A Betha, alinhada com compromissos de conformidade e transparência e ciente de seu papel na transformação da Gestão Pública brasileira, vem compartilhar, com seus integrantes, esta Cartilha sobre a Lei Geral de Proteção de Dados Pessoais ( Lei nº 13.709/2018).
Nela, conheceremos um pouco mais sobre a LGPD, incluindo principais conceitos, explicados de uma forma resumida. Ainda, buscamos trazer outros aspectos fundamentais, como princípios que norteiam a referida legislação, bases legais para o tratamento de dados e os seus direitos como titular dessas informações.
Asseguramos que o nosso maior objetivo é difundir o conhecimento e contribuir para a construção de uma cultura de proteção de dados em nosso país, acompanhando uma tendência mundial de preocupação com a segurança desses dados pessoais e, por vezes, sensíveis, frente a uma vasta gama de vulnerabilidades e ameaças a que estão expostos.
1. Qual a finalidade de uma Lei Geral de Proteção de Dados Pessoais?
A LGPD, inspirada principalmente em um regulamento europeu que trata sobre o mesmo tema, introduz, no sistema legal brasileiro, novos princípios e obrigações que impactam diretamente nas atuais práticas de mercado que se utilizam do tratamento de dados pessoais.
Isso porque, com uma economia cada vez mais baseada em dados (data-driven), surge a necessidade de uma proteção efetiva e regulamentada dos direitos fundamentais à liberdade e à privacidade das pessoas.
O que antes era trazido de forma esparsa pela legislação brasileira - no Marco Civil da Internet, no Código de Defesa do Consumidor, e em diversas outras normas - agora se concentra e ganha forças com a LGPD.
2. Quais conceitos precisamos conhecer?
Separamos abaixo algumas expressões, utilizadas no texto da lei, que precisamos conhecer para compreender melhor as regras trazidas pelas LGPD:
Dado pessoal: é uma informação que permite identificar, direta ou indiretamente, uma pessoa física.
Atenção!
→ Um dado indireto que necessita de uma informação adicional para ser capaz de identificar o seu titular também é considerado um dado pessoal. Ex.: gostos, interesses, endereço IP.
→ Dados de pessoas jurídicas, como CNPJ, razão social, endereço da empresa, não são considerados dados pessoais.
→ Ao contrário do que muitos pensam, a LGPD não protege apenas dados em meios eletrônicos. Assim, cuidados com documentos em cima da mesa de trabalho que contenham dados pessoais também são uma forma de cumprir a LGPD.
Dado pessoal sensível: informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referente à saúde ou à vida sexual, genético ou biométrico, quando vinculado a uma pessoa física.
Atenção! Por que devemos saber a diferença entre dado pessoal e sensível?
→ Cuidado extra, pois os danos causados em eventual incidente de segurança podem trazer algum tipo de discriminação;
→ Bases legais específicas, ou seja, os fundamentos legais para tratamento desses dados podem ser diferentes.
Titular: pessoa física titular dos dados pessoais que são objetos de tratamento.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Eliminação: exclusão de dados ou de um conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
Tratamento: toda operação realizada com dados pessoais - toda mesmo! - como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Controlador: pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Atenção! Pessoa física também pode estar sujeita às obrigações da LGPD se estiver enquadrada nos requisitos do art. 3º.
Operador: pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
Autoridade nacional: órgão da administração pública, responsável por zelar, implementar e fiscalizar o cumprimento desta lei em todo o território nacional. A nossa Autoridade Nacional é chamada de ANPD e você pode conferir mais sobre ela neste link.
Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião do seu tratamento.
Pseudonimização: é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
Agentes de tratamento: o Controlador e o Operador.
Conheça também:
Suboperador: embora não esteja especificada na LGPD, o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, disponibilizado pela ANPD, conceituou esta figura como “aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador”.
Incidente de Segurança: Um evento ou conjunto de eventos indesejados que têm possibilidade significativa de afetar as operações e ameaçar a segurança da informação na Betha.
3. A quem se aplica a LGPD?
Uma das dúvidas mais comuns relacionadas à LGPD é quem estaria obrigado ao cumprimento de suas disposições.
Quando uma operação de tratamento de dados pessoais é realizada por pessoa física ou jurídica - seja esta de direito privado ou público, independentemente do meio, do país de sua sede ou do país de localização dos dados, a LGPD será aplicável caso identificada pelo menos uma das situações abaixo descritas:
I. Operação de tratamento realizada no território nacional;
II. Atividade de tratamento que tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
III. Dados pessoais objeto do tratamento coletados no território nacional.
Atenção!
Conheça algumas das operações de tratamento que não estão sujeitas ao regime legal da LGPD:
I. Realizada por pessoa física para fins particulares e não econômicos. Ex.: manter os dados de amigos e familiares na agenda telefônica;
II. com fins exclusivamente jornalísticos, artísticos e de segurança pública. Ex.: matéria em jornal que comenta sobre a rotina de um artista famoso ou um atleta de clube de futebol.
4. Quais princípios norteiam a LGPD?
Não há como compreender verdadeiramente as disposições da LGPD, senão pelas lentes dos princípios nela previstos. Eles compõem o “espírito” da referida legislação.
Por isso, abaixo você vai conhecer os princípios trazidos pela LGPD que, além da boa-fé, norteiam a proteção de dados no Brasil:
Adequação: diz que é obrigatória a compatibilidade entre o tratamento realizado e as finalidades informadas ao titular;
Finalidade: exige que o tratamento sempre demonstre propósitos legítimos, específicos, explícitos e informados ao titular;
Livre acesso: prevê a garantia, aos titulares de dados, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
Não discriminação: impossibilita a realização do tratamento para fins discriminatórios, ilícitos ou abusivos;
Necessidade: limita o tratamento ao mínimo necessário para a realização de suas finalidades;
Prevenção: obriga à adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
Qualidade dos dados: traz a garantia de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade, e para o cumprimento da finalidade de seu tratamento;
Responsabilização e prestação de contas: prevê a necessidade de uma efetiva demonstração da adoção de medidas eficazes e capazes de comprovar o cumprimento das normas de proteção de dados pessoais;
Segurança: exige, dos Agentes de Tratamento, a utilização de medidas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, por exemplo, perda, destruição e vazamento;
Transparência: garantia de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento.
5. Só é possível tratar dados pessoais mediante consentimento do titular?
Embora o consentimento seja uma das bases legais trazidas pela LGPD que autorizam o tratamento de dados, ele não é a única.
Muitas operações de tratamento podem estar amparadas em outras bases legais também previstas na LGPD, tais como:
I. cumprimento de obrigação legal ou regulatória. Ex.: tratamentos realizados para atender a disposições da CLT, de uma Lei Orgânica Municipal, da Lei de Licitações ou da Lei de Acesso à Informação (LAI).
II. para execução, pela própria Administração Pública, de políticas públicas, em especial, para atendimento da finalidade da Entidade Controladora dos dados, sempre pensando no interesse público.
Atenção!
Para saber mais sobre as bases legais, recomendamos a leitura completa dos artigos 7º, 11 e 23 da LGPD.
Dica LGPD:
Se você atua na Gestão Pública e gostaria de saber mais sobre como a LGPD impacta suas atividades, confira aqui o Guia Orientativo ANPD - Tratamento de Dados Pessoais pelo Poder Público.
6. Quais são os direitos dos titulares de dados pessoais?
Com o intuito de efetivamente proteger os dados das pessoas, a LGPD traz uma série de direitos dos titulares, entregando a estes maior poder e controle sobre as suas próprias informações.
A seguir, listamos as possíveis solicitações que o titular poderá fazer, a qualquer tempo, perante o Controlador, referentes aos seus dados pessoais:
Confirmação da existência de tratamento;
Acesso aos dados;
Correção de dados incompletos, inexatos
ou desatualizados;
Eliminação dos dados pessoais tratados;
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei;
Portabilidade dos dados a outro fornecedor
de serviço ou produto, mediante
requisição expressa;
Informação das entidades públicas e privadas com as quais foi realizado o uso compartilhado de dados;
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
Revogação do consentimento para tratamento dos dados.
Atenção! A LGPD não garante o atendimento imediato e incondicional a todas essas solicitações, sendo permitido aos Controladores que apresentem razões de fato ou de direito que impedem a adoção imediata da providência solicitada.
Para exercer seus direitos de titular de dados, a qualquer momento, perante a Betha, acesse neste link o nosso formulário de requisição de direito do titular de dados.
7. A Proteção de Dados para a Betha
Agora que já conhecemos alguns dos aspectos principais da LGPD, queremos contar um pouco mais sobre como a Betha vem tratando este tema tão importante, que é a Proteção de Dados.
Antes de falarmos sobre medidas implementadas, o primeiro passo que tomamos rumo à construção de uma cultura de proteção de dados em nossa empresa foi a conscientização e o treinamento periódico de todos os nossos colaboradores, os Betthers. Assim, eles entendem suas responsabilidades e passam a aplicar os conhecimentos sobre a LGPD no dia a dia de trabalho.
Além da capacitação, também focamos na adequação de nossos processos e ferramentas.
Conheça abaixo algumas das medidas implementadas:
• Termo de Confidencialidade firmado com todos os Betthers, obrigando-os ao sigilo e integridade de dados pessoais e sensíveis a que venham a ter acesso no cumprimento de suas atividades profissionais;
• Criação de um Comitê para a Proteção de Dados, o C-LGPD, o qual se reúne mensalmente para avaliar o andamento das atividades de adequação à legislação e identificar pontos de melhoria;
• Mapeamento do tratamento de dados pessoais realizados pela Betha, seja na condição de Controladora ou Operadora, identificando as bases legais que nos autorizam a tratar os dados pessoais;
• Adequação de contratos firmados com terceiros (fornecedores, parceiros e revendas);
• Hospedagem dos dados em nuvem com certificados de segurança reconhecidos mundialmente;
• Nomeação de Encarregado de Proteção de Dados;
• Documentação interna adequada - Política de Privacidade disponibilizada em nosso website, Política de Segurança da Informação e Plano de Resposta a Incidentes de Segurança;
• Adoção dos conceitos de “privacy by design” e “privacy by default” nos processos de desenvolvimento das Soluções Betha.
Para saber mais sobre como tratamos este tema na Betha, disponibilizamos, além de nossa Política de Privacidade, o e-mail lgpd@betha.com.br.
Por lá, você poderá entrar em contato direto com o nosso Encarregado de Proteção de Dados (DPO).
Esperamos que esta cartilha consiga despertar o interesse de todas as pessoas, ligadas, de alguma forma, à Betha, e contribua para a discussão desse tema tão importante.
Afinal, a proteção de dados pessoais faz parte de uma nova realidade mundial e um direito de todos nós!
