Cumprir com o LGPDNOW

Cumprir com o LGPDNOW | CookieFirst

Cumprir com o LGPDNOW | O LGPD ou Lei Geral de Proteção de Dados é uma Lei de Proteção de Dados há muito esperada no Brasil. Após anos de debate e consulta, ela foi finalmente implementada em 14 de agosto de 2018 e foi inspirada e muito semelhante ao Regulamento Geral de Proteção de Dados da UE (GDPR). A partir de maio de 2021, a lei de proteção de dados do Brasil entrará em vigor e exigirá que as empresas cumpram com requisitos rigorosos relacionados ao processamento de dados pessoais, bem como de dados pessoais sensíveis.

Embora seja muito mais enxuta do que a GDPR e consista em aproximadamente 30 páginas em comparação com o almanaque de 80+ páginas da GDPR, a lei brasileira lembra muito a lei de privacidade de dados da União Européia.

A LGPD concentra-se nas especificidades nacionais, ilustradas pelo fato de que as bases legais desta lei de proteção de dados estão sendo baseadas na responsabilidade, limitação da finalidade, minimização de dados, assim como segurança e privacidade por projeto. Quando você está comparando esta regulamentação de proteção de dados com a GDPR, ela definitivamente lhe parece familiar.

Por que a LGPD? – LGPD Now

O LGPD é um novo padrão que acrescenta os novos princípios similares aos requisitos da GDPR e entrará em vigor em maio de 2021, ecoando o prazo aproximado do período de implementação da GDPR. Será útil conhecer os detalhes das novas leis de proteção de dados pessoais se sua empresa estiver operando ou planejando abrir uma filial no Brasil.

A quem a LGPD se aplica? | Cumprir com o LGPDNOW

A LGPD se aplica a qualquer indivíduo ou empresa privada ou pública com atividades de processamento de dados pessoais que:

são realizadas no Brasil;
os dados pessoais são coletados no Brasil;
envolvem a oferta e o fornecimento de bens ou serviços no Brasil ou se relacionam com indivíduos geograficamente localizados no Brasil;

O LGPD tem um escopo extraterritorial e será aplicável a empresas globais que atendam a esses critérios. Ao mesmo tempo, não importa onde essas empresas estão sediadas. Mas o LGPD é um padrão diferente que não se aplica ao processamento de dados por:

Uma pessoa, que está processando dados para fins pessoais;
Para fins jornalísticos, artísticos, literários ou acadêmicos;
Para segurança nacional, defesa nacional, segurança pública, investigação criminal, etc..;

A nova lei afeta as empresas de todos os setores que fazem negócios ou se envolvem em atividades de processamento de dados no Brasil ou com o Brasil. As empresas financeiras, tecnológicas, de saúde, de seguros, companhias aéreas e hoteleiras estão entre aquelas que provavelmente enfrentarão obrigações substanciais de conformidade para o processamento legal de dados de clientes.

Princípios e bases legais para o processamento de dados | Cumprir com o LGPD NOW

A LGPD estabelece um conjunto de princípios gerais e bases legais para o processamento de dados pessoais, semelhantes aos requisitos da GDPR.

Um princípio legal fundamental é a limitação da finalidade, o que significa que o processamento deve ser “para fins legítimos, específicos e explícitos dos quais a pessoa em questão é informada”. O princípio da necessidade também exige “a limitação do processamento ao mínimo necessário para atingir seus objetivos”. Outros princípios fundamentais incluem o livre acesso, transparência para o envolvido, qualidade dos dados. O princípio da “responsabilidade” exige a demonstração da adoção de medidas eficazes para garantir a proteção dos dados pessoais. Todos os princípios estão incluídos no artigo 6.

Embora a LGPD se concentre principalmente na privacidade dos dados, os dez princípios também exigem opções sérias de segurança de dados: as empresas devem adotar medidas técnicas como criptografia, bem como estratégias administrativas para garantir a segurança física dos dados pessoais contra acesso não autorizado ou destruição ilegal.

Para as empresas, as principais bases legais para o processamento de dados incluem:

Consentimento, que inclui todas as finalidades particulares do processamento;
Cumprimento de obrigações legais, regulamentares ou contratuais;
Para “os interesses legítimos do responsável pelo tratamento ou de um terceiro”, quando esses interesses superam, em geral, os direitos e liberdades do envolvido;

Transferência de dados para fora do Brasil? | Cumprir com o LGPDNOW

Com o LGPD, o Brasil adere à União Européia e muitas outras jurisdições (mas não os EUA) que limitam a transferência de dados pessoais para fora de suas fronteiras. A regra padrão, sob o artigo 33 da LGPD, é que tal transferência é proibida, sem certas exceções enumeradas. Em alguns casos, a transferência de dados é permitida, inclusive:

O país ou organização receptora fornece um nível de proteção de dados comparável ao da LGPD
O importador de dados não-brasileiro está obrigado por um contrato ou por uma política corporativa global a fornecer e demonstrar um nível de proteção de dados comparável ao do LGPD;
Cooperação jurídica internacional entre agências governamentais;
O envolvido deu consentimento específico para a transferência de dados

Quem faz cumprir a LGPD?

O ex-presidente brasileiro Michel Temer vetou a disposição que teria criado uma Autoridade Nacional de Proteção de Dados independente. Essa nova agência presumivelmente emitirá mais orientações sobre a LGPD. Até que uma autoridade de proteção de dados seja criada, é incerto como a aplicação do cumprimento da LGPD será realizada.

Precisamos de um responsável pela proteção de dados? | Comply with the LGPDNOW

Sim, o LGPD cria o cargo de Chefe de Tratamento de Dados, que é o encarregado da proteção de dados (DPO) encarregado da operação de processamento de dados. O encarregado da proteção de dados será responsável pelo seguinte:

Aceitar as reclamações e comunicações das pessoas em causa e da autoridade nacional de proteção de dados
Orientar os funcionários sobre boas práticas e executar outras funções conforme determinado pelo controlador ou estabelecido em regras complementares.

A lei também prevê que a Autoridade Nacional Brasileira pode ainda estabelecer regras complementares sobre a definição e as funções do OPD, incluindo as situações em que a nomeação de tal pessoa pode ser dispensada, de acordo com a natureza e o tamanho da entidade coberta ou o volume das operações de processamento de dados.

O LGPD se aplica a pequenas e médias empresas? | Cumprir com o LGPD NOW

O LGPD não oferece nenhuma exceção para pequenas/médias empresas ou processamento em pequena escala.

O que devemos fazer em caso de violação de dados?

Se a violação de dados ocorreu, o controlador deve fornecer uma notificação de violação de dados à Autoridade Nacional de Proteção de Dados (ANPD) e ao envolvido em um período de tempo razoável, que será definido posteriormente, se a violação for passível de resultar em risco ou dano aos envolvidos.

A notificação de infração deve conter o seguinte:

Descrição da natureza dos dados pessoais afetados
Informações sobre as pessoas envolvidas
Indicação das medidas de segurança utilizadas
Os riscos gerados pelo incidente
As razões para o atraso da comunicação (se houver)
As medidas de proteção da privacidade que foram ou serão adotadas

Além disso, a ANPD pode verificar a gravidade do incidente e pode, se necessário para salvaguardar os direitos da pessoa em questão, ordenar ao controlador que adote medidas, tais como a ampla divulgação do evento nos meios de comunicação, bem como medidas para reverter ou mitigar os efeitos do incidente.

Como posso tornar nossa organização compatível com o LGPD?

O LGPD entrará em vigor em maio de 2021, dando às empresas tempo para se prepararem. Neste período de tempo, as medidas apropriadas devem ser tomadas, inclusive:

Um processo de diligência para identificar quais atividades de processamento de dados pessoais, se houver, a empresa está envolvida (inclusive via fornecedores) que são cobertas pelo LGPD;
Uma análise de lacuna para identificar onde qualquer uma dessas atividades de processamento de dados não satisfaz os requisitos de conformidade do LGPD;
Um processo de remediação para preencher quaisquer lacunas identificadas;
Revisão, implementação e teste das políticas e procedimentos internos necessários para cumprir com a LGPD;
Acordos apropriados com os fornecedores devem ser revisados ou criados;

Meu site é afetado pela LGPD? | Comply with LGPD NOW

O LGPD se aplica a qualquer indivíduo ou empresa privada ou pública com atividades de processamento de dados pessoais que:

Usão realizadas no Brasil;
os dados pessoais são coletados no Brasil;
envolvem oferecer e fornecer bens ou serviços no Brasil ou se relacionam com indivíduos que estão geograficamente localizados no Brasil;

Você está ciente de quais rastreadores você tem em seu website? | Cumprir com o LGPDNOW

Muitos websites utilizam tecnologias de rastreamento, incluindo cookies, pixels e tags, para anunciar, coletar estatísticas e realizar campanhas de marketing. Sob a LGPD, você é responsável por fornecer aviso e obter o consentimento de cookies para cada uma dessas tecnologias. O consentimento de cookies da LGPD deve ser fornecido pelo titular dos dados por escrito ou por outros meios que demonstrem a vontade do titular dos dados. O controlador é responsável por fornecer que o consentimento do cookie foi obtido de acordo com as exigências da LGPD. O consentimento deve ser específico para fins particulares.

Certifique-se de fazer uma auditoria na web de seu website e veja quais rastreadores você habilitou e está executando. Se você não tiver certeza de quais rastreadores você tem no seu website Ela é gratuita e lhe fornecerá um resultado dentro de 5 minutos ou menos.

Você está obtendo o consentimento da maneira correta? | Cumprir com o LGPD NOW

Para obter um consentimento válido de cookie LGPD, você precisa seguir requisitos específicos. O consentimento deve ser informado, explícito, livre, específico e os sujeitos dos dados têm o direito de se retirar e escrito em linguagem simples que seja claramente visível.

Cumprir com o LGPDNOW - Consentimento de Cookies

Seus banners de privacidade são afirmativos?

Seus banners de privacidade devem identificar claramente cada parte para a qual o consentimento do cookie está sendo concedido. Não é suficiente declarar o nome da categoria, como por exemplo, análises, mas deve incluir a identidade da organização, por exemplo, Google, que processa os dados.

O senhor facilitou a retirada do consentimento? | Cumprir com o LGPDNOW

A frase de texto padrão que é incluída nos avisos do Cookie é “ao usar este site, você aceita cookies” não será suficiente sob os requisitos de conformidade LGPD, pois sugere apenas consentimento implícito, é ambíguo e genérico. Agora você precisará de níveis granulares de controle com consentimentos separados para rastrear e analisar cookies, bem como mecanismos para sinalizar também o consentimento do cliente.

Você já nomeou os plugins de terceiros que processam os dados? | Cumprir com o LGPDNOW

Seus banners de privacidade devem identificar claramente cada parte para a qual o cookie está sendo concedido o consentimento. Não é suficiente indicar o nome da categoria, como análise, mas deve incluir a identidade da organização, por exemplo, Google, que processa os dados para garantir o aumento da confiança do cliente.

Os visitantes podem entrar em contato com você para obter seus dados pessoais?

Seus clientes podem entrar em contato com sua empresa/organização para exercer seus direitos sob a LGPD (direitos de acesso, retificação, apagamento, portabilidade, etc.). Sua empresa deve fornecer um meio para que as solicitações de dados sejam feitas eletronicamente. As informações de contato do responsável pela proteção de dados devem estar disponíveis ao público e suas tarefas devem incluir a comunicação com os titulares dos dados e a autoridade reguladora.

De acordo com a LGPD, a prova de consentimento válido do cookie LGPD deve ser mantida pelas empresas.

Você já atualizou suas políticas de privacidade e dados? | Cumprir com o LGPDNOW

Você precisará atualizar suas políticas de privacidade e dados de acordo com a lei brasileira de privacidade de dados. O princípio da exatidão sob a LGPD exige que as organizações garantam a clareza, relevância e atualizações oportunas dos dados do cliente para conseguir compatibilidade do processamento com os propósitos comunicados ao envolvido.

Você já limpou suas listas de correspondência? | Cumprir com o LGPD NOW

É importante limpar seus bancos de dados de e-mail. Se você estiver coletando dados inconsistentes com as normas de conformidade LGPD, o conteúdo necessário precisa ser validado. Isso significa que seus clientes devem receber e-mails com a opção de opt-out. Isso tornará sua empresa compatível com as normas LGPD.

Você está coletando informações em excesso? | Cumprir com o LGPDNOW

Embora possa ser fácil adicionar um campo extra em seu website para coletar informações sobre número de telefone, sexo e localização, você tem que avaliar se precisa delas para processar a solicitação. A base legal de minimização de dados sob o LGPD exige que as organizações limitem a quantidade e o escopo dos dados pessoais que processam ao mínimo necessário para atingir seus objetivos. Somente devem ser utilizados dados que sejam relevantes, proporcionais e não excessivos em relação às finalidades do processamento de dados.

LGPD, la ley, ¿qué es? La versión brasileña del GDPR | CookieFirst explica la LGPD de manera breve y concisa

CookieFirst

Obter consentimento antes de carregar scripts de rastreamento de terceiros | Cumprir com o LGPDNOW

Cumprir com o LGPDNOW | CookieFirst visa facilitar e acelerar a implementação do LGPD e do GDPR. A plataforma CookieFirst oferece gerenciamento de scripts e consentimento de terceiros, estatísticas, verificações periódicas de cookies, declaração automática de cookies, personalização de banners, opções de múltiplos idiomas, e muito mais. Evite grandes multas e obtenha consentimento antes de carregar scripts de rastreamento de terceiros – experimente CookieFirst!