Data 04/07/2022.
Orientação Consultoria de Segmentos que trata das Informações referente a tratativa da Lei Geral de Proteção de Dados.
Chamados: PSCONSEG-6513
Essa Orientação trata sobre os conceitos e aplicabilidade da Lei Geral de Proteção de Dados (LGPD).
A indicação da legislação pertinente ao caso é de inteira responsabilidade do Cliente solicitante
Legislação Analisada: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
A Lei Geral de Proteção de Dados Pessoais – LGPD, foi criada em 2018, com o objetivo de proteger os dados as pessoas físicas, através da regulamentação do tratamento e utilização dos dados, assim garantindo o direito do titular a liberdade e privacidade.
Embora a Lei de Proteção de Dados tenha sido publicada em 2018, no Brasil, aconteceu movimentações, conforme cronologia:
Observação: Essa Lei deve ser aplicada a qualquer operação que envolva a utilização e tratamento de Dados de pessoas físicas.
A Autoridade Nacional de Proteção de Dados (ANPD) é um órgão vinculado à Presidência da República, dotada de autonomia técnica e decisória, com jurisdição no território nacional e com sede e foro no Distrito Federal no campo sobre Proteção de Dados,
A missão da ANPD é “Zelar pela proteção dos dados pessoais”, e sua visão é “Tornar-se órgão de referência nacional e internacional com relação à Proteção de Dados Pessoais”. A atuação da ANPD baseia-se nos seguintes valores: Ética, Transparência, Integridade, Imparcialidade, Eficácia e Responsabilidade.
Para entender e facilitar boas práticas, evitando p´raticas inadequadas no dia a dia do mund empresarial, é importante conhever os 10 princípios que direcionam a utilização da Lei Geral de Proteção de Dados (LGPD):
Conforme a Lei Geral de Proteção de Dados - LGPD, a pessoa física titular dos dados possui direitos sobre seus dados disponíveis ao controlador e a organização, direitos esses que devem ser respeitados de forma expressa e devem ser atendidos de forma imediata, é garantido por lei:
Com a criação da Lei Geral de Proteção de Dados - LGPD, foi apresentado alguns perfis técnicos voltados para o tratamento de dados seguindo as diretrizes da Lei, são eles:
O controlador segundo a LGPD é “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Ou seja, o controlador é a organização ou a pessoa responsável pela aplicabilidade da LGPD sobre os dados pessoais e sensíveis dos titulares.
O operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”, Ou seja, o operador é o responsável por seguir as orientações do Controlador no tratamento dos dados, segundo a LGPD.
Conforme a Lei geral de Proteção de Dados, o encarregado, tambem conhecido como Data Protection Officer é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Ele atua como um fiscal da aplicabilidade das normasl da LGPD dentro da organização com independência para melhor orientar a aderencia a legislação, além disso, tambem é responsável por intermediar a comunicação e ações em relação a organização, titular dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Toda pessoa física ou jurídica é única e possui características individuais. Para identificá-la, são utilizadas um conjunto de informações (Dados) - que revelam suas características físicas, costumes, gostos, preferências, rotina, grupos e outras diversas informações.
A Lei Geral de Proteção de Dados, responsável por estabelecer critérios de proteção aos dados da pessoa física, separou essas informações em:
Além disso, existem documentos que podem conter dados pessoais e dados sensíveis, como, por exemplo, o prontuário médico que possui a identificação do paciente com nome e RG e também as informações de saúde, doenças e quadro clínico.
Tratamento de Dados é toda operação/manipuação/utilização dos dados de uma pessoa física natural (titular do dado), em qualquer meio, seja ele digital ou não, conforme disposto na legislação da Lei Geral de Proteção de dados.
Lei 13.709/2018
(...)
Art. 5º Para os fins desta Lei, considera-se:
IX - agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
(...)
É extremamente importante que o titular do dados seja questionado quanto a sua autorização na manipulação do seus dados, é necessário que o mesmo forneça consentimento expresso, outro caso onde o tratamento é autorizado é em situações onde é necessário o cumprimento de obrigação legal ou regulatória pelo controlador.
Além disso a LGPD é expressa sobre o titular do dado tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso a finalidade específica do tratamento, forma e duração do tratamento, observados os segredos comercial e industrial, identificação do controlador, informações de contato do controlador, informações acerca do uso compartilhado de dados pelo controlador e a finalidade, responsabilidades dos agentes que realizarão o tratamento.
A Legislação da Lei Geral de Proteção de Dados, deixa expresso em seu texto ações que reconhecem a finalização da utilização dos dados, ou seja, o termino do tratamento.
O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
Para a LGPD, um dado anonimizado é um dado pessoal ou um dado sensível que foi tratado para que as informações não possam ser vinculadas ao titular original. Aquele que originalmente, era relativo a uma pessoa, mas que passou por um processo de desvinculação.
Caso o dado seja anonimizado, então a LGPD não se aplicará a ele. Mas vale ressaltar que um dado só será considerado efetivamente anonimizado se não permitir que, por meios técnicos e outros, se reconstrua o caminho para descobrir quem era a pessoa titular do dado.
Se caso ocorrer a identificação, então ele não é um dado anonimizado e sim, apenas, um dado pseudonimizado e estará então, sujeito à LGPD.
Podemos definir que a anonimização é um processo de tratamento que garanti que os dados de titulares estejam anônimos, e que as exigências da lei não se aplicarão mais a eles.
O processo de anonimização irá permitir que as empresas possam compartilhar banco de dados que sejam devidamente anonimizados, desde que o processo de anonimização seja totalmente seguro e não reversível.
Entendemos que caberá cada um definir o seu processo de anonimização, até a entrada da ANPD (Agência Nacional de Proteção de Dados), que poderá dispor sobre padrões e técnicas para o processo de anonimização. Porque até o momento a Lei não define qual dado deverá passar pelo processo, não possuindo uma padronização sobre os dados anonimizados
Lei Legal de Proteção de Dados - 13.709/2018
(...)
Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
§ 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.
(...)
Vale ressaltar que um dado só é considerado efetivamente anonimizado se não permitir que, via meios técnicos e outros, se reconstrua o caminho para "descobrir" quem era a pessoa titular do dado - se de alguma forma a identificação ocorrer, então ele não é, de fato, um dado anonimizado e sim, apenas, um dado pseudonimizado e estará, então, sujeito à LGPD.
Como mencionado no decorrer dessa orientação, o Controlador responsável pelo tratamento dos dados pessoais do titular é uma pessoa natural ou jurídica, de direito público ou privado. Em nosso território nacional, a fiscalização por parte do Governo (Receita Federal, Ministério do Trabalho e Previdência, Ministério da Economia e etc), é muito presente e compete as empresas a entregar de forma regular diversas obrigações de cumprimento legal da mais diversas áreas como Fiscal, Contábil, Financeira, Recursos humanos entre outras.
A LGPD prevê esse processo porque é aplicável o tratamento de dados nessa situação, porém com algumas observações. O tratamento de dados é composto de diversas fases que vão da mineração, extração ou obtenção desse dado, do tratamento e da finalidade do tratamento alcançado, é natural que para a empresa cumprir as suas obrigações frente ao Governo é necessário observação legislações especificadas para cada tipo e também aplicar a LGPD, no quesito dados a Lei é clara que a empresa pode realizar a conservação desses dados para cumprimento de Obrigações Legais.
Lei Geral de Proteção de Dados
(...)
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória pelo controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
(...)
Além disso, vale ressaltar que as empresas constroladoras seguem diretrizes legislativas de leis especificas para cada obrigação legal do controlador, recomendamos como sugestão de leitura material referente ao tempo de guarda de documentos.
O tempo de guarda deve ser respeito mesmo que as operações ou tratamentos já realizado, aplicado tambem em caso de empregados já desligados para a área de recursos humanos.
A Lei Geral de Proteção de Dados - LGPD, foi criada em 2018 com o objetivo de proteger e garantir a privacidade e liberdade do titular dos dados, através do tratamento de dados e diretrizes da legislação, ela separa os dados em dois grupos os dados pessoais que tornam o titular identificado ou identificável e os dados sensíveis que são informações que podem gerar algum tipo de constrangimento ao titular.
Além disso, A LGPD implementa cargos técnicos especificos o controlador (utilizador dos dados), encarregado (segue as orietações do controlador) e o DPO (responsável pela ponte de comunicação entre o controlador, o titular a Autoridade Nacional de Dados).
O Tratamento de dados segundo a Lei Geral de Proteção de dados, é a coleta e utilização de dados, que podem ocorrer de diversas formas diferentes, sempre com a autorização do titular, seguindo os princípios e direitos do titular conforme a legislação, o tratamento de dados possui um plano de utilização, um plano definido pelo controlador da empresa, finalizado as ações, pode ocorrer a exclusão e anonimização dos dados, mas vale destacar que existe cenários onde o controlador deve conservar os dados conforme legislações vigentes.
"O conteúdo deste documento não acarreta a assunção de nenhuma obrigação da Totvs perante o Cliente solicitante e/ou terceiros que porventura tiverem acesso ao material, tampouco representa a interpretação ou recomendação da TOTVS sobre qualquer lei ou norma. O intuito da Totvs é auxiliar o cliente na correta utilização do software no que diz respeito à aderência à legislação objeto da análise. Assim sendo, é de TOTAL RESPONSABILIDADE do Cliente solicitante, a correta interpretação e aplicação da legislação em vigor para a utilização do software contratado, incluindo, mas não se limitando a todas as obrigações tributárias principais e acessórias".
Acompanhe nossa Página sobre LGPG.
Lei Geral de Proteção de Dados - http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
CLT - http://www.planalto.gov.br/ccivil_03/decreto-lei/del5452.htm
Serpro - https://www.serpro.gov.br/
ID | Data | Versão | Descrição | Chamado/ Ticket |
DPS | 07/07/2022 | 1.0 | Orientação Consultoria de Segmentos - LGPD | PSCONSEG-6513 |