A LGPD, Lei nº 13.709/2018, é a lei que protege os dados de pessoas físicas no meio físico e digital.
O objetivo de apresentar boas práticas de segurança da informação e de proteção de dados, tendo em vista que ambos demandam uma estrutura organizacional baseada em padrões e diretrizes para reduzir riscos cibernéticos, e ainda, observar os principais aspectos da LGPD (Lei Geral de Proteção de Dados – Lei nº 13.709 de 2018), que possui o propósito de proteger os direitos fundamentais de liberdade e privacidade, e o livre desenvolvimento da personalidade da pessoa natural.
Objetivos:
- Apresentar boas práticas de privacidade e segurança, de maneira didática e facilitada.
- Orientar sobre as principais informações da LGPD, visando informar e orientar em relação à Lei.
- Promover a conscientização e fomentar a cultura em relação à proteção e privacidade de dados pessoais e a adoção de boas práticas de segurança.
CONHECENDO A LGPD
A LGPD se aplica aos dados de pessoas físicas, nos meios físicos e digitais, quando o tratamento é realizado por pessoa física ou jurídica, pública ou privada.
Ela não se aplica quando o tratamento é realizado: por pessoa física para fins exclusivamente pessoais e não comerciais; para fins exclusivamente: jornalísticos, acadêmicos e de segurança pública; dados provenientes e destinados a outros países, que apenas transitem pelo Brasil.
DADOS
Dados Pessoais é qualquer informação que identifica (ex.: nome completo, RG, CPF) ou pode identificar alguém, quer dizer, se somado a outro, pode permitir a identificação de uma pessoa (ex.: geolocalização, IP, hábitos consumo).
Os dados pessoais sensíveis são aqueles podem causar práticas discriminatórias, como origem racial ou étnica, religião, opinião política, filiação à sindicato ou organização de caráter religioso, filosófico ou político, ainda, dados relacionados à saúde ou vida sexual, genético ou biométrico.
Obs: os dados sensíveis devem ser protegidos de forma mais rígida! E só devem ser coletados se necessários e indispensáveis ao tratamento!
LGPD e os seus principais conceitos?
- Titular: é a pessoa física, dona dos dados pessoais. Você que está lendo esse guia, é um titular de dados pessoais.
- Controlador: pessoa (natural ou jurídica) que toma as decisões sobre o tratamento de seus dados pessoais.
- Operador: pessoa (natural ou jurídica) que realiza o tratamento de dados pessoais em nome do Controlador (exemplo: prestador de serviço).
- Encarregado de dados pessoais (DPO): pessoa indicada pelo Controlador para atuar como canal de comunicação entre o controlador, os titulares e a ANPD.
- Agentes de tratamento: o controlador e o operador.
- Tratamento: é qualquer uso dos dados, armazenamento, acesso e qualquer ação realizada com o dado pessoal pelos agentes de tratamento, sejam os dados coletados direto do titular ou por outras fontes (por exemplo: quando o controlador envia os dados ao operador).
- Banco de dados: conjuntos dos dados pessoais armazenados pelo Clube, em arquivos físicos ou digitais.
- Dado anonimizado: dado do titular que não pode ser identificado, após utilização de meios técnicos razoáveis e disponíveis no tratamento (anonimização).
- Consentimento: manifestação livre, informada e inequívoca pela qual o Titular consente com o tratamento de seus dados para finalidades determinadas.
- ANPD: Autoridade Nacional de Proteção de Dados – órgão da administração púbica responsável por zelar, implementar e fiscalizar o cumprimento da LGPD
A LGPD possui princípios que devem ser cumpridos por todos aqueles que realizam o tratamento de dados, são eles:
- Livre acesso e transparência: garantia ao Titular de consulta facilitada e gratuita sobre a forma e duração do tratamento de seus dados e a integralidade de seus dados pessoais, ainda, de ser informado, de forma clara e fácil sobre como é realizado o tratamento e os responsáveis por ele.
- Finalidade, adequação, necessidade e qualidade: os dados pessoais só devem ser coletados e tratados para finalidades específicas, que devem ser legítimas e informadas ao Titular, e que sejam compatíveis com o contexto do tratamento. Tanto os dados coletados, como o tratamento dado a eles, devem ser proporcionais e limitados ao mínimo necessário. Os dados devem ser exatos, claros, relevantes e atualizados.
- Não discriminação: o tratamento de dados não pode ser realizado com finalidades discriminatórias, ilícitas ou abusivas.
- Segurança e prevenção: os dados devem ser protegidos de danos e incidentes de segurança, como, vazamentos, acessos indevidos, destruição e perda. Devem ser adotadas as medidas técnicas e administrativas de prevenção.
- Responsabilização e prestação de contas: os agentes de tratamento devem demonstrar que adotaram medidas eficazes e capazes para comprovar e cumprir as normas de proteção de dados, e, inclusive, da eficácia dessas medidas adotadas.
POSSIBILIDADES
DE
TRATAMENTO
DE DADOS
PESSOAIS
Todo tratamento de dados precisa ter uma finalidade, e essa finalidade deve ser justificada por pelo menos uma base legal:
Dados Pessoais
- Consentimento livre, informado e inequívoco do Titular;
- Para cumprir obrigação legal ou regulatória;
- Pela administração pública, para execução de políticas públicas;
- Para estudos por órgãos de pesquisa;
- Para execução de contrato ou de procedimentos preliminares relacionados a contrato do qual o Titular seja parte;
- Para exercício regular de direitos em processo judicial, administrativo ou arbitral;
- Para proteção à vida ou incolumidade física do Titular ou de terceiros;
- Para tutela da saúde;
- Para atender o legítimo interesse do Controlador ou de terceiros;
- Para proteção do crédito.
Dados Pessoais Sensíveis
- Consentimento;
- Sem consentimento, para:
- Para cumprir obrigação legal ou regulatória;
- Pela administração pública, para execução de políticas públicas;
- Para estudos por órgãos de pesquisa;
- Para exercício regular de direitos em processo judicial, administrativo ou arbitral;
- Para proteção à vida ou incolumidade física;
- Para tutela da saúde;
- Para prevenção à fraude e à segurança do Titular.
A LGPD JÁ É
UMA
REALIDADE E
VOCÊ POSSUI
DIREITOS,
SAIBA
QUAIS SÃO?
1 – Confirmar a existência e acesso aos seus dados pessoais: direito de saber se estão sendo tratados e acesso aos seus dados pessoais por meio de informações claras sobre a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento.
2 – Se seus dados estiverem incompletos, inexatos ou desatualizados, você pode solicitar a correção e garantir a qualidade deles.
3 – Você pode pedir a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou não tratados conforme a LGPD. Você também pode se opor ao tratamento, se verificar que o tratamento está sendo realizado em desconformidade com a Lei!
4 – É possível solicitar a portabilidade de dados a outro fornecedor de serviço ou produto.
5 – Você deve ser informado sobre o compartilhamento dos dados: pra quem e com qual finalidade.
6 – Nos casos em que o tratamento é realizado mediante consentimento, você tem o direito de retirar esse consentimento (revogação) a qualquer momento. Não esqueça que existem situações em que a Lei permite o tratamento sem seu consentimento.
7 – Nas situações em que o tratamento ocorre por meio do consentimento, você deve ser informado sobre a possibilidade de não aceitar o tratamento e quais as consequências de não aceitar.
OS DADOS
POSSUEM UM
CICLO DE
VIDA, MÁS O
TRATAMENTO
CHEGARÁ AO
FIM
QUANDO?
- Alcançada a finalidade para qual o dado foi coletado, ou quando os dados pessoais deixaram de ser necessários ou pertinentes para alcançar a finalidade pretendida;
- Se o tratamento possui um período de tempo delimitado, quando este chegar ao fim;
- Quando o titular exercer seu direito de revogação do consentimento (§5º, art. 8º) e solicitar a exclusão do dado;
- Por determinação da ANPD, havendo violação no tratamento de dados pessoais.
Mas poderão ser conservados quando:
- Para o Controlador cumprir obrigação legal ou regulatória;
- Para serem utilizados para estudos por órgãos de pesquisa, garantido, quando possível, a anonimização;
- Nos casos de transferência a terceiros, desde que os requisitos de tratamento sejam respeitados;
- Para uso exclusivo do Controlador, vedado o acesso por terceiros, e desde que os dados sejam anonimizados.
E O QUE
PODE
ACONTECER
SE NÃO
CUMPRIR A
LGPD?
A Lei traz disposições sobre a fiscalização e as penalidades administrativas ou financeiras que podem ser aplicadas se identificado o tratamento irregular de dados pessoais, como:
· Advertência, sendo fornecido prazo para adotar as medidas de correção;
· Dar publicidade à infração, após apuração e confirmação da ocorrência;
· Bloqueio dos dados pessoais a que se refere a infração, até ser regularizada;
· Suspensão do funcionamento do banco de dados e suspensão da atividade de tratamento de dados pessoais a que se refere a infração;
· Exclusão dos dados pessoais envolvidos na infração;
· Proibição parcial ou total de atividades relacionadas a tratamento de dados;
· Multa de até 2% (dois por cento) do faturamento da empresa, limitada ao total de R$ 50 milhões por infração;
· Multa diária, observado o limite acima;
· Ressarcimento de danos.
SEGURANÇA
DA
INFORMAÇÃO
A segurança da informação é a proteção de dados tratados pelas organizações contra ameaças diversas. E, informação é todo dado ou conjunto de dados que possuam significado para aquele que a recebe. Uma informação pode ser impressa ou física (papel), como também pode ser uma imagem, um vídeo ou um áudio.
Logo, a Segurança da Informação é a proteção das informações contra ameaças, garantindo a continuidade dos negócios da organização.
A LGPD reforça boas práticas na Segurança da Informação, no que diz respeito à privacidade e à proteção de dados pessoais, em relação às medidas preventivas de segurança administrativas e técnicas, como a garantia de prevenção à fraude, criptografia de informações, controle de acessos em sistemas, camadas de segurança e autenticações.
A implantação de sistemas de proteção para prevenir, detectar e remediar vazamento de dados, também faz parte da relação SI e LGPD, inclusive porque a Lei considera a adoção de boas práticas como um dos critérios atenuantes para eventuais penalidades.
O QUE FAZER
E EVITAR
PARA
MANTER O
SEU
AMBIENTE
DIGITAL
SEGURO
1 – Crie senhas complexas e não utilize a mesma senha para todos seus acessos.
- Não deixe sua senha anotada em post-its no seu notebook!
- Não compartilhe suas senhas de acesso a e-mail ou sistemas com colegas e terceiros!
- Utilize senhas fortes, combinando números, letras maiúsculas e minúsculas e caracteres especiais ($eNh@s F0rT3$)
2 – Salve seus arquivos na rede e/ou na nuvem com o OneDrive.
“Não posso guardar meus arquivos na minha máquina (área de trabalho)?”
Seus arquivos podem se perder caso seu notebook sofra algum dano físico no HD/SSD ou apresente problema no sistema operacional, impossibilitando a recuperação! Portanto salve seus arquivos na rede ou nuvem onde há possibilidade de recuperação.
3 – Muito cuidado com e-mails (SPAM).
- Tenha certeza que você está ciente do assunto do e-mail ou está aguardando uma resposta, tome cuidado com e-mails que contenham nota fiscal, links, anexos e de domínios diferentes.
- Não confirme dados de destinatários desconhecidos.
- Verifique se a mensagem está sendo enviada por um canal oficial de contato.
- Entre em contato com o Dep. De Tecnologia para análise do e-mail.
4 – Não instale nenhum aplicativo sem a autorização do Dep. de Tecnologia.
Softwares de procedência desconhecida podem causar sérios dados ao seu computador e a nossa rede. Para instalar qualquer software é necessário a autorização da Tecnologia.
5 – Descarte seguro documentos que contenham dados pessoais
Utilize a fragmentadora de preferência para fazer esse descarte. Rasgar e jogá-los na lixeira não garante total sigilo das informações impressas ou escritas. O descarte é totalmente necessário quando não tiver mais utilização do documento evitando um possível incidente de vazamento de dados.
6 – O que fazer em caso de incidentes?
Se você suspeita de qualquer falha ou ameaça de segurança ou violação à LGPD:
- Comunique imediatamente seu Gestor, o Departamento de Tecnologia e o Encarregado de Dados ([email protected]);
- Relate a ocorrência: data, hora, sistema, computador e pessoas afetadas e/ou envolvidas, e o qual a sua suspeita;
- Colete evidências: não apague e-mails, conversas ou quaisquer elementos que possuam evidências da ameaça.
