Símbolo do Jus.com.br Jus.com.br
Artigo

Pequenas e médias empresas e a adequação à Lei Geral de Proteção de Dados do Brasil, aliada às boas práticas baseadas na General Data Protection Regulation da União Europeia

Exibindo página 2 de 4
Andrew Carl Diniz Benzaquen
Andrew Carl Diniz Benzaquen
Natasha de Souza Mendonça
03/11/2020 às 16:06
Leia nesta página:

3. Quais empresas precisam se adequar a LGPD e quais dados são elencados

Conforme disposto na lei, todas as empresas que têm acesso a dados pessoais e/ou sensíveis devem se adequar à Lei Geral de Proteção de Dados, posto que, quem descumprir estará suscetível a advertências, sanções de até 50 milhões de reais ou até 2% do faturamento do ano anterior à multa.

O compliance das conformidades da lei precisa ser feito com uma avaliação de maturidade dos processos e impactos de riscos na empresa e redução dessa exposição ao risco, ou seja, avaliar todo o cenário empresarial e até onde esses dados são necessários para que os processos ocorram sem impacto. Em todos os outros casos, os dados deverão ser descartados se não forem disponibilizados e autorizados pelo detentor.

4. Quem pode tratar os dados das PME’s?

Consoante a Lei Geral de Proteção de Dados Pessoais (LGPD), os principais sujeitos que podem tratar dados pessoais são:

Art. 5º Para os fins desta Lei, considera-se:

VI - controlador : pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII - operador : pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

IX - agentes de tratamento: o controlador e o operador; [GRIFO]

O Data Protection Officer ou o Encarregado de Proteção de Dados (EPD) é o profissional responsável por auxiliar as empresas e administrações públicas para adequação às leis e de privacidade. Na GDRP, é exigido que as empresas nomeiem um DPO em algumas situações, quando por exemplo, se tratar de Big Data (grande quantidade dados pessoais) de europeus, é necessário a nomeação de um DPO. No Brasil ainda não temos normativas definidas para dispensa ou necessidade de um DPO, entretanto, a LGPD em seu artigo 30 no inclina a esperar que esta orientação em breve será feita por legislação complementar pela ANPD:

Art. 30. A autoridade nacional poderá estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais.

4.1. As certificações de institutos internacionais para profissionais no Brasil

Existem atualmente duas trilhas de certificações internacionais para o profissional de dados ser considerado DPO, sendo no Brasil mais comum a trilha da EXIN e, na Europa, da IAPP.

A trilha da EXIN implica a realização de três certificações distintas:

  • a Information Security Foundation (ISFS),

  • a Privacy and Data Protection Foundation (PDPF) e,

  • por fim, a Privacy and Data Protection Practitioner (PDPP).

No que se refere a International Association of Privacy Professionals (IAPP), os certificados oferecidos são: o Certified Information Privacy Professional (CIPP), Certified Information Privacy Manager (CIPM) e Certified Information Privacy Technologist (CIPT).

5. Como adequar as PME’s à LGPD

5.1. Boas Práticas de Proteção de dados na Europa

A empresa especializada em segurança de informação “More It”, em conjunto com a Associação Nacional de Profissionais de Privacidade de Dados – ANPPD, realizaram um Webinar6 técnico em agosto de 2020, recomendando o modelo de boas práticas mais usado em todo mundo utilizando o Privacy by design, framework construído pela canadense Ann Cavoukian, diretora executiva do Instituto de Privacidade e Big Data da Universidade de Ryerson, no Canadá.

5.1.1. Privacy by Design

A compreensão de Privacy by Design, ou “PbD”, é uma concepção da Dra. Ann Cavoukian, diretora executiva do Instituto de Privacidade e Big Data da Universidade de Ryerson, no Canadá7. O Privacy by Design designa que todos os seus ciclos da metodologia de desenvolvimento de um produto ou serviço de uma entidade, devem obrigatoriamente ter a privacidade em primeiro lugar. Neste sentido, a compreensão de privacidade deve estar totalmente encastoada no projeto, e não se aplica a realizações onde a privacidade é discutida somente na fase final. O entendimento é que empresas que apliquem Privacy by Design nos projetos de desenvolvimentos de software, departamento de Tecnologia informação e comunicação (TIC) e planejamentos estratégicos ataviados com a ideia de privacidade, e não como algo à parte.

5.1.2. Privacy by Default

A ideia de Privacy by Default (privacidade por padrão) significa que um produto ou serviço, ao ser emitido no negócio, deve vir com os formatos de privacidade no modo mais restrito possível por padrão, e o titular deve conceder acesso à colheita de mais informações caso considere necessário.

A maioria das grandes empresas de tecnologia fazem justamente o contrário, ou seja, coletam o máximo de informações possíveis por padrão, mas permitem que o titular desabilite a coleta de dados. Caso Privacy by Default fosse aplicado, os aplicativos coletariam somente o necessário e permitiriam que o titular habilitasse a coleta de dados extras, caso acredite que isso fosse algo benéfico.

5.1.3. Os princípios do Privacy by Design

Vale ressaltar que o conceito de Privacy by Design estabelece sete princípios, que são:

5.1.3.1. Proativo, não reativo. Prevenir, não remediar.

O PbD reconhece o valor de agir proativamente para antecipar, identificar e prevenir invasões antes que elas ocorram. O melhor é não esperar que riscos de privacidade cheguem a se materializar, e sim evitar que eles aconteçam.

5.1.3.2. Privacidade por padrão.

O conceito de Privacy by Design também engloba o Privacy by Default, e isso permite que em um sistema que se guie por essas regras, mesmo que um usuário não faça nada, sua privacidade continue intacta. Dessa forma, não é necessário desativar a coleta de dados extras, já que ela deve vir desativada por padrão.

5.1.3.3. Privacidade embutida no design.

A privacidade deve ser algo totalmente embutida no design, arquitetura de T.I. e práticas corporativas. Não é algo adicional ou complementar, mas faz parte integral de toda a estrutura do produto ou serviço.

Sempre que possível, relatórios de prováveis impactos e riscos devem ser criados e publicados, claramente documentando os riscos de privacidade e todas as medidas tomadas para mitigá-los.

5.1.3.4. Total funcionalidade.

Ao implementar privacidade em um produto ou serviço, ela deve ser feita de forma a somar funcionalidades ao projeto, e não prejudicar nenhuma funcionalidade.

As funcionalidades que conflitem com princípios de privacidade devem ser modeladas de forma criativa para que possam funcionar juntos.

5.1.3.5. Segurança ponta a ponta.

A privacidade deve ser continuamente protegida através de todo o ciclo de vida dos dados em questão.

A segurança dos dados deve estar em mente desde o planejamento até a execução, implantação e manutenção do projeto.

5.1.3.6. Visibilidade e Transparência.

A coleta, processamento e armazenamento de dados devem ser documentados de forma totalmente transparente, incluindo informações sobre a responsabilidade dos dados em caso de algum vazamento ou invasão.

5.1.3.7. Respeito pela privacidade do usuário.

Deve ser sempre respeitada a decisão e a proteção dos dados do usuário, já que são propriedades dele. É necessário que haja consentimento no uso dos dados pessoais do usuário, com informações corretas e atualizadas conforme a necessidade. O usuário deve sempre ter acesso aos seus dados. É importante ressaltar que a LGPD não adotou os princípios de Privacy by Design ou Privacy by Default expressamente, mas traz alguns conceitos similares ao descrever medidas que as empresas devem tomar para proteção dos dados, ao estabelecer a necessidade de documentar a forma com que os dados pessoais são tratados e as medidas de proteção utilizadas.

Figura 01 – Ciclo de vida do Privacy by design 8

[Imagem não disponível]

5.2. Ciclo de vida dos Dados na LGPD

Considerando as boas práticas advindas da GDPR na Europa e também o artigo 5° da Lei Geral de proteção de Dados Incisos I, II, III:

Art. 5º Para os fins desta Lei, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnico razoáveis e disponíveis na ocasião de seu tratamento;

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

Assine a nossa newsletter! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos

Diante deste dispositivo e das boas práticas, entendemos da seguinte forma o ciclo de vida dos dados iniciando da coleta, conforme figura abaixo:

Figuras do Ciclo de vida dos dados analisados no contexto do artigo 5° da LGPD 9

[Imagem não disponível]

5.3. Principais diferenças e similitudes da GDPR com a LGDP

A privacidade e a proteção dos dados pessoais têm atingido cada vez mais espaço e magnitude no panorama mundial. A GDPR, lei europeia de proteção de dados, despertou pregressos para que no mundo inteiro os países prezem por fazer negócios valendo-se de dados pessoais concebidos por uma legislação que vise defender as pessoas. Isso faz que não haja nenhum excesso de dados, como houve no alvoroço da Cambridge Analytica em relação ao Facebook.

Não obstante, já que cada nação ou conglomerado de estados têm sua própria legislação, é corrente que estejamos hesitantes.

A LGPD e a GDPR são regulamentos de privacidade de dados e, como todo regulamento, seu texto é longo e detalhado. Mas, para facilitar o entendimento, elencamos as principais semelhanças e diferenças. São seis diferenças principais:

a) Território em que cada um é válido:

A LGPD será válida em todo o território brasileiro.

A GPDR é válida em toda a União Europeia.

b) Há quais titulares de dados se aplica a lei:

A LGDP se aplica a titulares naturais, ou seja, dados pessoais de pessoas físicas.

A GDPR é aplicável aos dados pessoais dos titulares dos dados, ou seja, os usuários. Podem ser clientes ou meros visitantes de um site.

c) A definição de dado pessoal:

Para a LGPD, dado pessoal é toda informação relacionada a uma pessoa identificada ou identificável. Existem informações que não te identificam pessoalmente, portanto você continua anônimo. Há outras, no entanto, que te identificam individualmente, como nome, e-mail e documentos pessoais.

Para a GDPR, tudo isso é dado pessoal. E há ainda duas categorias distintas: dados tornados públicos pelo próprio titular e dados relacionados a instituições sem fins lucrativos. Entre essas definições, de dados pessoais, anônimos ou não, há uma mais especial: dados sensíveis. A GDPR, ao contrário da LGPD, proíbe o uso de dados sensíveis, a não ser que esse uso esteja previsto em lei.

d) Quem trata os dados:

A LGPD e a GDPR, em seus respectivos territórios, se aplicam a todo tratamento de dados, com exceção do uso particular. Se é uma empresa, uma ONG ou uma instituição do governo, pouco importa: a lei se aplica.

e) Venda de dados pessoais:

Na LGPD e na GDPR, para que a venda de dados pessoais seja feita, é necessária uma base legal prevista na lei, não podendo ser realizado o serviço por qualquer pessoa.

f) Multas e penalidades

A GDPR e a LGPD e empregam multas e penas diferentes, por conseguinte, cada uma deve ser folheada em particular, avaliando, inclusive, o caso concreto.

g) Transparência sobre o uso de dados:

Os dois regulamentos preservam transparência conforme ao uso de dados: se estão sendo tratados, se podem ser vendidos e com que destino estas atividades são praticadas.

h) Faculdade de atualizar e eliminar dados

Os dois regulamentos consentem que os usuários revoguem a concessão dos dados, bem como abonam que ele consiga atualizá-los quando bem entender.

i) Autoridade responsável

Os regulamentos constituem uma autoridade oficial para salvaguardar que a lei seja efetivada. No caso da LGPD, é a Autoridade Nacional de Proteção de Dados.

5.4. Documentos que devem ser criados como boas práticas de adequação a proteção da privacidade de dados:

Ressaltamos aqui, que embora citaremos alguns documentos que não são obrigatórios na LGPD10, é uma boa prática construí-los, uma vez que tratando dados de estrangeiros que têm em seu país legislação de proteção de dados, em especial os da União Europeia, mesmo que os dados sejam tratados no Brasil, estes pertence a pessoa natural de outro país, portanto devendo ser considerado a legislação extraterritorial, em especial a GDPR.

a) Documentos mandatários na LGPD:

  • ü Política de proteção de dados

  • ü Aviso de privacidade

  • ü Aviso de privacidade para funcionários

  • ü Política de retenção de dados

  • ü Cronograma de retenção de dados

  • ü Formulário de consentimento do titular

  • ü Formulário de consentimento dos pais

  • ü Nomeação e descrição de cargo DPO

b) Documentos criados para atender as boas práticas da GDPR para aplicação não mandatárias na LGPD:

  • ü Registro de inventário;

  • ü Nomeação do DPO;

  • ü Registros de AIPD (AIPD – Avaliação de Impacto na Proteção de Dados);

  • ü Contrato de Processamento de dados do fornecedor;

  • ü Procedimento de resposta e notificação de violação de dados;

  • ü Registro de violação de dados;

  • ü Formulário de notificação da violação de dados para autoridade supervisora.

Assuntos relacionados
Leis ordinárias de 2018 LGPD - Lei Geral de Proteção de Dados (Lei 13.709)
Sobre os autores
Imagem do autor Andrew Carl Diniz Benzaquen
Andrew Carl Diniz Benzaquen

Sou Advogado e tenho formação e vivência na área de Tecnologia. Possuo experiência com Gestão de equipes de Suporte Técnico e de Advogados, tanho facilidade com sustentação de processos de gerenciamento de serviços de TI, habilidade em adequação de boas práticas, normas, regulamentos, modelos de gestão e conformidades. No presente, estou como Coordenador da Assessoria Jurídica da Educação em Contagem, onde liderei a transformação digital do setor, mapeando e diagnosticando todos os processos que eram atinentes a AJ, em seguida, estimulei a equipe a produzir de forma colaborativa e ágil o desenho com alinhamento dos fluxos e construção dos procedimentos operacionais padrões (POP) para garantir o princípio da continuidade do serviço público e da eficiência. Com a transição de toda tramitação para o digital, conseguimos elencar indicadores de KPI e OKR para relacionados a governança corporativa, de posse desses indicadores conseguimos extrair o máximo de inputs da AJ descobrindo nossos pontos fortes e principalmente nossas fraquezas. Com isso criamos mecanismo de mitigação de erros e atuamos de forma transversal com outros setores para criar um Programa de Integridade, com controle interno e formações continuadas para os servidores. Implementei no setor rotinas com cronograma para períodos de planejamento, formação, entregas e balanço dos resultados, potencializando nossas entregas cada vez com mais qualidade e eficiência para gestão pública. Sou especialista em proteção de dados, e atualmente estou fazendo duas pós graduações, uma em Gestão de Risco e Compliance e outra em Direito Administrativo Focado na nova Lei de Licitações. Componho as fileiras de membros da Associação Nacional de Advogadas(os) de Direito Digital - ANADD® e do Comitê Jurídico Associação Nacional de Profissionais de Privacidade de Dados - ANPPD®. Durante a graduação de Direito, participei de várias atividades acadêmicas acerca do direito digital, em especial da proteção de dados, área que continuo estudando e atuando, consoante as transformações derivadas da mesma.

Natasha de Souza Mendonça

Acadêmica do 10° período do curso de Direito do Centro Universitário UNA Contagem.

Informações sobre o texto

Este texto foi publicado diretamente pelos autores. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi

Mais informações

Trabalho de Conclusão de Curso apresentado na Disciplina de TCC II, no Centro Universitário UNA, como requisito básico para a obtenção dos créditos na referida disciplina. Orientador: Dr. Allan Duarte Milagres Lopes.

Leia seus artigos favoritos sem distrações, em qualquer lugar e como quiser

Assine o JusPlus e tenha recursos exclusivos

  • Baixe arquivos PDF: imprima ou leia depois
  • Navegue sem anúncios: concentre-se mais
  • Esteja na frente: descubra novas ferramentas
Economize 17%
Logo JusPlus
JusPlus
de R$
29,50
por

R$ 2,95

No primeiro mês

Cobrança mensal, cancele quando quiser
Assinar
Já é assinante? Faça login
Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!
Colabore
Publique seus artigos
Fique sempre informado! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos