A relação entrePolítica de Privacidade e a LGPD

Você concorda com essa política todos os dias ao usar os aplicativos do seu celular, agora é hora de entender qual a relação entre a Política de Privacidade e a LGPD.

Antes mesmo da Lei Geral de Proteção de Dados (LGPD) ser aprovada, as mudanças tecnológicas já faziam parte do cotidiano do brasileiro.

Agora, com a Lei Federal n° 13.709/2018 em vigência, os dados pessoais estão tutelados por uma legislação inspirada nos padrões europeus que tem por objetivo aumentar a segurança dos titulares desses dados.

E, diante da revolução na relação entre empresa e usuário trazida pelo título legal, além da segurança, a transparência também virou parte essencial.

Sendo assim, o texto de hoje tem como objetivo falar sobre a Política de Privacidade no contexto da LGPD e como ela mescla os conceitos de segurança e transparência que a legislação exige!

O que é uma Política de Privacidade e qual a sua relevância?

Uma Política de Privacidade é um documento que pormenoriza todos os procedimentos que determinado site ou aplicativo realiza com as suas informações.

Com as informações do ambiente a que se refere, a política de privacidade, basicamente, responde algumas perguntas, como: “Quem é o responsável pelos meus dados?”, “Para onde eles vão?”, “Onde eles ficam armazenados?”.

O escopo principal é informar de modo mais lúcido possível ao usuário o que acontece com seus dados pessoais. 

Um exemplo é dizer o que ocorre com o nome e e-mail informado para determinado cadastro e qual a sua finalidade específica. 

Nesse sentido, deve-se ter o cuidado de possuir uma política de privacidade o mais completa possível. 

Isso significa que, além dos dados fornecidos diretamente pelo usuário, também devem ser informados aqueles recolhidos pela página e se os mesmos são repassados para terceiros.

O motivo é que, com a vigência da LGPD, a utilização de dados pessoais com a base legal pautada no consentimento do usuário deve vir acompanhado de informações livres e simples sobre o que está sendo feito com esses dados e, caso queira, os meios pelo qual o usuário possa solicitar a remoção dos referidos.

Caso haja obscuridade ou seja constatado que o caminho é de difícil acesso ou dificultado propositalmente, a empresa pode ser ajuizada judicialmente, tanto pelo Ministério Público quanto por Titulares fundamentados no Código de Defesa do Consumidor.

Quais são os elementos de uma política de privacidade?

Considerando que uma política deve ser completa e adaptada para o negócio, não podem faltar determinadas informações.

A primeira é o fundamento legal que a política de privacidade é baseada. Basicamente, o texto legal que garante sua validade. 

Em segundo, as hipóteses onde os dados pessoais do titular serão coletadas e, consequentemente, quais dados são esses.

Outro ponto importante é a forma como os dados fornecidos serão utilizados e, considerando o modelo de negócio ou hospedagem do site/aplicativo, existe a necessidade de compartilhamento de informações com terceiros.

O período de tempo em que os dados ficarão em posse da empresa que os coletou, conjuntamente com a sua finalidade são pontos que não podem faltar.

O usuário também deve ser informado sobre a utilização de cookies e web beacons, ferramentas que rastreiam a movimentação do usuário na plataforma e a coletam.

Por fim, o titular deve ser informado sobre como ele será avisado caso ocorra alguma mudança e, caso queira, como cessa o fornecimento de informações para determinada plataforma.

Como elaborar uma política corretamente?

Agora que você já sabe quais os elementos essenciais de uma política de privacidade, resta a parte prática: como elaborar uma.

Inicialmente, é necessário ter noção da funcionalidade da aplicação para qual se está elaborando uma política. Isso inclui suas particularidades e quais pontos as informações do usuário são colhidas.

Após, os cuidados necessários são relacionados à clareza da redação e exibição. Deve-se elaborar a política de um modo claro, objetivo, conciso e simples para que a maioria dos usuários possam compreender o que está escrito.

Outro ponto é a disponibilização em página de fácil acesso dentro da aplicação. A recomendação é evitar caminhos longos com muitos subitens, uma vez que pode ser compreendido como tentativa de dificultar o acesso.  

Ah, e não se esqueça de utilizar ferramentas para que o usuário forneça o aceite de maneira expressa e informada.

Na Juddi você encontra a Política de Privacidade disponível para criação e personalização, conforme as suas necessidades e caso específico.

Contamos ainda com o DPA – contrato utilizado para estabelecer as regras entre Controlador e Operador, Avaliação de Interesse Legítimo e Termos de Uso.

Cadastre-se gratuitamente e faça o teste!

Por que precisamos de uma Lei sobre tratamento de dados

Nas últimas semanas, a Lei Geral de Proteção de Dados Pessoais (LGPD) tem sido assunto recorrente nas mídias devido ao início da sua vigência. Mas por que precisamos de uma Lei sobre tratamento da dados?

Em meio a todo esse falatório, fica difícil entender e responder a essa pergunta. Uns advogam a favor, outros contra.

Empresários em todo o país ficam atordoados com os efeitos que a LGPD tem sobre o custo de operação das suas atividades, já que cria várias obrigações antes inexistentes.

Mas falando especificamente da Lei, é importante pensar qual é o seu papel e impacto no Brasil.

Afinal, que dados são esses que devem ser protegidos?

Dados pessoais são todas as informações que permitem identificar uma pessoa ou torná-la identificável, por exemplo: nome, CPF, RG, localização, hábitos de consumo. 

Ainda, mais especificamente, existem os dados sensíveis, que são informações relacionadas a aspectos muito subjetivos do titular.

Como exemplo, temos a “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

Na maioria das vezes passa despercebido, mas diariamente estamos fornecendo nossos dados pessoais, seja fisicamente ou, quase sempre, na internet.

A pergunta é: por que você  deveria se preocupar com isso? 

Primeiro, responda. O que você faria se:

  • Furtassem sua carteira de identidade na rua? 
  • Um laboratório divulgasse que você possui uma DST?
  • A escola do seu filho divulgasse uma lista com as notas de todos os alunos sem autorização?

Você buscaria seus direitos na justiça, certo? 

O mesmo pode acontecer no meio digital, ao inserir seus dados pessoais em sites, por exemplo. 

Ou seja, os mesmos cuidados que você tem com sua carteira de identidade e o sigilo de um exame de laboratório precisam existir ao colocar seus dados na internet ou em formulários aleatórios.

Os dados pessoais e seu valor econômico

Nas últimas décadas, o crescimento do uso das redes sociais tornaram os dados pessoais um grande mercado. 

No mundo dos negócios, “dados são o novo petróleo”.

Isso acontece, pois a economia se alimenta de dados coletados nos meios digitais para analisar o perfil dos consumidores. 

Até pouco tempo, nós não tínhamos ainda a real dimensão do problema. 

Era aquela velha história do marketing: você pesquisa uma viagem no Google e depois seu e-mail fica abarrotado de promoções de passagens aéreas. 

Porém, após o escândalo internacional da utilização de dados pessoais do Facebook para campanha eleitoral americana (Cambridge Analytica), o tema começou a ganhar destaque e a devida importância.

Assim, inspirada no Regulamento Geral de Proteção de Dados da União Europeia, criou-se, no Brasil, a Lei 13.709/2018, Lei Geral de Proteção de Dados Pessoais (LGPD), que dispõe sobre o tratamento de dados.

O tratamento de dados consiste em qualquer operação realizada com dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

A LGPD, ao regulamentar o tratamento de dados pessoais, tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade.

Dessa forma, questões importantes são estabelecidas para tornar o meio digital um ambiente seguro e transparente ao titular de dados.

Trata-se de um importante marco regulatório no Brasil que, ainda que imperfeito, pode trazer bons resultados.

Confira os artigos sobre o Relatório de Impacto à Proteção de Dados Pessoais – RIDP, o Contrato para Tratamento de Dados – DPA, o Data Mapping (Inventário de Dados) e a Avaliação de Interesse Legítimo – LIA.

Na Juddi você encontra documentos adequados à LGPD e, não somente: você encontra documentos PARA ADEQUAR a sua empresa à LGPD.

Cadastre-se gratuitamente e faça o teste!

Agora é hora de se adequar à LGPD

Muita gente empurrou com a barriga até aqui, mas a Lei entrou em vigor e agora é a hora de se adequar à LGPD.

Inspirada no Regulamento Geral de Proteção de Dados da União Europeia, criou-se a Lei 13.709/2018, Lei Geral de Proteção de Dados Pessoais (LGPD), que tem como objetivo principal a regulamentação do tratamento de dados pessoais.

O tratamento de dados consiste em qualquer operação realizada com dados pessoais, como a coleta, produção, utilização, acesso, distribuição, processamento, arquivamento, armazenamento, eliminação, modificação, comunicação, transferência.

O objetivo da LGPD é proteger os dados pessoais de seus titulares desde o momento que sua empresa os coleta, até a eliminação definitiva. 

Ou seja, há regras e hipóteses que devem ser observadas para tratar os dados de terceiros.

Em caso de descumprimento, a LGPD estabelece sanções administrativas, como a multa de até 2% sobre o faturamento da empresa no último exercício.

Embora a vigência da LGPD tenha sido adiada, desde 2018, muitas empresas já se anteciparam e fizeram a adequação em razão da importância do tema.

Se este não é o seu caso, saiba: sua empresa está correndo riscos.

Isso porque, além de estar sujeito a infrações, também estará manchando o nome do seu negócio ao utilizar de forma errada os dados pessoais dos seus clientes.

Como funciona o processo de adequação

O primeiro passo para a implementação será o data mapping ou mapeamento dos dados. 

O objetivo será coletar todos os dados que a empresa possui de terceiros, analisar e classificar sua adequação e necessidade.

A explicação acima teve apenas a intenção de alertá-lo que a implementação não é tarefa fácil, leva tempo e precisa ser realizada o quanto antes. 

Segundo a LGPD, o tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

  1. mediante o fornecimento de consentimento pelo titular;
  2. para o cumprimento de obrigação legal ou regulatória pelo controlador;
  3. pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
  4. para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  5. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  6. para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  7. para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  8. para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;   
  9. quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  10. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

O processo de adequação é considerado completo quando todos os fluxos internos da sua empresa se comunicam com as bases legais de tratamento de dados pessoais.

Isso significa não somente uma adaptação dos procedimentos internos, mas uma análise profunda sobre o modo como os dados pessoais são tratados.

Até os dados pessoais dos seus empregados e colaboradores precisam ser tratados de maneira adequada aos princípios da legislação.

A punição para empresas que descumprirem a LGPD pode variar dependendo da gravidade da infração. 

As multas por não conformidade podem chegar a 2% do faturamento, limitadas a R$ 50 milhões, por infração, multa diária dano de imagem, com atenuantes de pronta adoção de medidas corretivas, mecanismos e procedimentos internos de proteção de dados, política de boas práticas e governança. 

Além disso, as empresas podem ter suas atividades suspensas, parcial ou totalmente.

Confira os artigos sobre o Relatório de Impacto à Proteção de Dados Pessoais – RIDP, o Contrato para Tratamento de Dados – DPA, o Data Mapping (Inventário de Dados) e a Avaliação de Interesse Legítimo – LIA.

Na Juddi você encontra documentos adequados à LGPD e, não somente: você encontra documentos PARA ADEQUAR a sua empresa à LGPD.

Cadastre-se gratuitamente e faça o teste!

A LGPD está em vigor: e agora?

As últimas notícias sobre a Lei Geral de Proteção de Dados (LGPD) (Lei Federal n° 13.709/2018) podem parecer confusas, mas sim, a LGPD está em vigor.

Certo, mas e agora? 

Para as empresas que adequaram-se, nada muda. Porém, a realidade da grande maioria não é essa, uma vez que a pandemia provocada pela COVID19 atrasou os planos.

Neste texto vamos falar sobre esse assunto.

Por que se adequar?

Embora possa parecer intuitivo para alguns a relação entre existir uma legislação e a necessidade de cumprí-la, essa associação pode não ser muito clara quando falamos de dados pessoais.

O cuidado com as informações de terceiros, especialmente do modo como a LGPD exige, pode ser encarada como uma burocracia desnecessária pelo prestador de produto ou serviço que não considera as informações pessoais importantes.

Porém, a despeito das convicções pessoais, a compreensão dos legisladores acerca do tema já é pacificada e os dados pessoais são considerados dos seus titulares e tão valiosos como bens materiais comuns.

Sendo esse um dos principais motivos para a criação da LGPD, também é a razão para a criação da ANDP. 

A Autoridade Nacional de Proteção de Dados (ANDP) é a entidade responsável por fiscalizar, traçar diretrizes quanto ao cumprimento da lei, estabelecer regulamentos específicos e aplicar sanções aos que descumprirem as regras as regras da legislação.

Vetada do texto original da LGPD, foi criada separadamente com a Medida Provisória n° 869 em 2018 e é um dos motivos pelo qual as empresas devem agilizar o processo de adequação.

As sanções permitidas, conforme o artigo 52 da LGPD, podem variar entre:

  1. advertência, com a indicação de prazo para a adequação das correções;
  2. multa simples, podendo chegar até 2% do faturamento líquido da pessoa jurídica de direito privado, limitada a R$ 50 milhões por infração;
  3. multa diária;
  4. publicização da infração após devidamente apurada e confirmada a ocorrência;
  5. bloqueio dos dados pessoais envolvidos até a regularização da infração;
  6. eliminação de todos os dados pessoais envolvidas na infração.

Embora as referidas sanções tenham ficado para agosto de 2021, os Titulares já podem utilizar o Procon, o Ministério Público ou propor ações indenizatórias baseadas no Código de Defesa do Consumidor utilizando a LGPD como suporte.

Processo de adequação

Dito isso, não existe outro caminho a ser seguido se não a adequação da empresa à LGPD. 

O processo necessário pode ser dividido em três partes principais: no diagnóstico, na estruturação e na revisão.

O primeiro passo é averiguar a atual situação do sistema de coleta de informações utilizados pela empresa. 

A fase de diagnóstico é marcada por reuniões com o time para exposição do processo, mapeamento dos processos, avaliação de riscos para os usuários.

A primeira etapa é encerrada com a elaboração de um Relatório e um Plano de Ação que, basicamente, diz: “Nossa empresa estava no ponto X, pelos seguintes motivos. Vamos adotar as seguintes ações para nos adequarmos”.

Então, na segunda etapa, passa-se para a execução do programa elaborado. 

A criação de uma estrutura de governança, Estrutura de Política de Procedimento e a elaboração de documentos de privacidade possuem o objetivo de fornecer a segurança para o usuário. 

Além da segurança, a estruturação de um sistema onde os dados do titular são excluídos com a sua solicitação ou maiores informações são concedidas, de acordo com a finalidade solicitada, são essenciais. 

Por fim, a etapa final é a revisão de todo o processo de identificação de riscos. 

Pode parecer um processo complexo, contudo, as empresas que optarem por passar pela adequação mais cedo garantirão a segurança jurídica para os sócios, colaboradores e credibilidade com os clientes.

Confira os artigos sobre o Relatório de Impacto à Proteção de Dados Pessoais – RIDP, o Contrato para Tratamento de Dados – DPA, o Data Mapping (Inventário de Dados) e a Avaliação de Interesse Legítimo – LIA.

Na Juddi você encontra documentos adequados à LGPD e, não somente: você encontra documentos PARA ADEQUAR a sua empresa à LGPD.

Cadastre-se gratuitamente e faça o teste!

Uma carta de boas vindas à LGPD

Após anos de discussão, tramitação e vacância, a Lei Geral de Proteção de Dados (LGPD), Lei Federal n° 13.709/2018, finalmente entrou em vigor. Nada mais apropriado do que fazer uma carta de boas vindas à LGPD!

Se você possui algum empreendimento que lida com informações de clientes ou pretende atuar na área, este é um guia rápido sobre o assunto do momento.

O que, por que e como foi criada a LGPD

Primeiro, precisamos compreender exatamente do que estamos falando quando o assunto é Lei Geral de Proteção de Dados. 

A LGPD é a legislação brasileira que regula o tratamento de dados pessoais no Brasil. Isso significa que as suas informações só poderão ser utilizadas pelas empresas por meio de bases legais instituídas pela própria lei, como, por exemplo, o seu consentimento expresso.

O principal motivo justificador é a relevância que os dados dos usuários, especialmente de redes sociais e aplicativos, ganharam nos últimos anos. 

Em razão da utilização para fins econômicos e políticos dessas informações fornecidas pelas pessoas ao utilizarem essas aplicações, legisladores do mundo todo se movimentaram para tutelar os direitos dos usuários.

A criação de uma legislação pátria sobre dados pessoais foi inspirada no Regulamento Geral de Proteção de Dados da União Europeia, criado em 2018, e se mostrava como essencial, uma vez que não existia uma norma que fornecia ao cidadão a segurança jurídica ideal acerca da posse das suas informações.

No Brasil, o Projeto de Lei que originou a legislação foi o de n° 5276 de 2016. Após transitar pela Câmara, foi aprovado no Senado em 2018 e sancionado no mesmo ano. 

Porém, após alteração em dezembro de 2018, ficou estabelecido que a LGPD só entraria em vigor no mês de agosto de 2020.

Principais conceitos adotados na LGPD

Passado o mês da entrada em vigor e com a necessidade imediata de adequação por parte das empresas, se você pretende ler mais sobre a LGPD daqui em diante, precisa estar ciente de alguns termos que podem aparecer com frequência: 

  1. Dados Pessoais: são todas as informações que podem identificar uma pessoa natural ou torná-la identificável, por exemplo, Registro Geral, Endereço, etc. Possui duas subcategorias: 
    1. Dados Anonimizados: são os dados pessoais que, em razão de meio técnico e computacional, tornaram-se anônimos;
    2. Dados Sensíveis: são dados pessoais que requerem uma proteção maior. Normalmente são os relacionados a crianças, raça, etnia, histórico de saúde, opinião política, entre outros.
  1. Tratamento: basicamente, todas operações que envolvem dados pessoais;
  1. Titular dos Dados: possuidor da informação tratada pela empresa;
  1. Agentes de Tratamento: são os responsáveis pelo tratamento de dados, podendo ser pessoa física ou jurídica. Um agente pode exercer a função de Controlador, Operador ou Encarregado.
    1. Controlador: responsável pelas decisões acerca do tratamento. Cabe a ele a função de decidir o que será feito com as informações dos titulares
    2. Operador: é o que realiza o tratamento em nome do controlador.
    3. Encarregado: também chamado de Data Protection Officer (DPO), tem como função atuar como canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por regular o setor.

Como implementar a LGPD?

Sendo assim, a LGPD exige uma nova postura de empresários e profissionais que pretendem atuar nos ramos por ela afetados, pois, o processo de adequação de uma empresa é um processo delicado e exige atenção ao título legal.

Deve-se ter ciência de todas as informações coletadas dos usuários, os motivos pelo qual elas são coletadas e como são utilizadas para que os métodos de controle, segurança e justificativa possam ser realizados.

Nesse mesmo sentido, a estruturação de um processo de comunicação com os titulares dos dados é importante. Desde informar ao usuário o motivo dos dados estarem armazenados, até efetuar a retirada quando solicitado.

A elaboração de alguns documentos também se torna imprescindível, como uma boa política de privacidade, um relatório de impacto à proteção de dados pessoais e termos de uso.

Uma questão de cultura empresarial

A LGPD veio para ficar, isso é um fato. 

O que nos resta é nos adequar e alterar a cultura empresarial acerca de como a informação de terceiros é manejada, a fim de fornecer maior liberdade e segurança ao usuário.

Confira os artigos sobre o Relatório de Impacto à Proteção de Dados Pessoais – RIDP, o Contrato para Tratamento de Dados – DPA, o Data Mapping (Inventário de Dados) e a Avaliação de Interesse Legítimo – LIA.

Na Juddi você encontra documentos adequados à LGPD e, não somente: você encontra documentos PARA ADEQUAR a sua empresa à LGPD.

Cadastre-se gratuitamente e faça o teste!

LGPD: O QUE NÃO PODE FALTAR EM UM MAPEAMENTO DE DADOS (DATA MAPPING)

Um dos principais documentos utilizados na implementação de um programa de adequação à LGPD é o Mapeamento de Dados (Data Mapping).

Você já leu em algum lugar ou escutou que “os dados são o novo petróleo”?

Originalmente, a frase “data is the new oil”, foi criada pelo inglês Clive Humby, matemático especializado em ciência de dados, conquistou espaço cativo no mundo dos negócios. 

E não é para menos. E a explicação está na nossa frente. 

Dados são informações que permitem identificar um indivíduo, como nome, telefone, e-mail, CPF, preferências. 

Ao utilizar seu smartphone, por exemplo, você já deve ter inserido diversos dados para ter acesso a um aplicativo ou criar uma rede social.

Isso significa que milhares de pessoas estão constantemente deixando seus dados na internet. E eles são valiosos para empresas que querem monitorar o perfil do seu público.

Ao estarem nos holofotes do mundo inteiro, não é de se surpreender: a regulamentação de dados se tornou pauta de muitos governos.

É claro que o Brasil não ficará de fora. 

Com inspiração no regulamento europeu, foi criada a Lei Geral de Proteção de Dados (Lei nº 13.709), em 2018, destinada a regular a proteção de dados. 

O primeiro passo para implementação da LGPD é o mapeamento de dados, também conhecido como “data mapping”, “data flow” ou inventário de dados. 

Esse documento é o alicerce para o bom desenvolvimento da implementação da LGPD na empresa. 

O mapeamento de dados resultará em um diagnóstico completo de como a empresa está lidando até o momento em relação à privacidade e a segurança da informação de terceiros. 

Dessa forma, após o levantamento dos dados utilizados pela empresa, será possível analisar e identificar as vulnerabilidades existentes de acordo com a legislação, a fim de, posteriormente, adotar as medidas cabíveis. 

Como elaborar o data mapping?

Primeiro. Sozinho você não sairá do lugar. 

O mapeamento de dados deve ser realizado com a colaboração de múltiplos setores da empresa, além de auxílio técnico e jurídico para futuras análises. 

Para tanto, o primeiro passo é fazer uma reunião de kick-off para definição do cronograma, protocolos de comunicação, identificação dos líderes estratégicos e formação de um comitê da Privacidade. 

Diante disso, deve ser realizado o treinamento e engajamento dos envolvidos para iniciar o processo de conscientização e compreensão da lei.

Segundo. Elabore o formulário que será a base do seu data mapping.

É preciso criar um formulário com todos os questionamentos necessários para desenvolver o data mapping da empresa.

Esse formulário precisa ser preenchido por todos os envolvidos no projeto de implementação, pois a partir dos dados coletados desses questionários será possível a análise de maturidade e o mapeamento do tratamento de dados.

No formulário, serão questionados, por exemplo:

  1. O tipo de dados pessoais coletados;
  2. A natureza dos dados; 

A forma de cadastro digital do banco de dados da empresa;

  1. Prazo de armazenamento;
  2. Acesso interno.

Ainda, você poderá fazer entrevistas complementares com os líderes para averiguação e detalhamento sobre as formas de tratamento dos dados pessoais.

Terceiro. Você precisa analisar cada dado coletado.

Nessa etapa, deve ser analisado as hipóteses legais do tratamento a partir de cada dado coletado com o trinômio da finalidade, necessidade e adequação.

Segundo o artigo 7º da LGPD, o tratamento de dados pessoais por empresas (pessoas jurídicas de direito privado) somente poderá ser realizado nas seguintes hipóteses:

  1. mediante o fornecimento de consentimento pelo titular;
  2. para o cumprimento de obrigação legal ou regulatória;
  3. para a realização de estudos por órgão de pesquisa;
  4. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  5. para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  6. para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  7. para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  8. quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  9. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Todas hipóteses listadas acima são consideradas bases legais para tratamento dos dados pessoais. 

Isso significa que sempre que você for tratar dados pessoais, é obrigatório que o tratamento esteja justificado com uma dessas bases legais. Do contrário, você estará infringindo a LGPD e suas normas.

Junto com a base legal, sua empresa precisa justificar esse tratamento com finalidades específicas e lícitas, que devem ser claras e transparentes aos titulares dos dados.

A elaboração do mapeamento ou inventário de dados é ponto crucial para o processo de implementação, já que é a partir dele que todos os documentos obrigatórios para adequação à LGPD serão elaborados.

Um exemplo clássico – e bem comum no nosso dia a dia – é a Política de Privacidade, que é responsável por deixar os titulares de dados cientes de como os seus dados são tratados.

Finalize o data mapping com o Laudo Final de Diagnóstico

Ao fazer o levantamento de todas essas informações sobre o modo como os dados pessoais são tratados, é hora de elaborar um Laudo Final do Diagnóstico contendo a matriz de riscos e roadmap do plano de adequação.

Feito isso, reúna o Comitê da Privacidade para apresentação e aprovação dos resultados.

Na Juddi você encontra documentos adequados à LGPD e disponíveis para criação e personalização, conforme as suas necessidades e caso específico.

Você pode criar o DPA – contrato utilizado para estabelecer as regras entre Controlador e Operador, a Política de Privacidade e os Termos de Uso, por exemplo.

Cadastre-se gratuitamente e faça o teste!

LGPD – O que é e como fazer o Contrato para Tratamento de Dados (DPA)

Você já deve ter ouvido falar sobre o Controlador e o Operador, mas aqui vamos te ensinar como elaborar o contrato entre esses dois agentes: o Contrato para Tratamento de Dados – DPA.

Em 2018, foi publicada a Lei nº 13.709, Lei Geral de Proteção de Dados (LGPD), com o objetivo de regulamentar o tratamento de dados pessoais. 

Desde então, começou a corrida para a implementação das da LGPD nas empresas. 

Conforme já explicamos em outros artigos aqui no Blog da Juddi, existem fases fundamentais para realizar a implementação da LGPD, a começar pelo mapeamento dos dados utilizados pela empresa. 

Além das regras para a coleta e uso de informações pessoais, a legislação criou também os chamados agentes responsáveis pelo tratamento de dados, quais sejam: o controlador e operador.

Controlador e Operador: manda quem pode, obedece quem tem juízo

O controlador é pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. 

Já operador, pessoa natural ou jurídica, de direito público ou privado, realiza o tratamento de dados pessoais em nome do controlador.

Em outras palavras, o Controlador é o responsável pelo tratamento de dados pessoais coletados e pode contratar um terceiro, denominado operador, para realizar o tratamento desses dados, que também tem responsabilidades quanto à proteção dos dados pessoais coletados.

Para garantir segurança para todas as partes envolvidas na realização do tratamento dos dados, torna-se indispensável elaborar um contrato de serviço entre o controlador e o operador.

Onde entra o DPA nessa história toda?

Como Controlador e Operador vão estabelecer uma relação de responsabilidades e obrigações mútuas, é necessário formalizar isso através de um contrato.

Na lei europeia sobre tratamento de dados, a GDPR – General Data Protection Regulation, esse contrato estabelecido entre Controlador e Operador é o DPA – Data Processing Agreement.

Adaptando esse documento à realidade brasileira, movida pelo início da vigência da Lei Geral de Proteção de Dados Pessoais, nós chegamos ao Contrato para Tratamento de Dados.

O que não pode faltar no Contrato para Tratamento de Dados

O Contrato para Tratamento de Dados é atípico. Isso significa que as partes podem ajustar a forma e o conteúdo desse contrato livremente.

Vamos listar aqui alguns dos itens essenciais a este documento, de modo que você possa aplicar na sua empresa ou para seus clientes sem receio de ter esquecido alguma coisa.

Em suma, o contrato deve conter: 

  1. os objetivos organizacionais pretendidos pelo Controlador; 
  2. os objetivos estabelecidos pela LGPD;
  3. cláusulas de proteção de dados pessoais indicando natureza dos dados pessoais, base legal do tratamento, objetos e resultados do tratamento, duração do tratamento, requisitos de segurança envolvidos, aspectos do tratamento dos dados pessoais.

Logo, o contrato deve conter os seguintes itens:

  1. Natureza dos dados pessoais, Finalidade e Bases legais do tratamento de dados pessoais;
  2. Operações a serem realizadas com os Dados Pessoais:
    1. Definir e regular as operações de tratamento de dados pessoais, estabelecendo as finalidades, necessidades e limites do tratamento dos dados pessoais, com a correspondente informação ao Titular dos dados pessoais;
    2. Término do Processamento, periodo de posse dos dados pessoais pelo Operador, necessário e suficiente para executar o tratamento, critérios de seleção dos dados pessoais, salvo para cumprimento de obrigações legais;
    3. Definição de legítimo interesse para a manutenção dos dados pessoais na posse do Operador;
    4. Definição da necessidade de transferência dos dados pessoais para Sub-operadores;
  1. Direitos do Titular dos Dados Pessoais:
    1. Cláusulas que, caso necessário, possibilite o Titular dos dados pessoais acessar os seus dados de posse do Operador;
    2. Estabelecer a responsabilidade para correção e eliminação de dados pessoais caso ocorra solicitação do Titular dos dados pessoais;
  1. Segurança:
    1. Requisitos de segurança para o tratamento dos dados pessoais, sendo indicado a existência por parte do Operador de políticas de proteção de dados, e procedimentos de proteção contra violação, com as melhores práticas e medidas técnicas apropriadas para proteger os dados pessoais;
    2. Medidas sobre violação de dados pessoais, e informações suficientes para atender ao Titular dos dados pessoais e ao Órgão Regulador;
  1. Comprovação de Conformidades:
    1. Prever capacidade do Controlador de atestar a conformidade do Operador com a LGPD;
  1. Termos Gerais do Tratamento de Dados Pessoais:
    1. Prescrição de condições diversas entre as partes pactuantes (confidencialidade, publicidade, avisos, etc).

A corrida começou e você não pode ficar para trás!

A corrida para a implementação da LGPD em empresas que utilizam dados pessoas de clientes, colaboradores, funcionários já começou.

A LGPD já está em vigor no Brasil e suas regras se aplicam a todos que fazem tratamento de dados pessoais.

A adaptação dos contratos à Lei é apenas uma pequena parte do processo de adequação.

Não fique para trás! 

A Juddi disponibiliza documentos inteligentes e adequados à LGPD para que você possa criar e utilizar em sua empresa ou aplicar para seus clientes.

LGPD: Como elaborar o Relatório de Impacto à Proteção de Dados – RIPD

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é o mecanismo pelo qual o tratamento de dados pessoais, que tenha potencialidade de gerar riscos às liberdades civis e aos direitos fundamentais, possui seus riscos mitigados. 

Considerando que os dados pessoais são essenciais no século XXI, sendo dotados de valor econômico e relevante importância, restou ao legislador tutelar o modo como as empresas, e o próprio Estado, lidariam com eles.

A Lei Geral de Proteção de Dados Pessoais (LGPD), promulgada sob o número 13.709/2018, trouxe em seu artigo 5°, inciso XVII o instituto do RIPD, ou Data Protection Impact Assessment (DPIA), que tem como principal escopo a diminuição dos riscos ao se operar dados de terceiros.

Então, como forma de elucidar essa parte essencial da LGPD, vamos falar sobre o instrumento legislativo, seu papel e sua implementação.

Quem deve implementar e quem é o responsável pela implementação?

A responsabilidade pela elaboração do RIPD é do Controlador. 

Para a LGPD, Controlador é o responsável por tomar decisões acerca do tratamento dos dados pessoais, podendo ser pessoa física ou jurídica.  

Em razão do objetivo do RIPD, ele deve ser elaborado de modo anterior ao início do processo de tratamento dos dados, com uma abordagem geral para que sejam averiguados possíveis gargalos administrativos ou problemas técnicos que possam ocasionar o vazamento de dados.

Contudo, elaborar o RIPD antes da implementação das estruturas necessárias para a adequação da LGPD pode tornar o processo improdutivo. 

Seria, basicamente, “fazer a prova para aprender a matéria”, não o contrário.

No modelo ideal, a elaboração do Relatório residiria entre o processo de adequação e o início do tratamento de dados. 

Porém, nem todos os dados pessoais correspondem à categoria de risco.

O RIPD será necessário para negócios como, por exemplo, hospitais, empresas que monitoram sistematicamente a atividade de seus funcionários, instituições que criam bancos de dados que envolvam informações de crédito, escolas que possuem coletam sistematicamente informações dos seus alunos.

Como implementar?

Além de contar um panorama geral de toda operação, o Relatório de Impacto à Proteção de Dados deve apresentar, no mínimo, três elementos:

  1. a descrição sobre os tipos de dados coletados; 
  2. o método utilizado para obtê-los e quais foram as informações fornecidas aos clientes sobre essa garantia de segurança; 
  3. uma análise do controlador sobre as ações realizadas para que os riscos fossem mitigados.

Pode-se compreender o processo para elaboração do Relatório de Impacto à Proteção de Dados sob duas perspectivas: macro e micro. 

Do ponto de vista macro, divide-se em três etapas gerais: 

  1. Compreensão do contexto de processos e organização; 
  2. Processo de Avaliação de Riscos; 
  3. Processo de Gerenciamento de Riscos.

De modo micro, os três processos podem ser divididos em seis fases.

Na primeira fase está contido o detalhamento do processo. Trata-se de uma descrição sistemática de toda a estrutura de dados tratados, bem como seu contexto, sua finalidade, sua natureza, as bases legais, justificativas, tempo de retenção, entre outros pontos.

Na segunda fase a atenção volta para os terceiros denominados processadores. Analisa-se possíveis relações com esses terceiros, no que concerne aos dados, para as fases seguintes.

A identificação dos controles já existentes, sejam eles de ordem legal ou técnica, ocorrem na terceira fase. Pontos como proporcionalidade do processamento devem estar devidamente adequadas, uma vez que serão ponto-chave no RIPD.

A terceira fase reforça o ponto de que a adequação à LGPD é processo anterior ao RIPD, não sendo o Relatório uma ferramenta para forçar premissas que já não foram estabelecidas anteriormente.

Após, devem ser listadas todas as hipóteses que podem trazer risco ao usuário dos dados e mensurá-las, a fim de compreender sua origem, natureza, particularidade e gravidade. Essa é a quarta fase. 

Na quinta fase, produz-se um documento com o objetivo de, com base nos riscos levantados e nos controles já existentes, assegurar o máximo de segurança para o titular dos dados, seja resolvendo questões envolvendo processos, tecnologia ou criando novos processos. 

Na última fase, a sexta, envia-se o Relatório de Impacto à Proteção de Dados ao DPO (Data Protection Officer – ou Encarregado), uma vez que ele é o principal responsável por garantir o cumprimento da LGPD dentro da empresa.

O DPO pode aceitar, aceitar com ressalvas ou rejeitar o RIPD. Porém, importante salientar que a recusa de um RIPD por um DPO não é vinculativa, devendo a empresa analisar os motivos e fundamentos da decisão e optar por prosseguir o processamento conforme o Relatório.

O RIPD é uma ferramenta para o compliance empresarial

O artigo 38 da LGPD afirma que a Autoridade Nacional de Proteção de Dados pode exigir o RIPD do Controlador a qualquer momento, sendo a sua ausência motivo para sanção administrativa e/ou judicial. 

Contudo, acredita-se que a função do Relatório excede a simples sanção do órgão fiscalizador.

Dentro desse novo posicionamento que o Direito Brasileiro tem tomado, o Relatório de Impacto à Proteção de Dados – RIPD se torna uma poderosa ferramenta de compliance, bem como, uma fiel métrica acerca da viabilidade de novos negócios e projetos, representando, desta forma, um poderoso instrumento de mudança na mentalidade empresarial.

Na Juddi você encontra documentos adequados à LGPD e disponíveis para criação e personalização, conforme as suas necessidades e caso específico.

Você pode criar o DPA – contrato utilizado para estabelecer as regras entre Controlador e Operador, a Política de Privacidade e os Termos de Uso, por exemplo.

Cadastre-se gratuitamente e faça o teste!

LGPD: entenda o famoso “LIA” – Avaliação de Interesse Legítimo

Entenda de uma vez por todas o que é o LIA, conhecido no Brasil como Avaliação de Interesse Legítimo.

A Lei Federal n° 13.709/2018, popularmente conhecida como a Lei Geral de Proteção de Dados (LGPD), já está alterando a rotina do país.

É inegável que os dados pessoais estão presentes no cotidiano de todas as empresas.

Todo estabelecimento comercial, grande ou pequeno, deve adequar-se à LGPD e suas diretrizes caso trate dados pessoais.

Embora promulgada em 2018, a LGPD não tinha entrado em vigor até agosto de 2020, o que levou muitas dessas empresas a “empurrarem” a adequação.

Mas a LGPD entrou em vigor e não dá mais para esperar: se adequar é preciso!

O que é o “Interesse Legítimo”?

Um instituto presente dentro da legislação pode ganhar destaque no processo de “adequação”. 

O interesse legítimo, presente no artigo 7°, inciso IX, bem como no artigo 10°, dispõe que seus dados pessoais podem ser tratados sem seu consentimento, desde que não sejam sensíveis (aqueles que envolvem origem racial, opinião política, saúde, vida sexual, etc.) com base no interesse legítimo.

Ressalta-se que os princípios da lei também são aplicáveis ao caso, ou seja, nenhum dado pode ser tratado, mesmo com base no referido instituto, que ofenda direitos ou liberdades básicas.

Contudo, o protagonismo do Interesse Legítimo reside na ausência de regulação por parte da Autoridade Nacional de Dados Pessoais (ANDP), o texto legal ser demasiadamente abstrato, bem como a ausência de jurisprudência deixarem todas as hipóteses inexploradas.

Sem dúvidas que os princípios da razoabilidade devem estar presentes no padrão de ação dos Controladores, contudo, definir o que é “legítimo” ou não para uma empresa que precisa de vários seguimentos para sobreviver é uma área nebulosa.

Se, por um lado, o consentimento pode ser revogado e exige uma interação com o usuário toda vez que seus dados forem utilizados para fins distintos dos fornecidos, o interesse legítimo é mais flexível e torna esse processo mais ágil.

Não significa, porém, a ausência de barreiras. O próprio artigo 10 da LGPD exige que deve ser atrelado a casos concretas, atuando com transparência e utilizando os dados necessários.

Como fazer a Avaliação de Interesse Legítimo

A Avaliação de Interesse Legítimo é parte essencial da implementação de uma operação de tratamento de dados com base no interesse legítimo. Ela deve ser realizada antes do início da operação e tem como objetivo promover uma reflexão e mensurar determinados riscos.

A Avaliação deve atender a três pontos principais: finalidade, necessidade e equilíbrio.

1) Finalidade

Qual o motivo do tratamento desses dados?

A quem beneficia esse tratamento? De que modo?

Qual seria a relevância do não tratamento?

O tratamento é ético e poderá ser considerado ilegal?

2) Necessidade

Todos os dados tratados são necessários para a finalidade?

É uma forma razoável?

Existe outro modo de atingir o objetivo?

3) Equilíbrio

Existem dados sensíveis ou dados de menores entre os tratados?

Os titulares poderiam esperar que os seus dados fossem tratados dessa forma?

Existe algum tipo de arbitrariedade ou desequilíbrio entre o responsável e o titular?

Qual o possível impacto dessa ação nos titulares? Pode ser minimizado?

É de fácil compreensão a atitude tomada pelo controlador nesse tratamento?

Respondidas as perguntas, será necessário tomar uma decisão sobre tratar ou não os dados com base no interesse legítimo. 

Pode haver a hipótese da necessidade de implementação de instrumentos de segurança ou chegar-se à conclusão que os riscos envolvidos são altos demais, hipótese em que talvez seja necessário um Relatório de Impacto à Proteção de Dados.

Agora é hora de colocar em prática

Embora não haja formato padronizado, é essencial que a Organização mantenha a Avaliação de Interesse Legítimo sempre documentada. 

Ela fornece legitimidade e atua como prova da atuação responsável dos seus autores, justificando suas tomadas de decisão.

Da mesma forma, ela deve ser revisitada toda vez que ocorrer mudanças relevantes nas operações de tratamento.

Na Juddi você encontra a Avaliação de Interesse Legítimo – LIA disponível para criação e personalização, conforme as suas necessidades e caso específico.

Contamos ainda com o DPA – contrato utilizado para estabelecer as regras entre Controlador e Operador, Política de Privacidade e Termos de Uso.

Cadastre-se gratuitamente e faça o teste!

Por que escolher a Juddi?

Se você está chegando agora e não entendeu muito bem como as coisas funcionam por aqui, vamos explicar por que escolher a Juddi.

Quanto tempo é gasto por você e pela sua equipe com processos burocráticos que poderiam ser automatizados? 

As respostas costumam variar entre “Muito” e “Bastante”.

Seja em cartórios, juntas comerciais ou varas judiciais, a existência de gargalos produtivos é nítida, porém, a existência de fluxos de trabalhos passíveis de otimização também podem ser notados internamente, seja em uma empresa ou escritório.

Se você notou que pode tornar seu trabalho mais produtivo e melhorar a relação com seus clientes, aqui vão 10 motivos do porquê escolher a Juddi!

1) Poupe tempo na produção de documentos

Guarde o trabalho manual para as funções que realmente precisam dele. Com simples cliques você pode produzir seus documentos com qualificações completas.

2) Personalize seus próprios documentos 

Utiliza documentos ou petições próprias, com sua logomarca e fonte? Sem problemas. Personalizamos seu documento de acordo com as suas especificações.

3) Tenha acesso ao nosso banco de modelos

Caso você seja uma startup em início de operação e precise de contrato para fornecedores ou um advogado que necessite de um contrato de honorários, você também está no lugar certo.

Temos um banco de modelos personalizáveis e automatizáveis que são atualizados semanalmente.

4) Multiplataforma

Acesse nossos serviços de onde estiver, quando quiser. Desde a versão clássica de Desktops (computadores de mesa) até Smartphones, fornecemos a segurança para gerar e assinar documentos até no meio de uma diligência ou demanda urgente.

5) Assinatura Eletrônica 

Gerado o modelo, você não irá precisar baixar o seu documento para enviar para o e-mail do seu cliente. Muito menos será necessário que ele imprima e assine manualmente.

Nossa plataforma conta com um sistema de assinatura eletrônica extremamente seguro, em conformidade com a legislação brasileira. Basta inserir as informações necessárias e pronto.

6) Organização em Nuvem

Não sabe onde salvou o documento e acredita que terá que gerá-lo novamente? Não por aqui. Seus documentos ficam armazenados em nuvem, dentro da própria plataforma da Juddi, por ordem cronológica.

7) Suporte

Viu alguma automação errada ou acredita que algum modelo deveria estar presente no site? Você pode falar conosco em contato@juddi.com.vc e o problema será resolvido rapidamente ou o documento será inserido logo na próxima atualização!

8) Conexão com advogados

Possuímos uma lista de advogados e advogados com diferentes especializações para que você possa solicitar aconselhamento e acompanhamento jurídico sobre algum contrato ou caso concreto.

9) Interface Simples e Intuitiva

Tem receio de possuir a tecnologia e não conseguir utilizá-la pela interface ser complexa demais ou as opções serem confusas? Nós também.

Pensando nisso, elaboramos uma interface simples e intuitiva para que você não se perca ao elaborar seus documentos e petições.

10) Preço 

Sim, o preço. Já que tudo isso custa apenas R$ 39,90 mensais. 

Entender como a tecnologia muda a sua vida é fácil. Você utiliza ferramentas tecnológicas todos os dias e nem percebe.

Agora chegou a vez de deixar a tecnologia mudar o seu ofício, sua rotina e o modo como você faz tarefas rotineiras no seu ambiente de trabalho.

A Juddi é a plataforma perfeita para você. Faça o teste gratuito e depois nos conte o que achou 🙂