A Cedro Technologies realizou na última quarta-feira (20 de novembro) a transmissão do webinar “As empresas brasileiras estão prontas para a LGPD?”. Os participantes comentaram ao vivo sobre as principais mudanças que a Lei Geral de Proteção de Dados e com as empresas brasileiras estão se preparando para estar em conformidade.
A mediação do webinar foi feita pelo consultor de negócios da Cedro Technologies, Adriano Ignatti, focado em processos de compliance, KYC, PLD e mais. Os convidados para a conversa foram:
- Andrea de Oliveira, Professora universitária, advogada e Doutoranda em Direito e Relações Internacionais.
- Leandro Rezende, CEO da GuardSI, executivo com 20 anos de carreira, atuou em empresas como Citibank, Credicard, Orbitall, Itaú, Banco ibi e Policard.
Confira o webinar na íntegra:
Para responder a todas as perguntas feitas durante a transmissão, mas que não foram respondidas pela limitação de tempo, compilamos neste artigo. Os especialistas convidados responderam a cada uma delas. Confira:
Fernanda Carvalho – De acordo com a LGPD em seu artigo 19, que trata da confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular; por quais meios se pode requisitar?
Leandro – Cada empresa terá o seu canal de comunicação com os titulares, que pode ser de diversas formas, como: email, telefone, contato no site ou mesmo sistemas e soluções já direcionadas para esta finalidade.
Fernanda Carvalho – Como proceder quando as empresas de telefonia disponibilizam o contato para campanhas políticas e estas enviam mensagens para os celulares? O que fazer para evitar?
Leandro – A lei prevê que as finalidades da coleta dos dados devem ser específicas e em conformidade com, no mínimo, 01 das 10 bases legais previstas. Assim, utilizar os dados coletados para finalidades desconhecidas do titular irá contra a lei e, desta forma, o titular poderá exercer o seu direito, quando possível, de oposição, apagamento e mesmo processar judicialmente pelo mau uso dos dados.
Claudio Luiz de Carvalho – Os partidos políticos usam dados de seus filiados para as campanhas políticas. Eles devem se adequar à lei? Como?
Leandro – Eles devem se adequar. Um exemplo seria especificar, na filiação, que os dados poderão ser utilizados para essa finalidade, deixando o consentimento livre para o titular.
Rafael Galvão – Qual previsão de tempo geralmente é realizada uma análise de GAP da LGPD?
Leandro – O processo de assessment (avaliação) e geração do plano de ação depende de alguns fatores, mas podemos colocar, de forma macro, que dura entre 4 a 5 semanas, reforçando que a execução das ações para adequação pode durar até mais do que 01 ano.
Claudio Luiz de Carvalho – A lei protege dados pessoais de pessoas naturais que deixam de existir quando falece. É correto dizer que os dados dessas pessoas continuam a serem protegidos até que se encerre o inventário?
Leandro – A lei é específica quando diz que dispõe sobre o tratamento de dados pessoais de pessoas naturais, ou seja, pessoas vivas.
Vendedor Tubarão – Sobre o tratamento do dado em relação a área de saúde, a LGPD ordena que a partir de um determinado período determinados dados devem ser descartados quando são considerados obsoletos, a pergunta é: Quando esses dados se tornam obsoletos?
Leandro – Isso depende de cada caso e deve ser analisado sobre a ótica do negócio e das legislações. No caso do segmento saúde, por exemplo, existem algumas normas específicas para retenção dos dados dos pacientes e esta lei prevalece frente a LGPD.
Leonardo P. Santos – Minha empresa possui uma solução de onboarding de cadastro respeitando as exigências dos órgãos responsáveis, seja CVM ou Banco Central para abertura de conta digital. A minha solução hoje ela fica hospedada dentro da infra (local ou nuvem) do cliente. O que a LEI diz a respeito sobre a quantidade de campos coletados durante este onboarding?
Leandro – Existem 2 princípios da lei, dentre 10, que tratam da Adequação e da Necessidade. Os dados coletados devem estar adequados à finalidade exposta. Utilizamos o conceito de Minimização dos dados, ou seja, somente coletar o que for realmente necessário para a finalidade. Hoje em dia não há essa preocupação e o que vemos é uma cultura exatamente contrária: “já que estamos coletando, vamos pedir tudo que for possível”. Isso deve ser revisto e a coleta adequada.
Antonio Augusto – Gostaria de saber quais são as principais áreas afetadas dentro de uma empresa pela lei?
Leandro – Áreas que coletam dados pessoais e as áreas que tratam esses dados, onde tratar significa fazer qualquer coisa com esse dado (acessar, deletar, transferir, armazenar…). Por experiência, praticamente todas as áreas são afetadas.
Tiago Fweisheimer – Gostaria de saber como funcionará a LGPD para as pessoas jurídicas?
Leandro – As empresas devem coletar dados pessoais conforme as bases legais definidas na lei e, além disso, ter procedimentos de controle para a proteção dos dados coletados.
Claudio Luiz de Carvalho – Como obter certificação para DPO ou Encarregado?
Leandro – Há uma tendência de surgimento de treinamentos específicos e, hoje, posso dizer dos treinamentos e certificações da Exin, que foram os que realizei.
Silvio Valle Fiocruz – Considerando as novas técnicas Reprodução Assistida: na Seção III da LGPD existe a proteção de Dados Pessoais de Crianças e de Adolescentes, essa proteção abrange os Nascituros?
Leandro – A lei se aplica a pessoa natural, ou seja, pessoas nascidas com vida.
Marcus Empresa – As penalidades serão aplicadas de que forma?
Leandro – As penalidades serão aplicadas pela ANPD na forma de advertência, multas (até 2% do faturamento da empresa no teto de 50 milhões), publicização (a empresa deve tornar público o incidente) e até bloqueio do uso dos dados pela empresa. Lembrando que as penalidades não se limitam à ANPD, podendo ocorrer, por exemplo, processos no Procon e justiça comum.
Borgheti – Como fica a questão de transmissão dos dados? Exemplo hoje se trafega muita informação por e-mail, planilhas etc.. isso vai necessitar de algum tipo de controle?
Leandro – Deve-se adotar controles para que pessoas não autorizadas tenham acessos indevidos aos dados. Esses processos devem ser reavaliados para determinar a necessidade do processo e de controles que devam ser implementados.
Jeferson Rodrigues – Com relação a backups, como fazer? teremos que nos adequar também? como apagar apenas determinados dados em backups já realizados?
Leandro – Os backups devem ter a mesma preocupação de controle dos demais meios de armazenamento, ou seja, controles de acesso, disponibilidade e integridade. No caso de solicitação de apagamento, não há a necessidade de apagar dos backups, o que seria inviável, mas há a necessidade de um controle efetivo de que esse dado não seja utilizado novamente (por exemplo, em um acesso indevido ou na recuperação de um backup antigo de dado já apagado por solicitação do titular).
Peter Botelho – O que a lei estabelece sobre o uso dos dados coletados pela empresa de seus usuários e clientes na inteligência de negócio de outros produtos próprios ou empresas no mesmo grupo?
Leandro – A lei estabelece que deve haver transparência no tratamento dos dados coletados. Caso se use outra base legal que não seja o consentimento explícito do titular para as finalidades previstas, mesmo assim o titular deve ser informado sobre este uso.
Michelle Naves de Oliveira – O que a lei diz sobre as empresas que comercializam mailing de seus clientes?
Leandro – Deve estar especificado na finalidade de coleta e deve haver o consentimento explícito do titular.
Claudio Luiz de Carvalho – Condomínios coletam dados, inclusive os sensíveis (imagem, voz, etc). Há alguma orientação que os exclua de se adequar à LGPD?
Leandro – Eles devem se adequar normalmente. É uma oportunidade de revisão do processo, coleta mínima para a finalidade e controle de armazenamento e acesso.
Amanda Ketre – E qual a relação quanto ao uso de software para captura facial em shoppings centers? eu entendo como dados anônimos pois eu não consigo identificar o indivíduo, pois não tem uma base de comparação.
Leandro – Coleta facial é um dado biométrico e considerado sensível. Não é um dado anônimo (pode-se identificar a pessoa normalmente). Existem várias discussões sobre o assunto no mundo, desde o uso irrestrito na China até a proibição na Califórnia. A ANPD deverá regular melhor o assunto, assim como as autoridades europeias estão fazendo, mas, desde já, deve ser tratado como dado pessoal sensível.
Fabio Mastaler – Boa tarde, tenho alguns clientes que são agências de atores que, por exemplo, guardam informações muito detalhadas e específicas de seu acervo como, por exemplo, a existência de uma tatuagem no calcanhar do ator, entre outras. Qual o cuidado que estas agências devem ter no fornecimento destas informações aos produtores de mídia interessados, fato que já faz parte do dia-a-dia desse tipo de negócio?
Leandro – Deve-se adequar o processo de coleta conforme as finalidades desejadas, atentando-se ao fato de que a agência é o controlador (quem coleta) e, desta forma, deve haver todas as responsabilidades advindas como, por exemplo, garantir que os dados transferidos tenham o mesmo nível de proteção e tratamento nas empresas receptoras (contratos, relatórios, auditorias periódicas…).
Carlos Antonio – As entidades públicas europeias já estão adequadas a GPDR? Ou, como aqui, são deficitárias na aplicação da LGPD?
Leandro – As entidades públicas europeias e brasileiras devem se adequar normalmente. A diferença entra as duas leis é que a LGPD retirou a multa dos órgãos públicos brasileiros, mantendo-se todas as outras penalidades (lembrando que pode haver outros processos não relacionados especificamente à LGPD em caso de incidentes como, por exemplo, improbidade administrativa).
Claudio Luiz de Carvalho – A lei depende de decreto de regulamentação?
Leandro – A lei já está aprovada e em período de vacatio legis até agosto/2020 (período entre a publicação e a entrada em vigor).
Jose Carlos Tremarin – dados pessoais da relação empregado/empresa, tais como: cursos que frequentou, desempenho no trabalho… são protegidos pela LGPD ou podem ser usados pela empresa sem restrições?
Leandro – Deve-se aplicar o conceito da lei: dado pessoal: informação relacionada a pessoa natural identificada ou identificável. Por exemplo, se houver somente uma pessoa na empresa que frequentou o curso x, essa pessoa é identificável. Se houver 2 pessoas, mas somente uma do sexo masculino, idem. E assim por diante (avaliar a combinação para identificação). Recomendação é que essas informações dos colaboradores sejam tratadas como dado pessoal.
Rinaldo Scampini – Se vazar um dado hoje e só for divulgado depois da lei, vale também?
Leandro – A lei só vai exigir a adequação após a entrada em vigor, mas, neste caso, importante ressaltar que, independente da LGPD, o Ministério Público já está investigando e multando, nos dias de hoje, os casos de vazamento de dados (Banco Inter, Netshoes etc.)
Continue acompanhando o nosso blog e fique por dentro dos nossos próximos webinars.