Perguntas frequentes LGPD

A LGPD se aplica a qualquer empresa?

A Lei aplica-se a qualquer operação de tratamento de dado pessoal realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados. 

Minha empresa é de pequeno porte, devo me preocupar com a LGPD?

A Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, contudo a ANPD publicou uma resolução para as empresas de pequeno porte de dispensa ou flexibiliza as obrigações para com a proteção e privacidade dos dados pessoais. 

É caro adequar uma empresa à LGPD? Quais a vantagens?

O processo de adequação deve ser realizado de forma bastante personalizada, considerando não apenas o porte da empresa, ou a quantidade de empregados, mas especialmente os tipos de dados pessoais tratados, a quantidade e a atividade da empresa (se atua no setor de comércio, indústria, restaurantes, construção civil, escolas etc.), dentre outros aspectos. Além disso, o processo de adequação costuma promover uma maior inovação digital, complience, segurança e modernidade à empresa, uma vez que são discutidas e criadas diversas políticas e práticas de qualidade.

Qual o primeiro passo para me adequar a LGPD?

O primeiro passo para se adequar à LGPD será fazer um diagnóstico da empresa através de um mapeamento completo das operações de tratamento de dados pessoais, com a finalidade de identificação de todos os riscos e gaps. Com o diagnóstico em mãos é que se poderá desenhar o plano de ação para adequação à LGPD. 

Quais os principais conceitos trazidos pela LGPD?

# Dados pessoais: Informações relacionadas a pessoas físicas que podem ser identificadas direta ou indiretamente, por meio de um conjunto de informações. 

 

# Dados pessoais sensíveis: Dentro da categoria de dados pessoais, os dados pessoais sensíveis são exclusivamente as informações relacionadas a origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso, filosófico ou político; dado referente à saúde ou à vida sexual; dado genético ou biométrico quando vinculadas a uma pessoa física. 

 

# Dados anonimizados: Informações que se referem a pessoas físicas, mas que não podem ser ligados a nenhuma pessoa física específica nem direta nem indiretamente, considerando-se os meios técnicos disponíveis. 

 

# Tratamento: Toda e qualquer operação com dados pessoais. Alguns exemplos: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. 

 

# Autoridade Nacional de Proteção de Dados (ANPD): Órgão da administração pública responsável por fiscalizar o cumprimento da LGPD no território brasileiro. 

 

# Controlador: Pessoa física ou entidade do setor público ou privado que determina a finalidade e a forma de tratamento dos dados pessoais, dentre outros fatores relacionados ao tratamento.  

 

# Operador: Pessoa física ou entidade do setor público ou privado que realiza o tratamento dos dados pessoais em nome do Controlador. 

Quem pode ser ‘encarregado de proteção de dados’ ou EPD?

Não há qualquer obrigação de que o Encarregado tenha uma formação jurídica ou de informática, mas é indispensável que tenha um conhecimento profundo acerca da LGPD e normativos relacionados. Segundo a própria LGPD o encarregado é a pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação junto aos Titulares dos dados e à Autoridade Nacional de Proteção de Dados (ANPD). 

Posso contratar uma empresa para ser o encarregado de proteção de dados pessoais (DPO)?

A LGPD não veda a contratação de uma pessoa jurídica para exercer as funções de encarregado de proteção de dados, chamado DPOaS (dpo as a service). 

O que faz o encarregado pelo tratamento de dados pessoais?

Segundo a própria lei em seu artigo 41 as atividades principais do encarregado são:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

e IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. 

Quem pode ser titular de dado pessoal?

Segundo a LGPD, qualquer pessoa natural identificada ou identificável com a qual as informações pessoais estão relacionadas. Vale lembrar que localizações geográficas, dados de saúde, dados sobre orientação sexual, política e religiosas também são considerados dados pessoais, dentre outros. Assim, são cosiderados Titulares não apenas clientes ou usuários, mas também colaboradores, parceiros, empregados etc. 

Quais os direitos dos titulares de dados pessoais?

Segundo a própria lei os titulares de dados pessoais possuem os seguintes direitos:

I – confirmação da existência de tratamento; 

II – acesso aos dados;

III – correção de dados incompletos, inexatos ou desatualizados;

IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da Lei;

VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX – revogação do consentimento. 

Sou gestor de um órgão público, devo me preocupar com a LGPD?

A Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, inclusive a lei tem um capítulo dedicado ao tratamento de dados pessoais pelo poder público (Capítulo IV – Do Tratamento de Dados Pessoais pelo Poder Público). 

Trabalho em um cartório, devo me preocupar com a LGPD?

A Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, inclusive os parágrafos § 4º e § 5º do artigo 23 equiparam os cartórios às pessoas jurídicas de direito público, que terá tratamento especial descrito em capítulo próprio. 

Qual o valor da multa prevista na LGPD?

O artigo 52 que trata sobre as sanções da lei, aplica-se uma multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Importante destacar que o limite da multa é por cada infração cometida. Além disso, existem outras sanções, como a suspensão ou proibição do exercícios de atividades que envolvam dados pessoais, dentre outras penalidades. 

Como a LGPD afeta as atividades de clínicas médicas?

A LGPD exige que pessoas ou empresas que utilizem dados pessoais em suas atividades deva colocar em prática um conjunto de medidas para garantir a privacidade e segurança dessas informações. Essas medidas vão desde a criação de políticas revisão de termos, documentos e contratos até a implantação de processos aplicados a proteção de dados pessoais. O não cumprimento dessas obrigações pode levar a clínica a ser punida com multas ou ser processada judicialmente, sem falar do possível abalo a reputação do negócio.  

Na área da saúde isso é um fator muito importante porque os dados tratados são considerados sensíveis e quando tratados de forma errada podem causar enormes prejuízos para as pessoas envolvidas o que aumenta o risco de punições ou pagamento de indenizações. Fique atento e adeque o mais rápido sua clínica a LGPD.  

Como adequar uma clínica ou hospital à LGPD?

Uma das primeiras coisas que você deve fazer é um diagnóstico de adequação para saber quais das obrigações estabelecidas pela LGPD sua clínica já cumpre. Depois você deve seguir um plano de adequação para colocar em prática as medidas legais, administrativas e de segurança da informação que são exigidas pela Lei. Isso inclui a elaboração de políticas e avisos de privacidade, a indicação de um DPO, a revisão de contratos e termos de consentimento bem como a implantação de alguns processos de gestão de dados e de segurança.

Faça contato com a DPOBR