1 - O que é a LGPD?
A Lei Geral de Proteção de Dados, conhecida como lei de dados pessoais, nasceu para proteger os dados de cada indivíduo e mudou a forma de funcionamento e operações das organizações com regras sobre coleta, armazenamento, tratamento e compartilhamento de dados.
2 - A nova Lei Geral de Proteção de Dados Pessoais (LGPD) se aplica a quem?
A Lei se aplica a pessoas físicas e jurídicas de direito público e privado, que realizam o tratamento de dados, bem como às pessoas físicas que têm seus dados coletados, independente do meio (físico ou digital), do país da sede da pessoa jurídica ou do país onde estejam localizados os dados.
03 - O que são dados pessoais?
Qualquer informação que possa levar identificação de uma pessoa, de maneira direta ou indireta (identificada ou identificável), por referência a um nome, a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, econômica, cultural ou social.
04 - O que são dados pessoais sensíveis?
São dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde, à vida ou orientação sexual, dado genético ou biométrico, quando vinculados a uma pessoa natural. São aqueles que, se expostos ou compartilhados, podem causar impacto para a vida pessoal e /ou profissional, como por exemplo os dados registrados por um hospital ou médico.
Por não permitirem a identificação do seu respectivo Titular, os dados anonimizados não ficam sujeitos à aplicação da LGPD, exceto quando houve reversão do processo de anonimização ao qual tais dados foram submetidos.
05 - A LGPD aplica-se apenas ao tratamento de dados pessoais coletados na Internet?
Não. A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenha como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente destes dados pessoais terem sido coletados off-line ou online, em meios físicos ou digitais.
06 - O que é o “tratamento de dados"?
É toda a operação realizada desde a coleta, utilização, transmissão, processamento e arquivamento dos dados até o seu descarte.
07 - Em quais casos de tratamento de dados pessoais, a LGPD não será aplicada?
São os casos em que o tratamento de dados pessoais for feito:
A) Por uma pessoa física, para fins particulares, e não comerciais, por exemplo, cole a de dados pessoais dos integrantes da família para montagem de uma árvore genealógica;
B) Para fins exclusivamente jornalísticos, artísticos e acadêmicos;
C) Pelo Poder Público, no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais. Podem não estar sujeitos a aplicação da LGPD os dados provenientes e destinados a outros países, que apenas transitem pelo território nacional, sem que aqui seja realizada qualquer operação de tratamento e desde que o país de origem tenha nível de proteção similar ao previsto na LGPD.
08 - Quais os principais atores no tratamento de dados pessoais, de acordo com a LGPD?
Os principais são o titular, o controlador, o operador e o encarregado.
09 - Quando a finalidade do tratamento de dados pessoais é alcançada, há a eliminação dos dados?
O Controlador tem a responsabilidade de cuidar para que os dados pessoais sejam eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: cumprimento de obrigação legal ou regulatória pelo Controlador; estudo por órgão de pesquisa; transferência a terceiros e uso exclusivo do Controlador (dados anonimizados).
10 - A empresa mantém registro das operações de tratamento de dados pessoais?
O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseadas no legítimo interesse.
11 - A empresa disponibiliza um canal de comunicação onde o titular dos dados pessoais tenha acesso facilitado às informações sobre o tratamento de seus dados?
A empresa disponibilizará os contatos do DPO no site caso haja necessidade de consulta de cumprimento da lei.
12 - A empresa disponibiliza uma pessoa encarregada pelo tratamento de dados pessoais?
Sim, a empresa deverá contratar um DPO para desempenhar esta função.
13 - Como o Titular deve proceder ao identificar o vazamento de seus dados?
O Titular poderá entrar em contato com o Controlador do dado responsável pelo tratamento objeto do incidente (vazamento), solicitando formalmente as devidas correções e controles. O DPO será o contato nessa situação e deverá tomar as ações necessárias.
14 - Quem é o DPO? E porque ele é importante?
O chamado Data Protection Officer (DPO) corresponde, na legislação brasileira, ao encarregado de dados. É o profissional que dentro de uma empresa, é o responsável por cuidar das questões referentes à proteção, evitando a vulnerabilidade dos dados da organização e de seus clientes.
15 - Caso o tratamento de dados pessoais não ocorra de acordo com a LGPD, quem será responsabilizado?
O Controlador ou o Operador respondem por danos decorrentes de violação a LGPD. O Encarregado de dados também poderá ser penalizado se passar alguma orientação errada ao controlador x operador x titular. O Operador responderá conjuntamente com o Controlador quando descumprir a LGPD ou quando não tiver seguido as instruções dadas previamente pelo Controlador. A Autoridade Nacional poderá enviar ao responsável informe com medidas cabíveis para fazer cessá-la
16 - Quais são as penalidades que podem ser aplicadas àqueles que violarem a LGPD?
São as seguintes sanções administrativas, previstas na nova lei:
I – Advertência, com a indicação de prazo para adoção de medidas corretivas;
II – Multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no último exercício, excluídos os tributos e
limitada a R$ 50.000.000,00, por infração;
III – multa diária, observado o limite total a que se refere o inciso anterior;
IV – Publicização da infração, após apuração e confirmação;
V – Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – Eliminação dos dados pessoais a que se refere a infração. As sanções serão aplicadas de forma gradativa, isolada ou cumulativa, de acordo com as
peculiaridades do caso concreto e considerando sua gravidade e a natureza. Além das sanções administrativas, o infrator poderá responder judicialmente por
repercussões decorrentes do descumprimento da LGPD, individual ou coletivamente.
Como percebemos, estas penalidades são pecuniárias e também reputacionais, uma vez que a publicização de um incidente de segurança poderá provocar abalo
na credibilidade de uma empresa. Além disto, é importante ressaltar que os valores provenientes da aplicação de penalidades pecuniárias não beneficiam, diretamente, o titular do dado e serão destinados ao Fundo de Defesa de Direitos Difusos.
