Participou do nosso curso de Introdução à LGPD, mandou dúvidas, mas ela não foi respondida ao vivo? Então confere nosso FAQ abaixo (clique na pergunta para visualizar as respostas).

Quando e como surgiu a nova Lei Geral de Proteção de Dados?

 

Ela foi assinada em 2018, como resposta à GDPR da União Europeia, sendo necessária para o Brasil ter sua própria legislação.
Onde denunciar um cibercrime?
Na Delegacia de Crimes Cibernéticos
Como será comprovado que a empresa garante a proteção dos dados?

A ANPD (Autoridade Nacional de Proteção de Dados) divulgará mais informações, mas as empresas precisão ler os artigos da Lei e se adequar ao que está escrito.

Quais são as áreas que mais sofrerão com os impactos da LGPD dentro de uma empresa?

As áreas que tiverem mais dados pessoais e com menos controle.
É necessário atenção com áreas que tratam dados sensíveis.

Quanto tempo leva para uma empresa se adequar 100% à LGPD? Quais são os passos?

Não existe uma métrica, pois cada empresa tem suas peculiaridades.

Uma estimativa é:

  • de 6 a 8 meses para empresas pequenas;
  • 1 ano para médias empresas;
  • 1 a 2 anos para grandes empresas.

Isso seguindo os passos de um plano de adequação, com levantamento, mapeamento, classificação, relatório de impacto, notificações e processo de requisição dos titulares.

Advogados com poucos clientes também devem se sujeitar à essa lei?
Sim, todos que tratam dados devem ter controles e demostrar os controles, independentemente do ramo.
Como ficam essas empresas como SPC/Serasa que vendem dados de usuários?

A comercialização de dados não é uma prática legal, mas todas as empresas devem demostrar controles, inclusive para os operadores que estão recebendo os dados do controlador.

Um pequeno empregador, como um condomínio, com poucos empregados, por exemplo, mas que usa relógio de ponto com base na biometria precisa fazer adequação com relação à questão trabalhista? Qual o risco?

São duas coisas diferentes, mas ele precisa sim se adequar às leis trabalhistas, assim como à LGPD.

A questão é cobrar pelo serviço ou ter fins lucrativos? Pergunto pelo caso de organizações sem fins lucrativos.

A LGPD cita quais são as exceções, mas mesmo empresas sem fins lucrativos devem demostrar controles sobre os dados tratados.

Essa Lei vale para Conselhos de Classes (autarquias)?

Sim.

Quais as implicações mais problemáticas sobre essa questão em um escritório de advocacia?

Eu vejo várias, principalmente passíveis de multa e sanção. Por exemplo, advogados costumam portar processos e contratos em meio físico, havendo violação de dados (uma folha de papel com dados pessoais voando de um processo no meio da rua), ele será responsabilizado.

Como a LGPD será aplicada aos portais da transparência obrigatórios nos órgãos públicos, onde são divulgados dados como salários dos servidores públicos?

Há projetos em tramitação para adequação desse tema, então temos que aguardar.

Se eu tenho uma integração de dados cadastrais com sistema de terceiros que exige uma autenticação segura e, por algum motivo, conseguiram capturar os dados, quem é o responsável maior por isso?

A responsabilidade é sempre do controlador.

Quais seriam as principais vantagens, desvantagens e providências para se adequar à LGPD nas instituições privadas?

Os principais pontos são a segurança jurídica e o dano à marca. Sabemos como é complicado colocar uma marca ou um nome no mercado e perder a reputação por um vazamento de dado exposto na mídia é uma realidade. Outro aspecto é o financeiro, já que nenhuma empresa tem como prever o valor de uma possível multa.

Ao passar os dados para o controlador, podemos proibir o repasse para o operador?

O titular pode questionar qual a finalidade. Caso a finalidade não exija a entrega desses dados para um operador, então é uma violação do controlador (portanto, passível de sanções).

Como cobrar aos fornecedores de cloud (AWS, GCP, Azure) adequação à LGPD, já que muitas vezes os contratos são internacionais?

Os fornecedores de cloud serão operadores de uma empresa. É necessário que seja previsto em contrato a obrigação dos controles solicitados em lei, assim como é obrigação do controlador monitorar. A Microsoft recentemente obteve o certificado ISO 27701 de privacidade para seu ambiente em nuvem, isso é uma demonstração de que a Microsoft está buscando ter controles para entregar aos seus clientes.

O encarregado será uma espécie de segurança de trabalho na empresa?

Boa analogia. A resposta é sim, mas claro que terá ações específicas mencionadas no Art. 41.

Quais os tipos de punições para uma empresa que não consegue manter a segurança de seus dados?

Multa de até 2% do faturamento do grupo (limitado a 50 milhões), parada do banco de dados em que houve a violação, chegando até a suspensão da atividade da empresa.

Onde estão, na Lei, os controles que a empresa precisa ter para demonstrar que o tratamento de dados está adequado à LGPD?

Essa informação consta em toda a lei, mas o capítulo VII é um bom norte para começar a leitura.

Pelo exposto, só caberia ação judicial do titular dos dados contra o controlador? Outros agentes que estejam na sequência como subcontratados não respondem civilmente e diretamente?

Pela lei, é o controlador que tem a responsabilidade de responder ao titular, por isso a necessidade dos profissionais de direito terem esse conhecimento e cuidado na elaboração de contratos.

Foi colocado a posição do Controlador e do Operador, atribuindo a responsabilidade principal de um eventual vazamento de informações ao Controlador. Isso continua válido ainda que a causa ou falha de vazamento tenha sido por conduta inadequada do Operador? E se o vazamento ocorreu de forma deliberada, isso muda algo?

Quem será responsabilizado será o controlador. Mas isso não impede do controlado, com base no contrato firmado, entrar com uma ação contra o Operador. Por isso a importância de monitorar os operadores e os contratos que foram firmados.

Escândalos como o da Cambridge Analytica – empresa que cruzou dados pessoais de milhões de usuários do Facebook sem autorização, para lhes bombardear conteúdo falso personalizado, com o objetivo de influenciar resultados de eleições – acenderam o alarme sobre os efeitos nocivos do mau uso desses dados. Foi criada a lei que criou a Autoridade Nacional de Proteção de Dados (ANPD), órgão que deverá fiscalizar a aplicação da LGPD no país e definir regulamentações específicas. Pergunta: Como seria tratado o episódio acima pela LGPD?

A LGPD é uma lei para evitar que as empresas tratem dados sem ter controles, atendente a finalidade ao qual foi informada.

Que tipos de ferramentas e documentos já existem prontos para garantir que estaremos protegidos no caso de vazamentos de dados?

Ferramentas como as de DLP são muito úteis, mas não existe uma solução única. Assim como não são apenas ferramentas, é necessário um conjunto de pessoas, processos e produtos.

Quando a lei estiver de fato valendo, e nesse momento a empresa estiver ainda se adequando as normas da LGPD, ela poderá ser penalizada caso tenha alguma fiscalização?

Com a PL 1.179/20 que foi aprovada e convertida na lei 14.010/20, as sanções serão aplicadas só a partir de agosto de 2021.

A Lei Geral de Proteção de Dados entrou em obrigação da sua implementação quando exatamente?

Hoje está como maio de 2021, mas existe a probabilidade de iniciar esse ano ainda. Aconselho ouvir nosso podcast em https://www.hsbs.com.br/lgpd-em-agosto-de-2020/

Se eu sou um oficial de justiça ou um agente de polícia que trabalho com dados de investigados, quem é o dono dos dados?

O dono do dado pela LGPD é o titular do dado. Os demais citados no exemplo são responsáveis pelo tratamento, mas o dono é o titular.

Um hotel contrata um terceiro para administrar o negócio, este terceiro é responsável por toda gestão, inclusive juridicamente, quem é o controlador ou operador?

O hotel é o controlador e a administradora é o operador, mas existe um X na questão: caso o contrato seja feito com a pessoa jurídica da administradora e não do hotel, os papeis se invertem; a administradora passa a ser o controlador e o hotel (espaço físico locado para ser alugado em nome da administradora) passa ser o operador.

Qual a sua expectativa quanto à aprovação da PL 1179/20 para alteração da vigência da LGPD?

Falei sobre isso em um post recente da HSBS: https://www.hsbs.com.br/lgpd-em-agosto-de-2020/

Quais são os mecanismos de segurança utilizados para a proteção desses dados?

O Art. 50 resume bem isso. “§ 2º - I - implementar programa de governança em privacidade que..” Lá você vai encontrar 8 pontos que devem ser seguidos.

E como o consumidor pode ter uma garantia que a empresa vai preservar os seus dados?

Com a entrada da lei as empresas precisarão demonstrar controles, um desses é ser fiel a finalidade ao qual o dado foi consentido.

O uso de WhatsApp por colaboradores da empresa, como tratar?

Com medidas administrativas ou organizacionais, ou seja, políticas, palestras, mudança de cultura...

Observo tanta gente envolvida no processo, como ficará o custo para a pequena empresa?

Existem várias estratégias. A mais indicada, no meu ponto de vista,  é que em vez de criar um setor jurídico, um setor de compliance e contratar mais gente para a TI, a pequena empresa contrate uma consultoria para implantar e depois um encarregado como serviço (DPOaaS) para manter e ser o canal de comunicação.

Um controlador contrata um operador que realiza tratamento de dados pessoais, e este gere parte do negócio, contratando outro para tratar dados pessoais. Este terceiro é o operador e o contratante se torna um Controlador?

O controlador é quem recebeu o consentimento para tratar o dado pelo titular e decidiu o que será feito com esse dado, ao contratar uma empresa para tratar esse dado, essa empresa será o operador, o operador contratando outra empresa ela será o sub-operador.

Como serão as demandas de solicitações de informações ou liberações via WhatsApp?

Cada empresa precisará criar seu processo interno.

Sobre o Ransonware, se a empresa X sofre esse tipo de ataque mas tem o backup que irá possibilitar o acesso do titular aos seus dados, além de continuar com suas operações, MAS, o criminoso que sequestrou os dados os divulga publicamente, a empresa X pode ser penalizada?

Sim. A multa que falamos é por infração, não dar acesso ao titular aos dados é uma infração, o vazamento é outra infração, ou seja, seu exemplo tem no mínimo duas infrações.

O gestor de TI de uma empresa me falou que em uma reunião ou treinamento que ele teve foi dito que se alguém solicitar a remoção de seus dados de um banco de dados de uma empresa, inclusive os dados em backups deveriam ser removidos! Isso para mim é algo inviável e acredito que tenha havido um mal entendido dele! Existe algo assim?

Pelo que está escrito na lei é desta forma, mas temos que esperar a ANPD para termos mais direcionamento dessas questões.

Sobre o recibo do ponto de entrada e saída que tem CPF e alguns dados pessoais, que algumas pessoas jogam fora, a responsabilidade é da pessoa ou da empresa?

É responsabilidade da empresa, ela não tomou medidas administrativas (como evitar esses campos, ter uma política, conscientizar, fazer palestras sobre o assunto e etc...) para evitar esse tipo de violação. A lógica pela lei seria essa, mas é um assunto bem complicado.

Existem situações onde o titular perde esse direito? Por exemplo, de exclusão do dado?

A LGPD é um complemento (vamos colocar assim para ser didático). Caso exista alguma legislação que impossibilite essa exclusão, uma legislação trabalhista, por exemplo, a empresa não poderá excluir os dados. Por isso temos que ter cuidado nas bases de tratamento que escolhemos para o dado que será tratado, o consentimento deve ser a última opção.

Se eu tenho um sistema que é utilizado no ambiente do cliente, tenho que me preocupar com os dados que serão gerados nos meus sistemas, mesmo que os dados não sejam armazenados por minha empresa?

Sim, deve se preocupar sim. É necessário cobrar contratos e controles desse fornecedor.

Como alterar contratos antigos, uma vez que a Lei não tem efeito retroativo?

A pergunta é: você ainda faz tratamento com base nesses contratos antigos? Se sim, é necessário atualizar.

Mesmo ainda não tendo sendo criada a ANPD, você acredita que há viabilidade para a LGPD entrar em vigência ainda este ano?

A ANPD já foi criada com a Lei 13.853/19, mas infelizmente ainda não está em funcionamento. Concordo que o ideal seria iniciar com a autoridade já em funcionamento, infelizmente o que estamos vendo é uma briga grande do legislativo com o judiciário, estamos vendo isso com as MP's e PL's que estão entrando esse ano para alterar a Lei. Aconselho ouvir nosso podcast em https://www.hsbs.com.br/lgpd-em-agosto-de-2020/

É mais fácil se adequar a LGPD começando do 0 através do Privacy By Design ou fazer alterações através do Privacy By Defaut?

São coisas complementares, como falamos. Mesmo pensando em privacidade desde a concepção do serviço, eu posso ter esse serviço sem minimização dos dados pessoais coletados e a privacidade como padrão vem como um complemento.

Uma vez fiz uma pesquisa e o resultado foi uma lista dos dados de todos os funcionários da empresa que meu marido trabalha. Tinha todas as informações dos empregados. Imediatamente avisei e o pessoal falou que foi um erro do sistema, como evitar estes tipos de vazamentos? Deveria ter um controle?

Com a LGPD em vigor, isso se enquadra em uma violação de dados pessoais. Como você falou, é necessário a criação de controles para evitar esse tipo de violação.

Sabemos que existem muitas empresas que tendem a trabalhar com softwares ilegais "piratas". Existe alguma forma eficaz para esses monitoramentos e quais as sanções perante a lei?

Trabalhar como software pirata por si só é ilegal, isso é, contra a lei. Mas piora com a LGPD em vigor; uma empresa que tem esse tipo de software, está sendo passiva na falta de segurança, pois esse tipo de software não tem patch de segurança, atualizações e etc., ou seja, em caso de um vazamento, a empresa assumiu o risco por ter um software pirata e aumenta a probabilidade de receber uma multa.

Essa Lei da LGPD não vai contra algumas leis ou circulares sobre prevenção à fraude e prevenção à lavagem de dinheiro?

Não, ela vem como um complemento. Caso tenha curiosidade, é possível acessar a lei e nela verá algumas referências a outras leis.

Órgãos públicos também serão punidos?

Sim, inclusive com abertura de um processo administrativo. O capítulo IV é todo voltado para o poder público.

Quais as medidas iniciais que você aconselha para LGPD em um escritório de contabilidade?

Qualquer empresa inicialmente precisa saber quais são os dados pessoais que estão sendo tratados e depois atuar com medidas técnicas e administrativas para protegê-los.

Na questão do menor de idade, o tratamento de dados é feito da mesma forma?

O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

O que acontece se uma empresa descumprir a lei?

Poderá ser multada em até 2% do faturamento do grupo, limitado a 50 milhões, parada do banco de dados referente a violação, chegando até a parada da atividade da empresa.

Aprenda mais:

Webinar: Tecnologias para ajudar no compliance com a LGPD
Diagnóstico do seu ambiente de TI, elaborado e gerenciado pela HSBS

Guias de boas práticas elaborado pelo Governo Federal
Ferramenta para relatório de impacto
Template de programa de segurança desenvolvido pela ANPPD

Quer saber mais? Cadastre-se para receber dicas e novidades sobre a LGPD.