Blog - Lgpd: Perguntas Mais Frequentes

17/12/2020

LGPD: Perguntas Mais Frequentes

O Que é LGPD?

A Lei Geral Brasileira de Proteção aos Dados, ou LGPD, fundamentalmente protege e viabiliza os direitos individuais de privacidade e proteção aos dados pessoais. A LGPD estabelece requisitos rígidos de privacidade governando como você gerencia e protege dados pessoais respeitando as escolhas individuais—sem importar para onde os dados são enviados, onde são processados ou armazenados.

Quando a LGPD se torna efetiva?

A LGPD entra em vigor em 16 de agosto de 2020

A quem se aplica?

Organizações que realizam o tratamento de dados pessoais no território brasileiro ou oferecem produtos ou serviços a indivíduos localizados no Brasil

Se a minha empresa atender um cidadão europeu no Brasil, eu preciso atender também ao GDPR?

O GDPR tem algumas regras de aplicação, como a sua intenção de fornecer um produto ou serviço voltado para a Europa, como a questão territorial, entre outros.

A lei se aplica a dados pessoais. Se sou uma empresa B2B então a nova legislação não se aplica para mim?

A Lei trata sobre dados pessoais, independentemente do tipo de relação comercial. Há um capítulo específico na lei que trata da relação de controlador e processador que tem relevância para o cenário B2B.

O que são considerados dados pessoais?

Dados pessoais são informações que levam a identificação de uma pessoa. Não há distinção entre as funções particulares, públicas ou de trabalho de uma pessoa. Os dados pessoais podem incluir:

  1. Nome
  2. Endereço residencial
  3. Endereço de trabalho
  4. Número de telefone
  5. Número de celular
  6. Endereço de e-mail
  7. Número do passaporte
  8. Cartão de identificação nacional
  9. Número de segurança social (ou equivalente)
  10. Carteira de motorista
  11. Informação de imagem, física, fisiológica ou genética
  12. Informação médica
  13. Identidade cultural

Finanças

  1. Dados bancários/números de conta
  2. Número de arquivo de imposto
  3. Endereço de trabalho
  4. Números de cartão de crédito/débito
  5. Postagens de mídia social

Artefatos online

  1. Postagens de mídia social
  2. Endereço IP (região da UE)
  3. Localização/dados GPS
  4. Cookies

As empresa precisam ter a mesma preocupação com a aderência à LGPD quando tratamos os dados de clientes internamente na empresa?

Sim, qualquer dado pessoal manipulado pela empresa. A preocupação com privacidade e proteção de dados deve ser um elemento constante nas atividades da empresa. O princípio de privacy by design é um exemplo disso.

Como fica a questão dos dados enviados pelas empresas ao e-social? Qual será a regulação sobre estes dados?

A lei também se aplica ao setor e órgãos públicos que tratam dados pessoais, inclusive aqueles relativos ao e-social que também precisarão estar em conformidade com a legislação. Inclusive buscando proteção e segurança efetivos.

Quais sanções previstas na LGPD caso eu não me adeque?

A nova lei prevê advertências, multa ou até proibição das atividades relacionadas ao tratamento de dados. A multas podem ir de 2% do faturamento do ano anterior até R$ 50 milhões.

Quando a legislação do Brasil vai contra uma medida de um país importador como é decidida a regulamentação de privacidade de dados?

A LGPD traz diversas disposições sobre transferência internacional de dados, importante entender a aplicação destas regras no caso concreto.

Quais são os passos para que eu me adeque a LGPD?

Recomendamos que você comece sua jornada rumo à conformidade com a LGPD focando em quatro passos chaves:

  • Descubra: identifique quais dados pessoais você tem e onde eles estão.
  • Gerencie: gerencie como os dados pessoais são usados e acessados.
  • Proteja: estabeleça controles de segurança para prevenir, detectar e responder às

vulnerabilidades e violações de dados.

  • Reporte: responda as solicitações de dados, reporte as violações de dados e mantenha a

documentação necessária.

Meus sistemas e bancos de dados precisam atender ao requisito de privacidade by design quando a lei entrar em vigor?

Quando a lei entrar em vigor, a sua organização deve estar em conformidade com a legislação de forma geral. Privacidade by design é um princípio que a LGPD vem exigir nos diversos processos de decisão, de forma a sempre considerar privacidade como uma premissa.

Em caso de um incidente de privacidade, na ausências da agência, a quem devemos reportar o incidente?

Existem diversas autoridades, setoriais ou não, que podem se relacionar com questões previstas na LGPD. Como, por exemplo, a atuação do ministério público.

Em caso de solicitação de exclusão dos dados, seremos obrigados a remover todos os dados referentes ao usuário, inclusive dados estatísticos ou podemos utilizar o recurso de pseudônimo?

A lei prevê alternativas de usos de dados em que ele perde a característica de dados pessoais, como a anonimização e a pseudonimização.

Meus dados estão anonimizados, entretanto, no mesmo banco de dados existe um código de cliente onde eu posso ser identificada. Tenho que proteger esta tabela de dados?

No que tange o processo de anonimização, a LGPD vai exigir que você utilize meios técnicos razoáveis para que não possa haver a identificação da pessoas. Se não existe uma proteção razoável, no sentido de impedir a associação entre o dado e o indivíduo, esse dado pode ser considerado pessoal.

Em organizações sem fins lucrativos de ação social é comum entrevistas socioeconômicas a famílias. Os dados como tipo de moradia, renda familiar, escolaridade etc. são passíveis de serem tratados como dados pessoais?

A LGPD versa sobre a possibilidade de tratamento de dados pessoais em diversas situações, inclusive para fins de realização de estudos por órgão de pesquisa, buscando sempre anonimização quando possível.

Determinados serviços dependem naturalmente do uso de certos dados, hipótese em que a recusa do usuário em fornecer/ autorizar o uso tais dados pode implicar na impossibilidade de prestação de serviço. É importante verificar as hipóteses especificas de possibilidade de tratamento dos dados cada caso.

O que diz a regulamentação de portabilidade ou exclusão quando temos legislações onde precisamos guardar os dados por um determinado período?

É importante verificar caso a caso a intersecção com outras legislações e a melhor forma de harmonizar tais cenários.