LGPD
PROGRAMA DE GOVERNANÇA EM PRIVACIDADE
IMPLANTAÇÃO DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD)
Projeto 5028 – Governança da Informação – Implantação da Lei Geral de Proteção de Dados Pessoais (LGPD).
Justificativa: A Lei n.º 13.709, de 14 de agosto de 2018, que trata da Lei Geral de Proteção de Dados Pessoais (LGPD), dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. As normas gerais contidas na LGPD são de interesse nacional e devem ser observados pela União, Estados, Distrito Federal e Municípios. Por esse motivo e considerando a normatização dessa temática no cenário mundial, o presente programa visa à adequação do CRC/PI à Lei Geral de Proteção de Dados. O Sistema CFC/CRCs tem compromisso com a segurança das informações e a responsabilidade em adotar o conjunto de regras e boas práticas de governança para promover a cultura da privacidade e da proteção de dados pessoais dos titulares da informação no âmbito dos Conselhos de Contabilidade, por meio de publicações, seminários, palestras, cursos, campanhas, entre outras ações para tratar desse tema.
Objetivo geral: Definir as diretrizes e regras gerais para o tratamento de dados pessoais no âmbito do CRC/PI, com o objetivo de proteger a privacidade dos profissionais da contabilidade, das organizações contábeis, empregados, parceiros, fornecedores e sociedade tendo como foco à gestão de dados pessoais e à gestão de incidentes de Segurança da Informação no ambiente convencional ou de tecnologia, em conformidade com a LGPD.
Objetivos Específicos:
- Seguir orientações do Conselho Federal de Contabilidade quanto à adequação e aplicação da LGPD;
- Garantir que a privacidade e a proteção de dados pessoais seja parte do cotidiano das atividades e funções desempenhadas pelo CRC/PI de forma a proteger o titular da informação quanto ao processamento, tratamento e livre circulação de seus dados pessoais;
- Elaborar políticas e planos de proteção de dados pessoais e privacidade do CRC/PI.
Dados do Encarregado (art. 41 da LGPD)
Gheysa Maria Oliveira Furtado
Telefone: (86) 3221-7531
E-mail: dpo@crcpi.org.br
Titular
Definição
- Proprietário dos dados pessoais; é a pessoa natural.
Direitos
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
- Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
- Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
- Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
- Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- Revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
Controlador
Definição
- Pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento dos dados pessoais (é o “dono” do banco de dados).
Obrigações
- O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
- O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.
- O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
- A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
Considera-se controlador o CFC, mas aos CRC’s — órgãos integrantes do sistema CFC / CRC’s —, caberá o exercício das atribuições de controlador nas esferas de sua competência.
Operador
Definição
- Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, possui responsabilidade compartilhada.
Pessoa externa ao quadro funcional do CFC, que realiza o tratamento de dados pessoais em nome e por ordem do controlador
Encarregado
Definição
- Atua como canal de comunicação entre o controlador (instituição), os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Atividades
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- Receber comunicações da autoridade nacional e adotar providências;
- Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Dados do Encarregado (art. 41 da LGPD)
Jailson dos Santos Benicio
Telefone: (86) 3221-7531
E-mail: dpo@crcpi.org.br
Os dez Princípios que devem nortear o tratamento dos dados pessoais
FINALIDADE
A realização do tratamento de dados se dá em função de propósitos legítimos, específicos, explícitos e informados ao titular, sem a possibilidade de tratamento posterior de forma incompatível com essas finalidades.
ADEQUAÇÃO
O tratamento de dados deverá ser condizente com a finalidade previamente informada e divulgada.
NECESSIDADE
A coleta dos dados deve se dar de maneira restritiva, limitado ao uso dos dados pessoais estritamente necessários ao atendimento da finalidade pretendida.
ACESSO LIVRE
As informações ou comunicações relacionadas com o tratamento dos dados pessoais devem ser de fácil acesso e compreensão.
QUALIDADE DOS DADOS
Garante aos titulares exatidão, clareza, relevância e atualização dos dados, de acordo com a real necessidade e para o cumprimento da finalidade de seu tratamento.
TRANSPARÊNCIA
Informações claras, precisas e facilmente acessíveis acerca da realização do tratamento e os respectivos agentes de tratamento.
SEGURANÇA
Adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais de situações acidentais e ilícitas como invasão, destruição, perda ou difusão. Atua junto ao princípio da prevenção.
PREVENÇÃO
Necessidade de se precaver de eventuais situações que possam ocorrer, adotando-se medidas para prevenir danos em virtude do tratamento de dados pessoais.
NÃO DISCRIMINAÇÃO
O tratamento de dados não pode ser realizado para fins discriminatórios, ilícitos ou abusivos.
RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS
O agente (controlador ou operador) deverá demonstrar todas as medidas eficazes e capazes de comprovar o cumprimento da LGPD e a eficácia das medidas aplicadas.
As dez Bases Legais da LGPD
Consentimento do Titular
Legítimo Interesse
Cumprimento de obrigação legal ou regulatória
Tratamento pela Administração Pública
Realização de estudos e de pesquisa
Execução ou preparação contratual
Exercício regular de direitos
Proteção da vida e da incolumidade física
Tutela de saúde do titular
Proteção de crédito
A
- Agentes de tratamento: o controlador e o operador – Art. 5º incisos VI e VII.
- Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo – Art. 5º inciso XI.
- Autoridade nacional: órgão da Administração Pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional – Art. 5º inciso XIX.
B
- Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico – Art. 5º inciso VI.
- Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados – Art. 5º inciso XIII.
C
- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada – Art. 5º inciso XII.
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais – Art. 5º inciso VI.
D
- Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento – Art. 5º inciso III.
- Dado pessoal: informação relacionada à pessoa natural identificada ou identificável – Art. 5º inciso I.
- Dado pessoal de criança e de adolescente: o Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança – Art. 14º § 1º ao § 6º.
- Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural – Art. 5º inciso II.
E
- Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado – Art. 5º inciso XIV.
- Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) – Art. 5º inciso VIII.
G
- Garantia da segurança da informação: capacidade de sistemas e organizações assegurarem a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. A Política Nacional de Segurança da Informação (PNSI) dispõe sobre a governança da segurança da informação aos órgãos e às entidades da Administração Pública Federal em seu âmbito de atuação Decreto n 9.637/2018.
- Garantia da segurança de dados: ver garantia da segurança da informação.
I
- Interoperabilidade: Capacidade de sistemas e organizações operem entre si. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, além dos padrões de interoperabilidade de governo eletrônico (ePING) – Art. 40.
O
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador – Art. 5º inciso VII.
- Órgão de pesquisa: órgão ou entidade da Administração Pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico – Art. 5º inciso XVIII.
R
- Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco – Art. 5º inciso XVII.
T
- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento – Art. 5º inciso V.
- Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro – Art. 5º inciso XV.
- Tratamento: toda operação realizada com dados pessoais; como as que se referem a: (Art. 5º inciso X)
- Acesso: Possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registro, arquivo etc., visando receber, fornecer, ou eliminar dados.
- Armazenamento: Ação ou resultado de manter ou conservar em repositório um dado.
- Arquivamento: Ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotada a sua vigência.
- Avaliação : Ato ou efeito de calcular valor sobre um ou mais dados.
- Classificação: Maneira de ordenar os dados conforme algum critério estabelecido.
- Coleta: Recolhimento de dados com finalidade específica.
- Comunicação: Transmitir informações pertinentes a políticas de ação sobre os dados.
- Controle: Ação ou poder de regular, determinar ou monitorar as ações sobre o dado.
- Difusão: Ato ou efeito de divulgação, propagação, multiplicação dos dados.
- Distribuição Ato ou efeito de dispor de dados de acordo com algum critério estabelecido.
- Eliminação Ato ou efeito de excluir ou destruir dado do repositório.
- Extração Ato de copiar ou retirar dados do repositório em que se encontrava.
- Modificação Ato ou efeito de alteração do dado.
- Processamento Ato ou efeito de processar dados.
- Produção: Criação de bens e de serviços a partir do tratamento de dados.
- Recepção: Ato de receber os dados ao final da transmissão.
- Reprodução: Cópia de dado preexistente obtido por meio de qualquer processo.
- Transferência: Mudança de dados de uma área de armazenamento para outra, ou para terceiro.
- Transmissão: Movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc.
- Utilização Ato ou efeito do aproveitamento dos dados
1. Qual é o objetivo da LGPD e a quem ela se destina?
A LGPD foi criada com o objetivo de proporcionar ao cidadão brasileiro um controle maior sobre o tratamento de seus dados pessoais. Para isso, a LGPD estabelece princípios e cria regras que devem ser observados tanto por organizações privadas quanto públicas, além de criar entidade reguladora específica para o tema.
02. Quem fiscaliza o cumprimento da lei?
A fiscalização referente à LGPD será primariamente realizada pela Autoridade Nacional de Proteção de Dados (ANPD). Este órgão foi criado para fiscalizar o cumprimento da lei, zelar pela proteção de dados pessoais, elaborar diretrizes e também aplicar as sanções em casos de irregularidade. Ademais o Ministério Público continua competente para lidar com a questão no que tange os direitos difusos dos cidadãos.
03. Quem é o titular de dados?
É a pessoa natural a quem se referem os dados pessoais que são objetos de coleta e tratamento.
04. O que são dados pessoais?
De acordo com a lei, um dado pessoal é informação relacionada à pessoa natural identificada ou identificável: CPF, RG, data de nascimento, endereço residencial e-mail, placa do carro, entre outros.
05. O que são dados pessoais sensíveis?
É qualquer dado pessoal, conforme estabelecido na lei, sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
06. O que compreende o tratamento destes dados?
O tratamento de dados é um conceito abrangente, que inclui qualquer tipo de manipulação realizada com informações pessoais. Processos comuns a diversos tipos de empresas incluem, geralmente, a coleta, a reprodução, o acesso, o armazenamento e a distribuição de dados pessoais. Um exemplo simples? A criação de uma lista de e-mails.
07. Em quais casos de tratamento de dados pessoais a lei é aplicada?
A lei se aplica a qualquer operação que envolve a coleta e o tratamento de dados pessoais e que seja realizada em território brasileiro.
08. Esta Lei aplica-se apenas ao tratamento de dados pessoais coletados na Internet?
A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenha como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente destes dados pessoais terem sido coletados offline ou online, em meios físicos ou digitais.
09. Mas o que são dados pessoais coletados offline ou online?
Dados pessoais coletados offline são obtidos sem a utilização de ferramentas informatizadas, como por exemplo, a lista de presença em eventos. Os dados pessoais coletados online são os que utilizam ferramentas informatizadas e/ou automatizados para serem obtidos, tais como os cadastros de candidatos para vagas de emprego.
10. Quais são os principais atores no tratamento de dados pessoais de acordo com a LGPD?
São três: o controlador, o operador e o encarregado / DPO.
O controlador é pessoa natural ou jurídica de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.
O operador é pessoa natural ou jurídica de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
O encarregado / DPO é a pessoa indicada pelo controlador e/ou operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
11. Quais são os casos de tratamento de dados pessoais em que a LGPD não será aplicada?
Quando for feito por uma pessoa física, para fins particulares, e não comerciais, por exemplo, coleta de dados pessoais dos integrantes da família para a montagem de uma árvore genealógica; para fins exclusivamente jornalísticos, artísticos e acadêmicos; ou pelo Poder Público — no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais.
12. O que é um dado anônimo ou anonimizado?
Dado anônimo ou anonimizado é qualquer dado pessoal que, submetido a meios técnicos razoáveis, passe a não mais identificar ou a proporcionar a identificação de uma pessoa natural, direta ou indiretamente, de maneira definitiva e irreversível.
13. O tratamento de dados pessoais sensíveis pode ser realizado em quais condições?
O tratamento de dados pessoais sensíveis somente poderá ocorrer com consentimento do titular ou seu responsável legal, de forma destacada e para finalidades específicas. Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Pela Administração Pública, de políticas públicas previstas em leis ou regulamentos;
- Estudos por órgão de pesquisa;
- Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
- Proteção da vida;
- Tutela da saúde;
- Garantia da prevenção à fraude e à segurança do titular.
14. Se a empresa for sediada no exterior, também deve se adequar à Lei?
Caso a empresa ofereça bens ou serviços para pessoas localizadas no Brasil e, portanto, coletar dados de usuários, a LGPD também se aplica e com isso a empresa deve se adequar.
15. Quais são os princípios da LGPD?
A LGPD traz alguns princípios que devem ser respeitados no tratamento de dados pessoais: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.
16. Quais são as Bases Legais para tratamento de dados pessoais?
As bases legais que autorizam o tratamento de dados pessoais são:
- Com consentimento do titular;
- Para cumprimento de obrigação legal ou regulatória;
- Pela Administração Pública;
- Para realização de estudos por órgãos de pesquisa;
- Para execução de contratos, a pedido do titular;
- Em processos judiciais, administrativos ou arbitrais;
- Para proteção da vida;
- Para tutela da saúde;
- Em legítimo interesse do Controlador;
- Para proteção do crédito.
17. O que é consentimento?
É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. O consentimento e sua finalidade devem estar claros e destacados.
18. E quando a finalidade muda? O que a empresa deve fazer?
Se a empresa precisa de um dado pessoal já coletado com o consentimento do titular para outra finalidade de uso, é necessário informá-lo sobre este novo intuito. Importante ressaltar que, além de informar é preciso atualizar o consentimento do titular.
19. O termo de consentimento deve ser escrito ou digital?
O termo de consentimento, como consta no art. 8º, pode ser adquirido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
20. O titular dos dados pode revogar seu consentimento?
Sim, a LGPD estabelece que o titular dos dados poderá, a qualquer momento, revogar seu consentimento.
21. Há alguma diferença entre o consentimento para o tratamento de dados pessoais e para tratamento dados pessoais sensíveis?
Não. O consentimento para dados sensíveis deve sempre explicitar a finalidade de seu uso, de forma destacada. Se houver alteração na finalidade, é preciso renovar o consentimento de forma expressa.
22. Como se dá o consentimento de Crianças e Adolescentes?
A LGPD estabelece, no art. 14, que o tratamento de dados pessoais de crianças e adolescentes deverá ser realizado em seu melhor interesse. Para tratamento de dados de crianças até 12 anos de idade, é necessário consentimento específico e em destaque, dado por, pelo menos, um dos pais ou pelo responsável legal. Os dados de crianças e adolescentes poderão ser coletados sem o consentimento, quando for necessário para sua proteção ou para contatar os pais ou o responsável legal, sendo utilizados uma única vez e sem armazenamento. Sem consentimento, em nenhum caso, poderão ser repassados a terceiros.
23. Em casos de irregularidade no tratamento de dados, quem será responsabilizado?
Se o tratamento de dados não acontecer como previsto na lei, os controladores serão responsabilizados. Caso o operador não tenha cumprido ordens passadas pelo controlador ou falhe na segurança dos dados, este também pode ser penalizado.
24. Quais são as penalidades que podem ser aplicadas nos casos de irregularidades?
A penalidade imposta irá depender da avaliação da ANPD, mas pode ser uma advertência, a determinação da publicação e divulgação da infração cometida, o bloqueio ou eliminação dos dados que sofreram violações e também multas simples e/ou diárias.
25. Ações que infrinjam a lei podem acarretar em multas?
As multas são de até 2% do faturamento da empresa, limitados a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, além da possibilidade de suspenção das atividades de coleta e tratamento, sem prejuízo da indenização pelos danos que causarem aos titulares dos dados.
— Não há aplicação de multa para os entes públicos —
26. O que é GDPR?
A General Data Protection Regulation (GDPR) é a Lei europeia vigente que trata da proteção de dados pessoais, e que culminou na criação da LGPD. As empresas e órgãos estatais brasileiros que mantenham negócios com os países europeus terão a obrigatoriedade de garantir que suas políticas de tratamento de dados estejam em conformidade com a GDPR, sob o risco de penalidades, bem como perda de clientela, valor de marca e credibilidade no mercado internacional.
27. O que é DPO?
DPO, ou Data Protection Officer, é o encarregado que irá atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Responsável por zelar pela proteção dos dados pessoais e por implementar e fiscalizar o cumprimento da LGPD.
28. O Poder Público também está sujeito às disposições da LGPD?
Sim, os dados pessoais tratados pelo Poder Público também estarão sujeitos à LGPD. Porém, o Poder Público pode tratar dados pessoais sem pedir o consentimento do titular sempre que for necessário para a execução de políticas públicas. O Poder Público também poderá tratar dados pessoais, fora do escopo da lei, no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais, que serão tratados de acordo com legislação específica, que contenha medidas proporcionais e necessárias para que o tratamento de dados pessoais atenda ao interesse público. Para a criação das normas específicas para esses casos, a ANPD emitirá recomendações e opiniões técnicas.
29. É possível o uso compartilhado de dados entre diferentes órgãos da Administração Pública?
A Lei permite o uso compartilhado de dados pessoais entre entes do Poder Público, desde que atenda a finalidades específicas de execução de políticas públicas e a atribuição legal desses órgãos, respeitados os princípios do art. 6º. O inciso III do art. 7º assegura, como uma de suas dez bases legais para o tratamento de dados, o tratamento e uso compartilhado pela Administração Pública de dados necessários à execução de políticas públicas previstas em leis, regulamentos ou ainda respaldadas em contratos, convênios ou instrumentos congêneres, nos termos do Capítulo IV.
30. A LGPD dispõe sobre a transferência de dados entre o Poder Público e instituições do setor privado?
O art. 26 prevê que o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º da Lei.
Veta a transferência dos dados pessoais constantes de bases de dados a que tenha acesso, exceto:
- Em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);
- Em casos em que os dados forem acessíveis publicamente;
- Quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
- Para prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados.
31. Em que casos os dados pessoais podem ser transferidos para fora do Brasil?
A transferência internacional de dados pessoais pode ser feita:
- Para países ou organizações internacionais proporcionem grau adequado de proteção de dados pessoais;
- Quando o controlador oferecer e comprovar, por meio de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais, normas corporativas globais, selos, certificados ou códigos de conduta regularmente emitidos, que está cumprindo com o disposto na LGPD;
- Quando necessário para cumprimento de acordos da cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e persecução, de acordo com os instrumentos de direito internacional;
- Para proteção da vida do titular ou de terceiros;
- Quando autorizada pela ANPD;
- Quando resultar em compromisso assumido em acordo de cooperação internacional;
- Para a execução de política pública;
- Quando o titular fornecer seu consentimento de forma específica e em destaque para a transferência;
- Para o cumprimento de obrigação legal ou regulatória pelo controlador;
- Quando necessário para a execução de contrato do qual seja parte o titular;
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
32. Em caso de incidente o titular deverá ser informado?
A LGPD determina que o controlador deverá comunicar tanto ao titular quanto à ANPD sobre a ocorrência de qualquer incidente de segurança que possa causar risco ou dano ao titular.
33. Como a LGDP protege as pessoas de decisões automatizadas, baseadas exclusivamente em meios tecnológicos?
O titular dos dados tem direito a solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. Além disso, o controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
34. É necessário adequar o tratamento dos dados de Pessoas Jurídicas na base de clientes da empresa?
Desde que não haja dados de pessoas naturais vinculados ao cadastro da Pessoa Jurídica, pois a LGPD regulamenta apenas o tratamento de dados pessoais.
35. Qual o papel da tecnologia na implementação da LGPD?
A análise e as ações para entrar em conformidade com a LGPD devem passar por pessoas, processos e tecnologia. Por conta de todas as variáveis envolvidas, o uso da tecnologia faz muita diferença e é importante, pois, dependendo do tamanho e nível de complexidade de uma organização, gerenciar todo o ambiente de acordo com os requisitos da lei sem uma ferramenta de gestão que consiga agregar, registrar e controlar todas as demandas pode se tornar extremamente difícil. Segundo o Art. 49 da Lei, os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei e às demais normas regulamentares.
36. O que é compartilhamento de dados pessoais?
De acordo com a lei é considerado compartilhamento de dados toda comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
37. Como é permitido o compartilhamento de dados pessoais?
De acordo com a LGPD, o compartilhamento de dados pessoais pode ocorrer em caso de consentimento expresso e específico do titular dos dados e pela Administração Pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.
38. É permitido o compartilhamento de dados pessoais sensíveis?
A LGPD já determina que o compartilhamento de dados sensíveis com o objetivo de obter vantagem econômica poderá ser vedado ou regulamentado pelas autoridades, e no caso específico de dados de saúde determina a vedação, exceto em casos de consentimento expresso ou para a adequada prestação de serviços de saúde suplementar, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia.
39. A LGPD restringe a tomada de decisões automatizadas baseadas no uso de algoritmos?
O uso de algoritmos não é vedado pela LGPD. No entanto, o art. 20, que aborda decisões tomadas exclusivamente por meio de automação, ou seja, sem participação de seres humanos, determina que o titular dos dados pode, sempre que desejar, requerer a revisão de decisão automatizada que afete seus interesses.
40. O que é a ANPD?
ANPD é um órgão da Administração Pública Federal com autonomia técnica e decisória, vinculado à Presidência da Republica, responsável por fiscalizar e garantir o cumprimento da lei, bem como aplicar sanções administrativas em caso de descumprimento. A ANPD guiará a interpretação da Lei e regulamentará padrões e técnicas aplicáveis às questões de segurança da informação, interoperabilidade e processos de anonimização, além de poder requisitar informações sobre tratamentos de dados pessoais para agentes de tratamento, editar normas e orientações.
41. Como fica o relacionamento com parceiros comerciais?
Será necessária revisão dos contratos e procedimentos, com a inclusão de cláusulas específicas sobre proteção de dados com clientes e fornecedores em que possa ocorrer o compartilhamento de dados pessoais de terceiros. Será necessária também a adoção de procedimentos e ferramentas capazes de certificar a segurança dos dados compartilhados.
42. Como proceder em caso de incidente de dados pessoais?
A ANPD disponibilizou, em seu site, formulário de comunicação de incidente de segurança de dados pessoais bem como orientações sobre como proceder em caso de um incidente:
- Avaliar internamente o incidente – aspectos como natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade de dados afetados, consequências concretas e prováveis;
- Comunicar ao Encarregado de Proteção de Dados Pessoais (art. 5º, VIII, LGPD);
- Comunicar ao controlador, se você for o operador;
- Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (art. 48 da LGPD); e
- Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (art. 6º, X, LGPD).
NORMATIVOS APROVADOS:
Portaria CRCPI n.º 55/2024: Designa Encarregado pelo Tratamento de Dados Pessoais do Conselho Regional de Contabilidade do Piauí, conforme preceitua a Lei Geral de Proteção de Dados Pessoais (LGPD). (BAIXE AQUI)
Portaria n.º 53/2024: Membros do Comitê de Segurança da Informação (CSI) do Conselho Regional de Contabilidade do Piauí (CRC/PI). (BAIXE AQUI)
Portaria n.º 51/2024: Institui a Comissão de Implantação da Lei Geral de Proteção de Dados – LGPD no âmbito do CRC/PI. (BAIXE AQUI)
Portaria nº 95.2022 – Institui o Comitê de Segurança da Informação CRCPI (BAIXE AQUI)
Portaria nº 52/2024 – Institui o Comitê Gestor de Privacidade e Proteção de Dados (BAIXE AQUI)
Portaria nº 97.2022 – Termo de Consentimento para Tratamento de Dados Conselheiros (BAIXE AQUI)
Portaria nº 98.2022 – Termo de Consentimento para Tratamento de Dados Prest. de Serviços (BAIXE AQUI)
Portaria nº 99/2022 – Termo de Compartilhamento de Dados Pessoa Jurídica (BAIXE AQUI)
Portaria nº 100.2022 – Termo de Compartilhamento de Dados CRCs (BAIXE AQUI)
POLÍTICAS E TERMOS RELACIONADOS À ESTRUTURAÇÃO INTERNA EM ATENDIMENTO LGPD
- Política de Privacidade do CRC/PI – aprovada por meio da Deliberação CRC/PI n.º 14, de 11 de junho de 2021.
- Política de Cookies do CRC/PI – aprovada por meio da Deliberação CRC/PI n.º 15, de 11 de junho de 2021.
- Política de Privacidade de Eventos do CRC/PI – aprovada por meio da Deliberação CRC/PI n.º 16, de 11 de junho de 2021.
- Política de Controle de Acesso Lógico do CRCPI – aprovada por meio da Resolução CRC/PI 546/2021, de 30 de junho de 2021
- Termo e Condições de Uso – aprovado por meio da Deliberação CRC/PI n.º 23, de 30 de junho de 2021.
- Política de Armazenamento de Dados, Documentos e Arquivos (PADDA) – aprovada por meio da Resolução CRC/PI nº 559, de 27 de Janeiro de 2023.
- Política de Incidentes de Segurança da Informação – aprovada por meio da Resolução CRC/PI nº 560, de 27 de Janeiro de 2023.
- Política de Segurança da Informação (PSI) – aprovada por meio da Resolução CRC/PI nº 561, de 27 de Janeiro de 2023.
- Política de Notificação de Incidentes de Segurança com Dados Pessoais – aprovada por meio da Resolução CRC/PI nº 562, de 27 de Janeiro de 2023.
- Política de Segurança da Informação para Aquisição, Desenvolvimento e Manutenção de Sistemas da Informação – aprovada por meio da Resolução CRC/PI nº 563, de 27 de Janeiro de 2023.
- Política de Segurança em Recursos Humanos aprovada por meio da Resolução CRC/PI nº 564, de 23 de Janeiro de 2023.
- Política Interna de Proteção de Dados Pessoais – aprovada por meio da Resolução CRC/PI n.º 565/2023 de 23 de Janeiro de 2023.
NORMATIVOS GERAIS
- Lei Geral de Proteção de Dados Pessoais – LGPD (Lei 13.709, de 14 de Agosto de 2018)
- ANPD – Estrutura Regimental (Decreto 10.474, de 26 de Agosto de 2020)
- Medidas de Adequação à LGPD (Resolução CNJ 363, de 12 de Janeiro de 2021)
Dados do Encarregado (art. 41 da LGPD)
Jailson dos Santos Benicio
Telefone: (86) 3221-7531
E-mail: dpo@crcpi.org.br