Sua empresa está em conformidade?

Receba uma avaliação gratuita.


Saiba mais sobre o Impacto da regulamentação sobre dados pessoais nas Empresas.


 

Descomplicando a LGPD

Veja como podemos ajudar a sua empresa!


O que é a Lei de Proteção de Dados Pessoais?

A Lei Geral de Proteção de Dados Pessoais, Lei 13.709 promulgada em 14 de Agosto de 2018, determina que todas as empresas que tratam dados pessoais, sejam de clientes ou funcionários deverão adotar medidas para a proteção e confidencialidade (privacidade) desses dados.

O que são Dados Pessoais?

A Lei define que Dados Pessoais são toda e qualquer informação que possa identificar uma pessoa, desde dados cadastrais até dados relativos ao seu comportamento, incluído números, características pessoais, dados genéticos, entre outros. A Lei além dos Dados Pessoais definiu também o que são Dados Sensíveis e Dados de Crianças e Adolescentes. Sendo os Dados Sensíveis; racial ou étnico, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico. Os Dados de Crianças e Adolescentes seguem a mesma definição de Dados Pessoais e Dados Sensíveis, porém só podem ser tratados com a autorização de um dos responsáveis pelo menor.

O que é tratamento de Dados?

Tratamento de dados é toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Em outras palavras é quando seus dados pessoais ou sensíveis são utilizados para algum fim econômico.

Todas as empresas serão afetadas e deverão se adequar as novas regras?

Em principio sim, todas as empresas serão afetadas e terão que se adequar a nova Lei. A condição básica é a de realizar algum tipo de tratamento de dados pessoais, como por exemplo, desde um simples cadastro de clientes e processamento da folha de pagamentos até tratamentos mais sofisticados para definição de perfil de consumidores, sítios eletrônicos, big data, etc.

Todas as empresas serão afetadas da mesma forma?

Entendemos pelas informações disponibilizadas até o presente momento que existirão diversos níveis de impacto nas empresas, dependendo de seu porte, mas principalmente da finalidade para os quais os dados pessoais serão usados. Podemos oferecer uma classificação de risco para sua empresa variando de 1 a 3, através de uma matriz de risco onde no eixo y são colocados os tipos de dados (sensíveis e não sensíveis) e no eixo x o local do tratamento de dados (interno ou externo) à sua empresa. Uma empresa que trata dados pessoais e os trata internamente tem uma exposição a risco mais controlada do que uma empresa que trata dados sensíveis e em vários ambientes externos à empresa. Mesmo assim riscos de acesso indesejado aos dados pessoais podem ocorrer em qualquer um dos cenários, porém as soluções disponíveis devem ser adequados ao cenário de risco de sua empresa.

O que minha empresa precisa fazer para estar adequada a nova Lei?

Depois de identificar o nível de exposição de sua empresa, basicamente cinco atividades são recomendadas: Mapeamento das Atividades de Tratamento de Dados (clientes, fornecedores e funcionários), tanto a exposição passada como a definição dos tratamentos que serão necessários no futuro (definição da finalidade do tratamento); Revisão dos Contratos para que exista tanto o consentimento do proprietário dos dados pessoais quanto à adequação dos fornecedores (que tratam algum tipo de dado pessoal para sua empresa, como por exemplo, contabilidades externas); Implementar Medidas para a Segurança dos Dados Pessoais que podem ser segregadas em três tipos; a) ações relacionadas à proteção dos dados contra acessos indesejados internos e externos; b) ações de treinamento e orientação dos colaboradores e; c) controle de acesso à informação e segurança dos dados (exemplo: criptografia e anonimização dos dados); Implantar Regras Internas para a Governança Corporativa – que visem perpetuar a cultura dentro da empresa quanto à proteção de dados pessoais, inclusive um plano para gerenciamento de crises; Definir o DPO, a rastreabilidade do tratamento de dados, a forma de atender as demandas dos titulares dos dados, a comunicação com a Autoridade Nacional.

Todas as Empresas devem seguir os passos acima?

Sim, em principio todas as empresas que tratam dados pessoais devem seguir os passos acima, entretanto a complexidade das soluções técnicas deve estar alinhada ao nível de exposição ao risco que sua empresa está exposta, além de considerar o porte e a finalidade para qual o dado pessoal é coletado.

Como a DPOBrasil pode ajudar minha empresa?

Podemos auxiliar em todas as cinco etapas do processo acima mencionadas, desde o Mapeamento das atividades de tratamento de dados de sua empresa, na Revisão e Adequação de seus contratos, incluindo a gestão do consentimento do cliente, na Implementação das medidas de segurança, no Desenho de uma estrutura de governaça corporativa adequado ao tamanho e a finalidade de tratamento de dados de sua empresa e, principalmente atuando como o Encarregado de tratamento de dados para sua empresa, atendendo às demandas dos titulares de dados e fazendo a interface com a Autoridade Nacional.

Quais são as partes envolvidas no tratamento de dados?

Basicamente são as seguintes: TITULAR: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem competem às decisões referentes ao tratamento de dados pessoais; OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; ENCARREGADO: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); AUTORIDADE NACIONAL: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. Sendo que o relacionamento entre as partes se dá através do consentimento do titular para que seus dados sejam tratados com alguma finalidade específica. O receptor dos dados, também denominado Controlador é o responsável em toda a cadeia (inclusive algum fornecedor de serviços ou Operador) para que os dados pessoais e/ou sensíveis sejam tratados com confidencialidade e para os fins específicos para os quais foram coletados. O encarregado é o responsável em nome do Operador para manter o relacionamento entre o Titular, o Operador e a Autoridade Nacional, atendendo às demandas do Titular e prestando informações à Autoridade.

Existem exceções a Lei onde o dado pode ser coletado sem consentimento?

A Lei define as seguintes condições onde o consentimento não é requerido: Para fins particulares e não econômicos; Para fins exclusivamente jornalísticos, artísticos e acadêmicos e; Para segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais. A Lei ainda define o LEGÍTIMO INTERESSE DO CONTROLADOR: o legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: Apoio e promoção das atividades do controlador e; Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei. Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
 

Nossa Missão, Visão e Valores


Somos uma equipe multidisciplinar, com profissionais especializados em Segurança da Informação, Direito Digital /Contratual, Estratégia Empresarial, Processos e Procedimentos, Governança e Compliance; com intensa vida acadêmica e profissional, professores da FGV/FIAP/FECAP, com vasta experiência em detecção, monitoração e mitigação de riscos.

MISSÃO

Desenvolver soluções para atendimento das necessidades das empresas em proteção de dados pessoais.

VISÃO

Ser reconhecida como a melhor referência na América Latina em proteção de dados pessoais para empresas.

VALORES

Ética, fidelidade, transparência, presteza, tenacidade, experiência, sagacidade e comprometimento.
 

Contato

Para receber um contato direto de nossa equipe de atendimento, preencha os dados abaixo que um membro de nossa equipe entrará em contato.


11 3242-7298

WhatsApp 11 99175-1757

Rua XV de Novembro, 184 - 9º andar - São Paulo


Como podemos ajudar ?

 

 


A DPO BRASIL coloca à disposição um canal aberto pronto para fornecer informações, solucionar dúvidas.

 

Open chat
Precisa de ajuda?