LGPD - Organograma
LGPD - Organograma
LGPD - Organograma
1. DISPOSIÇÕES GERAIS:
1.1 OBJETIVO:
Proteção dos dados pessoais de pessoas naturais (pessoas físicas), tanto dados físicos ou
eletrônicos.
Com o objetivo proteger:
1.1.1 Direitos fundamentais de liberdade:
1.1.2. Direitos fundamentais de privacidade:
1.1.3. Livre desenvolvimento da personalidade da pessoa natural:
1.2 APLICAÇÃO:
tratamento de dados pessoais por pessoa natural ou por pessoa jurídica de direito público ou
privado.
1.2.1. pessoa natural
1.2.2. Empresas privadas;
1.2.3. empresas publicas:
1.2.4. profissionais liberais:
1.2.5. Órgãos do poder público;
1.2.6. Organizações da Sociedade Civil de Interesse Público;
1.2.7. Instituições filantrópicas
1.2.8 Fundações;
1.2.9 Empresas de fora do país
1. 2.9.1 se o tratamento dos dados for realizado em território nacional:
1.2.9.2. for ofertado para oferecer bens ou serviços no território nacional
1.2.9.3. se os dados forem coletados em território nacional.
1.3.1 realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
1.3.2 realizado para fins exclusivamente:
a) jornalístico
b) artísticos;
c) realizado para fins exclusivamente acadêmicos;
1.3.3 realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
1.3.4. provenientes de fora do território nacional e que não sejam objeto de comunicação, uso
compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência
internacional de dados com outro país que não o de proveniência, desde que o país de
proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
2. CONCEITO:
2.5. TRATAMENTO:
- toda operação realizada com dados pessoais de pessoa física;
a) coleta;
b) produção;
c) recepção;
d) utilização;
e) transmissão;
f) arquivamento;
g) eliminação;
3. PARTES ENVOLVIDAS
3.2. TITULAR
3.3.1 CONTROLADOR
Controlador: quem toma as decisões referentes ao tratamento dos dados pessoais;
3.3.2. OPERADOR
Operador: quem realiza o tratamento dos dados pessoais em nome do controlador.
*Por exemplo, se uma empresa terceiriza sua folha de pagamento, ela envia dados pessoais de
seus funcionários para o prestador de serviços. A primeira é a controladora dos dados pessoais
de seus funcionários. É ela quem decide como os dados pessoais serão tratados. Já a segunda é
a operadora, ela irá processar a folha de pagamento a pedido do controlador. A importância
dessa definição é por conta da responsabilidade dos agentes de tratamento. A LGPD determina
que o controlador, o operador que em razão do exercício de sua atividade causar dano será
obrigado a repara-lo. O operador responde solidariamente junto ao controlador quando
descumprir a LGPD ou quando não tiver seguido as orientações do controlador. Já o
controlador que estiver diretamente envolvido e atividade de tratamento que causar danos
aos titulares, serão solidariamente responsáveis. Assim, caso o operador em conformidade
com a LGPD e atenda rigorosamente as determinações do controlador, ele não será
responsabilizado solidariamente por eventuais danos causados pelo controlador. Da mesma
forma, o controlador que não participe do tratamento do qual decorram danos aos titulares
não será solidariamente responsável por danos causados. Por isso recomendamos que tenha
contratualmente uma definição clara das atribuições de cada parte e das limitações de
responsabilidade.
Também temos a figura do encarregado, conhecido pelo nome dado na Europa, pela GDPR,
que é o data protection officer – DPO. No conceito é a pessoa indicado pelo controlador e o
operador para atuar como um canal de comunicação entre o controlador, os titulares dos
dados e ANPD. NO primeiro texto da lei estava indicado que deveria ser uma pessoa natural,
uma pessoa física, mas o texto foi alterado para tirar essa obrigatoriedade e permitir que as
empresas possam ter um DPO terceirizado, conhecido como “DPO as a Service”. É o DPO que
será responsável pelo atendimento dos pedidos dos titulares, por receber orientações da
ANPD e orientar os funcionários e contratados da empresa a respeito de praticas a serem
tomadas em relação à proteção de dados pessoais. Da forma como está redigido o texto da lei
hoje entende-se que todas as empresas devem ter hoje um DPO, mas a NPD poderá
estabelecer normas complementares sob a definição e atribuições do DPO, inclusive hipóteses
de dispensa de acordo com o porte da entidade ou o volume das operações de tratamento de
dados como ocorre na Europa.
4. PRINCÍPIOS
4.1. FINALIDADE:
Os dados pessoais somente poderão ser tratados para propósitos legítimos, específicos e
explícitos, informados ao titular;
4.2. ADEQUAÇÃO:
O tratamento dos dados deve ser compatível com as finalidades informadas ao titular;
4.3. TRANSPARÊNCIA:
Os titulares devem receber informações claras, precisas e facilmente acessíveis sobre a
realização do tratamento. Isso quer dizer que as empresas devem informar aos titulares
exatamente tudo o que elas irão fazer com os dados pessoais não poderão utilizar os dados de
incompatível com aquela finalidade que foi informada ao titular.
Teve um caso de fiscalização pelo Ministério Publico, de uma grande empresa varejista que
abriu processo seletivo e vários candidatos receberam posteriormente um cartão de crédito de
uma empresa do grupo. Houve um claro desvio de finalidade, vendo os três princípios aqui
comentados.
4.4. NECESSIDADE:
O tratamento dos dados deve ser limitado mínimo necessário para a realização de suas
finalidades. É bem diferente da nossa realidade hoje, a cultura das empresas é coletar o
máximo de informação possível e isso deve mudar.
4.7. SEGURANÇA:
as empresas deverão utilizar medidas técnicas e administrativas para proteger os dados
pessoais;
4.8. PREVENÇÃO:
As empresas deverão adotar medidas preventivas contra a ocorrência de eventuais danos
decorrentes do tratamento de dados pessoais;
4.9. NÃO DISCRIMINAÇÃO:
trata da proibição de tratamento para fins discriminatórios, ilícitos ou abusivos;
A LGPD elenca 10 requisitos legais para o tratamento dos dados pessoais, ou seja, a empresa
só pode tratar dados pessoais se ela tiver pelo menos 1 desses requisitos que são chamados na
LGPD de bases legais. Seja qual for a base legal para o tratamento de dados essa decisão deve
ser devidamente registrada e documentada pelo controlador e o operador de dados.
a LGPD deixa claro que os dados pertencem ao titular que ele se refere. E não as empresas.
Dentro dos direitos assegurados na LGPD, temos: