada de maneira a respeitar a dignidade, os direitos e as liberdades dos indivíduos. Além disso, é fundamental evitar o uso de algoritmos que perpetuem discriminações e preconceitos.

Dicas para adequação à LGPD

Aqui estão algumas dicas para as empresas e desenvolvedores que desejam conciliar a IA com a LGPD de forma apropriada:

1. Privacy by Design

Integre a privacidade desde o início do desenvolvimento da IA. Isso significa que a proteção de dados deve ser considerada em todas as fases do ciclo de vida do projeto de desenvolvimento de uma tecnologia.

2. Treinamentos

Capacite sua equipe em relação à LGPD e aos princípios da privacidade. Um entendimento sólido inclusive no que tange ao impacto aos próprios desenvolvedores e equipe é fundamental para garantir a conformidade.

3. Licitude dos Dados

Certifique-se de que os dados coletados e processados sejam obtidos de forma lícita e com o consentimento adequado. Respeitar a finalidade para a qual os dados foram coletados é fundamental.

4. Anonimização e Pseudoanonimização

Utilize técnicas de anonimização ou pseudoanonimização para minimizar o risco de identificação dos indivíduos a partir dos dados. Isso pode ajudar a reduzir a sensibilidade dos dados e os riscos associados.

5. Minimização de dados

Colete apenas os dados estritamente necessários para a finalidade desejada. A coleta excessiva de informações pessoais deve ser evitada.

6. Testes para evitar tratamentos discriminatórios

Realize testes rigorosos para identificar e corrigir qualquer viés ou discriminação nos algoritmos de IA, a fim de garantir que as decisões automatizadas sejam justas e imparciais.

7. Medidas para redução do enviesamento do algoritmo

Desenvolva algoritmos que sejam transparentes e que possam ser auditados. Monitorar e mitigar o enviesamento é essencial para garantir a justiça das decisões automatizadas.

Em resumo, a IA e a LGPD podem ser conciliadas desde que haja uma abordagem cuidadosa e responsável. A proteção da privacidade e a transparência devem ser prioridades em todos os projetos envolvendo IA e dados pessoais. Cumprir com a LGPD não apenas garante a conformidade legal, mas também constrói a confiança dos usuários e contribui para o desenvolvimento ético da IA.

Para informações detalhadas sobre a LGPD, você pode consultar o site oficial da Autoridade Nacional de Proteção de Dados (ANPD) e para atualizações sobre a IA e seus impactos na sociedade, o MIT Technology Review é uma excelente fonte de referência. Em caso de dúvidas, procure um profissional especializado.

The post LGPD e Inteligência Artificial appeared first on Avinto.

Entendendo a LGPD

A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, é a legislação brasileira que visa proteger a privacidade e a segurança dos dados pessoais. Ela entrou em vigor em setembro de 2020 e se aplica a todas as organizações que coletam, processam ou armazenam dados pessoais de cidadãos brasileiros. A LGPD foi criada com o objetivo de dar aos cidadãos o controle sobre seus próprios dados, bem como estabelecer regras rígidas para as empresas que lidam com esses dados.

Introdução à Conformidade com a LGPD

Para garantir a adequação à LGPD, as organizações precisam tomar medidas específicas. A conformidade não é apenas uma questão de evitar penalidades financeiras, mas também de construir a confiança dos clientes e demonstrar responsabilidade corporativa. A seguir, exploramos os princípios fundamentais da conformidade com a LGPD.

Princípios Fundamentais da Adequação à LGPD

A adequação à LGPD é baseada em alguns princípios-chave:

1. Finalidade: Os dados pessoais devem ser coletados para finalidades específicas, legítimas e informadas aos titulares.
2. Adequação: Deve haver compatibilidade do tratamento com as finalidades informadas ao titular.
3. Necessidade: Deve haver uma necessidade legítima para o tratamento dos dados pessoais, evitando a coleta excessiva de informações.
4. Livre Acesso: A consulta dos titulares sobre a forma e duração do tratamento deve ser fácil e gratuita.
5. Transparência: As organizações devem ser transparentes quanto ao tratamento de dados, informando os titulares de forma clara, precisa e fácil sobre como suas informações serão usadas.
6. Segurança: Medidas de segurança adequadas devem ser implementadas para proteger os dados pessoais contra acesso não autorizado e vazamentos.
7. Não Discriminação: O tratamento de dados pessoais não pode ser utilizado para fins discriminatórios, ilícitos ou abusivos.

Principais Passos para a Adequação à LGPD

Comprometimento da Alta Gestão

O primeiro passo é o comprometimento da alta gestão. É essencial que a liderança da organização esteja alinhada com os princípios da LGPD e entenda a importância de sua implementação, apoiando as práticas necessárias para o compliance, como, por exemplo:

• Analisar e priorizar as ações mais urgentes.
• Projetar ou refinar uma estratégia de privacidade.
• Guiar o estabelecimento da cultura de proteção de dados na instituição.

Criação de Comitê de Privacidade e Nomeação de DPO

A formação de um Comitê de Privacidade é crucial, uma vez que esse comitê será responsável por supervisionar a implantação e conformidade com a LGPD. Além disso, é necessário nomear um Encarregado de Proteção de Dados (DPO), uma figura-chave para garantir a observância da lei, uma vez que é o ponto focal de interlocução entre o titular dos dados, a Autoridade Nacional de Proteção de Dados (ANPD) e os agentes de tratamento.

Avaliação das Atividades de Tratamento de Dados da Organização e Fundamentos Legais

A organização deve realizar um mapeamento minucioso de suas atividades de tratamento de dados. Isso envolve identificar quais dados são coletados, como são processados, até mesmo como são descartados e com base em quais fundamentos legais. Nessa etapa, de alta importância a correta documentação e avaliação das seguintes informações:

• Agentes de tratamento
• Finalidade
• Dados pessoais tratados
• Categorias dos titulares dos dados pessoais
• Compartilhamento dados pessoais
• Encarregado
• Bases legais para tratamento
• Tempo de retenção
• Transferência internacional

Fazer download planilha de mapeamento de dados (modelo para registro das atividades de tratamento) clicando aqui.

Implementação de Medidas e Políticas de Proteção de Dados

Com base na análise anterior, é essencial implementar medidas técnicas de segurança da informação (como por exemplo, controles de acesso, segurança dos dados pessoais armazenados, segurança das comunicações) e políticas necessárias à proteção de dados. Isso inclui política de privacidade, política de segurança da informação, protocolos de criptografia e outras salvaguardas.

Avaliação dos Riscos e Impactos na Privacidade e Proteção de Dados

As organizações também devem conduzir avaliações de impacto à privacidade (Relatório de Impacto à Proteção de Dados Pessoais – RIPD ou DPIAs) para descrever os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Isso é fundamental para garantir a segurança dos dados.

Adequação de Contratos, Obtenção de Consentimento e Gerenciamento dos Direitos dos Titulares de Dados

Os contratos com terceiros que têm acesso aos dados pessoais devem ser revisados e atualizados para garantir a conformidade com a LGPD. Deverá ser avaliada a necessidade de novas cláusulas conforme os princípios da LGPD:

• Responsabilidades do controlador e operador;
• Forma da coleta e o tratamento de dados;
• Forma de armazenamento de dados;
• Garantia dos direitos dos titulares;
• O detalhamento de quem tem acesso aos dados, o responsável por seu uso e tratamento;
• As particularidades de possíveis auditorias;
• As medidas de proteção e segurança dos dados tratados pela contratada.

Além disso, obter o consentimento dos titulares de dados é uma prática obrigatória para os tratamentos cuja base legal seja o consentimento, conforme identificado durante o mapeamento.

Garantia da Segurança dos Dados e Notificação de Violações

As empresas devem investir na segurança dos dados, adotando tecnologias e práticas que protejam as informações pessoais. Além disso, em caso de violações de dados, a LGPD exige a notificação imediata às autoridades e aos titulares dos dados afetados.

Treinamento e Educação dos Colaboradores

A conscientização é fundamental. Todos os funcionários devem ser treinados para entender a LGPD e seu papel na proteção dos dados pessoais. O treinamento e a conscientização de colaboradores é o que garante que a privacidade seja implementada desde a concepção de produtos e serviços.

Manutenção da Adequação à LGPD e Monitoramento Contínuo

A conformidade com a LGPD não é um evento único, mas um processo contínuo. É essencial manter-se atualizado com as mudanças na legislação e monitorar constantemente a eficácia das medidas de proteção de dados. A partir da implementação, é que é feita a gestão de incidentes, a análise dos resultados e a demonstração da evolução das ações e
dos resultados obtidos.

Conte com uma Consultoria LGPD

A conformidade com a LGPD pode ser desafiadora, dada a complexidade das regulamentações e a necessidade de adaptação constante. Nesse contexto, contar com uma consultoria especializada em LGPD pode ser uma estratégia inteligente. Fale conosco e veja como podemos ajudar.

Referências:

1. Lei Geral de Proteção de Dados (LGPD)
2. Autoridade Nacional de Proteção de Dados (ANPD)

A adequação à LGPD é uma obrigação legal e uma oportunidade para fortalecer a confiança do público em sua organização. Não apenas assegura a conformidade com a lei, mas também demonstra um compromisso com a proteção da privacidade e a segurança dos dados pessoais. Portanto, inicie sua jornada em direção à conformidade com a LGPD hoje e proteja os dados que você coleta e processa, beneficiando não apenas sua organização, mas também seus clientes e parceiros.

The post Adequação à LGPD: O Caminho da Conformidade appeared first on Avinto.

The post Cláusulas LGPD nos Contratos appeared first on Avinto.