Questões frequentes sobre a LGPD

Na última quinta-feira (29 de agosto), a Cedro Technologies realizou a transmissão ao vivo do webinar “Como se preparar para a LGPD?”. Com cerca de 50 minutos de duração, os participantes comentaram sobre as principais mudanças e como as empresas já devem se adaptar às exigências da legislação.

Com a mediação de Adriano Ignatti, consultor de negócios da Cedro Technologies focado em processos de compliance, KYC, PLD e mais, o webinar contou ainda com a participação de dois convidados:

  • Marcelo Fattori, advogado, integrante do grupo de estudos de Proteção de Dados da USP e Diretor de Privacidade da seusdados.com.
  • Leonardo Parreira Santos, Gestor de Projetos, Product Owner do Data Engine e especialista em gestão de cadastro, consulta e validação cadastral.

Confira o webinar na íntegra:

Neste artigo, compilamos algumas das principais questões que surgiram durante a transmissão do webinar levantadas pelo espectadores, tanto no canal do YouTube , como na página do webinar . Confira: 

Quais dados são considerados sensíveis?

São dados que tem um poder maior de causar dano ou discriminação ao cidadão. Por exemplo: dados relativos à saúde, orientação sexual, religião, entre outros aspectos. Neste sentido, essas informações têm potencial de, até mesmo, gerar um perfil discriminatório. Para realizar o tratamento desses dados, a empresa deve explicar, antes de coletar os dados, porque está coletando e qual é a finalidade específica para que o tratamento seja desenvolvido.

Se a minha empresa captura dados de uma pessoa ou empresa e mantemos estes dados no domínio da empresa, eu corro risco de cometer infração? Ou somente no momento em que eu passo essas informações?

A lei, quando fala em tratamento de dados pessoais, não se preocupa com o processo completo. Qualquer fase do tratamento – ou seja, uma simples coleta, armazenamento, um compartilhamento, uma exclusão – é alvo da lei. Apenas o fato de coletar e capturar dados exige a adequação à lei. Para isso, é preciso a autorização consentida e informada do cidadão ou uma base legal para manter esses dados – como contratos em execução

 e dados de colaboradores, por exemplo. Por isso, é preciso investir em processos tecnológicos para automatizar a base de dados, para executar processos de eliminação de dados em determinados períodos. 

Resumindo, capturar dados apenas com base legal ou consentimento do cidadão e compartilhar se for informado ao usuário.

Quais são bases legais da LGPD hoje?

A LGPD estabelece 10 bases legais para o processamento válido de dados pessoais. A seguir, listamos cada uma delas: 

  1. mediante o consentimento do usuário;
  2. para cumprimento de obrigação legal ou regulatória pelo controlador;
  3. pela administração pública, para tratamento de dados necessários a políticas públicas;
  4. para realização de estudos por órgão de pesquisa, com a garantia da anonimização dos dados;
  5. quando necessário para a execução de contrato;
  6. para exercício regular de direitos em processo judicial, administrativo ou arbitral;
  7. para a proteção da vida ou incolumidade física do titular ou terceiros;
  8. para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
  9. por interesses legítimos do controlador ou de terceiro;
  10. e para proteção do crédito.

​Uma empresa que já se preparou para a legislação europeia automaticamente tá pronta pra LGPD? Existem diferenças significativas?

A nossa lei brasileira foi inspirada na GPDR, mas existem diferenças. O fato da empresa estar adequada à legislação europeia não dará a certeza de estar efetivamente adequado para a LGPD.

Na GPDR, existem sete bases legais. Já no Brasil, as bases legais são dez. Proteção do crédito, por exemplo, só aparece na lista brasileira. É preciso ficar atento e não se dar por satisfeito apenas como o que foi feito anteriormente. A análise deve ser feita constantemente, revisando processos e buscando garantir a conformidade com a nossa legislação. 

Como será comprovado que a empresa garante a proteção dos dados?

Prova é sempre um dilema para o meio jurídico. No ambiente virtual, é ainda mais complicado. Juízes, por exemplo, têm conhecimento técnico em direito e não em informática e tecnologia da informação. Por isso, precisa se valer de um perito para avaliar as provas.

É importante ressaltar que um ambiente de vazamento de dados é uma cena de crime. A lei exige que a empresa registre todos os processos de tratamento de dados feitos e armazene.

Sobre a forma como a coleta de dados, o consentimento deve ser manifestado de maneira inequívoca. No entanto, não é exigido que seja por escrito. Por isso, é preciso apresentar provas de que a política de privacidade da instituição demonstrem como o consentimento é passado.

Na minha empresa, tenho um ERP (software de gestão). Se um cliente solicitar para pagar os dados, o que eu tenho que apagar? Preciso apagar receitas e vendas? O que eu posso deixar?

Esse é um dos dramas da LGPD. Dizer que a melhor base de tratamento de dados é o consentimento, cria problemas para a empresa. Como o prazo para respostas para o usuário e autoridades reguladoras é muito curto, as instituições precisam automatizar esses processos. 

Ao se preparar para a legislação, quando realizar o mapeamento de dados, já é preciso pensar em catalogar as informações e encontrar as bases legais que permitam manter dados – como obrigações legais, por exemplo. 

Assim, é preciso ter esse cuidado para não ficar sem dados na sua empresa e garantir o seu funcionamento de maneira adequada.

A responsabilidade entre as empresas que formam uma rede no tratamento dos dados, como uma pode se proteger sobre as ações das demais?

Numa hipótese de tratamento de dados em conjunto ou de compartilhamento de dados, uma cautela que pode ser adotada – mas vai depender de caso a caso – é, por exemplo, uma auditoria no parceiro de negócios ou a exigência de uma comprovação de que ele está aderente à LGPD. A ausência de comprovação sobre atos de diligência sobre esse parceiro pode implicar em penalidades à sua empresa por estar compartilhando dados ou tendo contato com parceiros não aderentes. Então, essa é questão que a LGPD como uma forma de enforcement, que haja uma reação em cadeia em todos os seus parceiros de negócio.

​Nas empresas, tendo eu os dados de um funcionário como fichas de EPI, cadastros de RH, eSocial: como fazer? Quais dados mesmo pessoais posso manter em caso de solicitação de exclusão?

Os dados de colaboradores ou funcionários, na União Europeia, que é uma tendência a ser seguida aqui no Brasil, não devem ser tratados com base em consentimento. Para a União Europeia, o consentimento dado pelo trabalhador é nulo em razão da disparidade de forças entre o empregador e o empregado. Porém, você pode tratar esses dados pessoais com base, por exemplo, na execução de um contrato ou no episódio de acidente e necessidade de proteção à vida, enfim, tudo demandará a análise concreta caso a caso. Mas o que se deve fazer é, no processo de mapeamento, já partir para uma classificação de base legal que permita a manutenção desses dados no seu banco de dados.

Continue acompanhando nossa série de webinars!

Esse webinar foi o primeiro da nossa série sobre LGPD e Compliance. Acompanhe a Cedro Technologies nas redes sociais (Facebook, LinkedIn e Instagram) e se inscreva no canal do YouTube para receber as próximas transmissões.