A entrada em vigor da LGPD foi uma grande surpresa para os advogados e para o mundo empresarial.

Antes do cenário da pandemia, era certo que a lei entraria em pleno vigor em Agosto de 2020.

No entanto, tendo em vista a situação do COVID-19, o Governo Federal editou a MP 959/2020, que prorrogaria o início da vigência para 2021.

No entanto, o trecho da MP que prorrogava o início da vigência foi vetado.

Dessa maneira, a LGPD acabou entrando em vigor em Setembro de 2020!

Essa reviravolta trouxe muitas inseguranças para o mundo jurídico e para o mundo empresarial.

Por esse motivo, elaboramos um Guia Prático para você implementar a proteção de dados pessoais conforme a LGPD.

Neste passo a passo, você saberá tudo que é preciso fazer para diminuir riscos com o tratamento de dados pessoais. 

Vamos lá?

[Conheça as principais vantagens da LGPD para os advogados]

Quer mais tranquilidade na contagem de prazos? Junte-se a mais de 200.000 profissionais do Direito que utilizam a Legalcloud.

Conteúdo ocultar

5 Passos para implementar a LGPD [Atualizado]

Neste passo a passo, iremos discutir os principais pontos para a aplicação da LGPD, estruturando da seguinte forma:

Em cada um desses passos, abordaremos exatamente o que você precisa fazer para ter sucesso ao implementar a LGPD. 😉

Aqui você encontrará conteúdos exclusivos e práticos, com exemplos e todos os detalhes necessários para conquistar ótimos resultados em sua vida profissional.

Passo 1: Reúna informações sobre os dados coletados 

O 1º passo para a adequação à LGPD é reunir todas as informações possíveis sobre os dados pessoais que são utilizados atualmente por você ou por seu cliente. 

Isso é fundamental para que você ou o seu advogado possam compreender a sua real situação em relação à proteção dos dados dos usuários do seu site ou serviço.

Para realizar a análise inicial, você precisa solicitar ao profissional de TI ou gestor de dados do site/serviço todas as informações referentes aos dados pessoais dos usuários.

No entanto, nós sabemos que isso pode não ser muito claro. 

(Ainda mais se você pertencer ao mundo jurídico e não entender muito sobre tecnologia.)

Por esse motivo, fizemos um checklist com TUDO que você precisa saber.

Antes de botar em prática a implementação da LGPD, você deve solicitar informações sobre: 

  • Quais são todos os tipos de dados coletados pelo site/serviço;
  • Como é feito e qual é a finalidade do tratamento de cada um desses dados;
  • O que é feito com os dados após o término de seu tratamento;
  • Como ocorre a segurança dos dados coletados;
  • Como é feito o compartilhamento de dados a terceiros, caso ocorra;

As informações acima são essenciais para que seja possível realizar um adequado projeto de proteção de dados para um site ou serviço. 

Mulher buscando entender sobre a LGPD

Agora, explicaremos cada um dos pontos do checklist.

Desse modo, você poderá ter muito mais segurança na hora de elaborar e implementar o seu projeto de proteção de dados.

a) Saiba quais são os dados coletados pelo site/serviço

Para que um profissional comece a elaborar o projeto de adequação à LGPD, é fundamental que ele saiba quais são [TODOS] os dados coletados pelo site/serviço.

Essa é uma tarefa essencial e que deve ser feita com o máximo de atenção, uma vez que pode gerar grandes prejuízos financeiros caso não seja bem observada.

Para isso, o profissional deve solicitar que o cliente para o qual está elaborando o projeto de proteção de dados informe todos os dados coletados.

Todos mesmo!

Isso porque, caso algum dado seja ignorado e não esteja protegido conforme as regras da LGPD, poderão haver consequências graves para o site/serviço

(Lembrando que as sanções administrativas por descumprimento da LGPD podem chegar a 50 Milhões de Reais!)

Por essa razão, o profissional que está criando o projeto de proteção de dados deve ficar de olho em:

  • Dados fornecidos diretamente pelo usuário/titular (sobretudo informações de cadastro, como nome, email, telefone, etc).
  • Dados do usuário/titular coletados automaticamente pelo site (sobretudo informações mais técnicas, como endereço de IP, geolocalização, etc.)

O ideal é que as informações sobre os tipos de dados coletados sejam organizadas em uma planilha.

Desse modo, o profissional pode checar cada tipo de dado de forma mais simples e adicionar as outras informações sobre cada um deles de maneira mais prática.

b) Saiba como é o tratamento e qual a finalidade de cada tipo de dados 

Após saber quais são todos os tipos de dados coletados, é importante saber como é realizado o tratamento de cada um deles.

O tratamento de dados é toda operação realizada com dados pessoais.

Por ser tão importante, sua análise deve ser atenta e voltada a 4 pontos principais:

  • Saber o que for possível sobre como o dado é coletado;
  • Saber qual é a finalidade da coleta de cada dado;
  • Saber o que for possível como o dado é armazenado;
  • Saber o que for possível como o dado é excluído.

Você deve solicitar que essas informações sejam fornecidas da maneira mais completa possível pelo site/serviço para o qual está sendo elaborado o projeto de adequação.

Dessa maneira, você poderá avaliar quais são os erros e riscos para a segurança dos dados dos usuários/titulares e o que é preciso para adequá-los à LGPD.

O ideal é que essas informações fiquem ao lado de cada tipo de dado coletado em uma planilha ou tabela.

Isso facilitará bastante o seu trabalho de organização para dar start no projeto de adequação à LGPD.

Quer uma planilha COMPLETA para isso? Baixe aqui. 

c) Saiba quando e como ocorre o fim do tratamento dos dados pessoais

Além de entender sobre o tratamento dos dados, é importante que o profissional saiba, também, quando ocorre o fim do tratamento e como os dados são excluídos. 

Advogado entendendo como uma empresa trata os seus dados antes de implementar a LGPD

Isso é fundamental para que se possa entender os principais problemas atuais do site/serviço quanto à segurança dos dados pessoais e à LGPD.

Desse modo, é preciso que você solicite informações como, por exemplo:

  • Durante quanto tempo o dado é armazenado?
  • Como os dados são descartados?
  • Por que os dados são descartados?

É essencial que você tenha o máximo possível de informações sobre o fim do tratamento dos dados.

Assim, será muito mais simples e claro perceber quais serão as necessidades para adequação à Lei Geral de Proteção de Dados.

Como falado nos outros pontos, uma boa ideia é organizar essas informações em uma planilha, facilitando a visualização e a detecção de problemas. 

Confira a planilha da Legalcloud aqui.

d) Saiba como é realizada a segurança de cada tipo de dado pessoal coletado

Após entender os tipos de dados coletados e como ocorre o tratamento, é preciso saber o que o site/serviço faz para os dados dos usuários/titulares ficarem seguros.

Para isso, você deverá solicitar, também, todas as informações sobre as medidas técnicas de segurança de dados existentes.

Por exemplo, poderão ser solicitadas as medidas técnicas contra invasão de hackers, contra vazamento de dados a terceiros, dentre outros exemplos.

Todas as medidas técnicas tomadas por quem está tratando os dados deverão ser organizadas e relacionadas a cada tipo de dado específico.

Dessa forma, mais uma vez recomendamos que você utilize uma planilha para organizar todas as informações.

Garantimos que, com ela, você economizará um bom tempo do seu trabalho e aumentará a sua chance de sucesso na adequação da proteção de dados à LGPD.

e) Saiba como é feito o compartilhamento de dados pessoais a terceiros

O compartilhamento de dados pessoais a terceiros é uma prática muito comum e essencial a muitos serviços.

No entanto, para que seja possível criar um bom planejamento de adequação à LGPD, é muito importante que você saiba de que maneira os dados são compartilhados atualmente.

Esse é um ponto muito sensível e exige uma grande capacidade de análise do profissional, uma vez que o compartilhamento é um fenômeno de extensiva proteção pela nova Lei.

Assim, para evitar riscos, você deve saber TUDO sobre como é realizado o compartilhamento de dados pessoais e os principais efeitos disso para a segurança dos dados.

Baixe uma planilha completa para organizar o projeto de adequação à LGPD.

Atenção: Esse trabalho inicial é FUNDAMENTAL e PRECIOSO

Muitos advogados e profissionais que estão começando a se especializar em LGPD ignoram a importância desse passo inicial. 

O grande motivo disso é que, em alguns casos, essa coleta de informações pode ser bem complexa e trabalhosa.

No entanto, profissionais que trabalham com proteção de dados há muito tempo sabem o quanto essa fase inicial é importante e preciosa para a adequação à LGPD.

Sem ela, os riscos para o site/serviço que está realizando um trabalho de proteção de dados podem aumentar exponencialmente.

[Veja 5 Decisões Judiciais inéditas e recentes sobre a LGPD]

Isso porque acaba não sendo possível verificar todos os tipos de dados pessoais que são coletados, como são tratados e qual é a segurança sobre cada um deles.

Desse modo, a probabilidade de serem mantidas algumas vulnerabilidades técnicas e jurídicas se torna muito maior, o que pode levar a grandes prejuízos.

Certamente, não é isso que você deseja. 

Por essa razão, aconselhamos que você elabore uma planilha e disponha todas essas informações de maneira clara.

Nós temos uma para você!

Baixe a Planilha da Legalcloud para dar o pontapé na adequação à LGPD.

Você pode baixá-la e editá-la da maneira que achar melhor. 

O grande segredo é que você tenha clareza sobre os dados pessoais utilizados e saiba tudo sobre o tratamento deles.

Após esse árduo trabalho, você pode seguir para o próximo passo: analisar os dados e informações coletadas conforme a LGPD.

Passo 2: Analise se os dados estão sendo tratados conforme a LGPD

Agora que você possui os dados necessários, é hora de organizá-los e analisá-los conforme a Lei Geral de Proteção de Dados.

Para isso, você precisa:

  1. Identificar a natureza de cada dado utilizado;
  2. Verificar se a proteção de dados aplicada está adequada à LGPD;

Cuidado! Não esqueça de “começar pelo começo”. Fazer um projeto de implementação da LGPD sem realizar o Passo 1 e criar uma planilha sobre o tratamento de dados atual pode ser extremamente perigoso.

a) Identifique a natureza de cada dado tratado

A primeira etapa da análise do tratamento de dados deve ser a identificação do tipo de dados pessoais utilizados. 

Dessa maneira, o profissional pode adequar cada informação às devidas necessidades da Lei Geral de Proteção de Dados.

Entendendo os tipos de dados conforme a LGPD

A LGPD divide os dados em 4 tipos: 

  • Dados pessoais;
  • Dados pessoais sensíveis; 
  • Dados anonimizados;
  • Dados pessoais provenientes de crianças e adolescentes. 

Vamos entender cada um deles. 

O que são dados pessoais segundo a LGPD?

Os dados pessoais são quaisquer dados referentes a uma pessoa natural (física), em que seja possível a identificação da mesma.

Os dados que possam identificar pessoas jurídicas, por sua vez, não estão cobertos pelo conceito explícito de dado pessoal presente na LGPD.

O art. 5º, inc. I, da LGPD é claro quanto a isso ao definir dado pessoal como “informação relacionada a pessoa natural identificada ou identificável”.

Quer melhorar seus rendimentos? Aprenda sobre LGPD!

O que são dados pessoais sensíveis na LGPD?

Os dados pessoais sensíveis são os dados pessoais que tratam de características subjetivas e muito particulares do indivíduo.

Quanto a isso, o art. 5º, II, da LGPD indica que os dados pessoais sensíveis são aqueles relativos a:

  • Origem racial ou étnica;
  • Convicção religiosa;
  • Opinião política;
  • Filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
  • Dado referente à saúde ou à vida sexual;
  • Dado genético ou biométrico, quando vinculado a uma pessoa natural.

O que são dados anonimizados na LGPD?

Os dados anonimizados são aqueles dados que, embora sejam de pessoa natural, não tornam possível a identificação da mesma (a titular).

Quanto aos dados anonimizados, a LGPD define que:

“Art. 5º, III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;”

O que são dados pessoais de crianças e adolescentes na LGPD?

Os dados pessoais de crianças e adolescentes possuem tratamento especial, em virtude da condição jurídica das mesmas no ordenamento brasileiro.

Eles devem sempre atender o melhor interesse da criança e devem ser obtidos mediante consentimento específico dos responsáveis.

O art. 14 da LGPD informa que:

“Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.

§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.”

b) Verifique se o tratamento de dados aplicado está adequado à LGPD

Após dividir os dados utilizados em cada tipo definido acima, precisamos verificar se o tratamento dos dados está adaptado à LGPD.

Mas, antes disso, precisamos saber como a Lei Geral de Proteção de Dados define esse conceito.

Como vimos, o tratamento de dados é toda operação realizada com dados pessoais.

O art. 5, V, faz essa elucidação e exemplifica quais são os principais tipos de operações de dados pessoais. 

Entre esses exemplos estão a coleta, produção, reprodução, transmissão, avaliação, modificação e arquivamento dos dados.

Advogada que entendeu com implementar a LGPD

Agora que sabemos o que é o tratamento de dados, precisamos entender que ele depende de algumas necessidades básicas, que podem ficar mais específicas em virtude do tipo de dado tratado.

As principais necessidades básicas são:

  • Verificar se há consentimento no tratamento dos dados pessoais
  • Avaliar se o ciclo de vida dos dados é seguro para o usuário
  • Verificar se o compartilhamento de dados é realizado de forma segura e clara
  • Verificar se a comunicação entre o titular dos dados e a pessoa jurídica ou física que realiza o tratamento é possível

Vamos abordar cada um dos pontos acima. 

I) Verifique se há consentimento no tratamento dos dados

O consentimento para o tratamento dos dados pessoais é um dos pontos principais da LGPD.

O consentimento está previsto no art. 5, XII, da Lei, que indica que o consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;”

A partir dele, o indivíduo indica, expressamente, se os seus dados podem ser tratados pela pessoa física ou jurídica que está coletando. 

A única exceção para o consentimento é referente aos dados manifestamente públicos do indivíduo. 

Art.7 § 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.”

Fora a exceção destacada, o consentimento precisa ser requisitado para a maior parte dos casos em que é realizado o tratamento de dados.

Como funciona a requisição do consentimento na LGPD?

A requisição do consentimento é uma prática utilizada há bastante tempo pelos sites e plataformas digitais.

Por exemplo, é bem comum que ele apareça em frases como “Você concorda com os Termos de Uso e com a Política de Privacidade?”, normalmente na fase de cadastro.

Saiba o que o advogado pode ganhar sabendo sobre LGPD.

No entanto, com a LGPD, o consentimento precisa de uma atenção ainda maior por parte das pessoas físicas ou jurídicas (empresas, etc) que forem realizar o tratamento dos dados.

Ele precisa ser claro e atender às finalidades específicas expressas no momento da requisição.

Além disso, em alguns casos, ele precisa ser observado de modo ainda mais cuidadoso, como nas situações em que há tratamento de dados pessoais sensíveis e dados referentes a crianças e adolescentes.

II) Avalie se o ciclo de vida dos dados é seguro para o usuário

Além do consentimento expresso, outra necessidade para a proteção dos dados tratados é a clareza em relação ao ciclo de vida dos dados do usuário. 

O ciclo de vida dos dados do usuário nada mais é do que a definição clara de como os dados são coletados, armazenados e excluídos pela pessoa jurídica ou física que realiza o tratamento. 

Esse processo precisa ser descrito de forma clara aos usuários, a fim de que seja possível avaliar como os dados são tratados.

Desse modo, o indivíduo titular dos dados pode ter muito mais confiança na pessoa jurídica (ou física) que realiza o tratamento dos dados.

Além disso, com uma descrição clara para o usuário, a boa-fé de quem está realizando o tratamento fica ainda mais evidente, o que pode ser excelente em caso de conflitos ou problemas judiciais e administrativos.

O ciclo de vida dos dados deve ser demonstrado na Política de Privacidade e, caso seja necessário, nas demais Políticas referentes ao tratamento de dados.

Confira 5 Decisões Inéditas sobre a LGPD

Ao ser demonstrado, devem ser expostas, também, todas as medidas técnicas tomadas para a proteção e segurança dos dados durante a coleta, o armazenamento e a exclusão dos mesmos. 

Nesse sentido, de acordo com o art. 6, inc. VII, da LGPD,  a segurança dos dados é definida como “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”

Assim, o tratamento de dados fica claro não só para o usuário, mas para os entes judiciais e administrativos (como a ANPD).

III) Analise se o compartilhamento de dados está claro e seguro

Outro fator fundamental para adequar o tratamento de dados à LGPD é realizar o compartilhamento de dados na forma prevista pela lei. 

Atualmente, muitos sites e pessoas jurídicas compartilham dados com terceiros (quase todos!).

Isso porque, os serviços digitais, hoje, são interligados com outros serviços digitais para proporcionar a máxima satisfação ao cliente.

Profissional querendo saber tudo para implementar a LGPD.

Por exemplo, ao se tornar cliente de um serviço online, você poderá precisar compartilhar dados com empresas operadoras de pagamento e de serviços de chat. 

Com a LGPD, o compartilhamento precisa ser claro e seguro, a fim de evitar riscos para os dados do usuário/titular. 

Desse modo, todas informações a serem compartilhadas precisam do consentimento do titular dos dados, além de estarem bem descritas, tal como o ciclo de vida dos dados.

IV) Verifique se a comunicação entre o usuário/titular de dados e a pessoa jurídica/física que realiza o tratamento é possível

Uma necessidade essencial para a adequação à LGPD é a possibilidade de comunicação entre o titular dos dados e a pessoa jurídica ou física que realiza o tratamento. 

Dessa maneira, o usuário titular dos dados poderá, facilmente, requerer quaisquer alterações em relação ao tratamento de seus dados, sobretudo em relação à revogação do consentimento.

Quanto a isso, a LGPD indica que:

“Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses: 

III – comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público.”

Conheça a Legalcloud e tenha mais tranquilidade na sua contagem de prazos processuais

Passo 3: Faça ajustes ao tratamento de dados atual seguindo a LGPD

Agora que você já analisou os dados, precisaremos verificar a compatibilidade entre eles e a LGPD, promovendo ajustes.

Para isso, devemos nos atentar a três questões principais:

I) Se os dados tratados pela pessoa jurídica estão de acordo com os princípios estabelecidos pela LGPD;

II) Se os direitos do usuário estão sendo respeitados;

III) Se o compartilhamento de dados está sendo feito adequadamente, caso ocorra.

Iremos pontuar cada um desses tópicos a seguir. Vamos lá?!

Atenção! Não se esqueça de organizar bem todas as informações necessárias para a análise. Somente assim você conseguirá fazer os ajustes necessários conforme os princípios da LGPD. Baixe uma planilha completa aqui :).

I) Adeque o tratamento de dados aos princípios da LGPD

Nesse primeiro momento devemos analisar todas as informações com os seguintes princípios em mente:

  • Finalidade, Adequação, Necessidade; 
  • Livre acesso; Qualidade; Transparência; 
  • Segurança; Prevenção; Não discriminação; 
  • Responsabilização e Prestação de Contas.

Eles devem guiar toda a sua análise sobre o tratamento de dados feita pelo controlador e operador.

Dividiremos a análise dos princípios, a partir de seus objetivos, em quatro grupos:

PrincípiosObjetivos
Finalidade, Adequação e NecessidadeLimitar o uso de dados
Livre acesso, Qualidade dos dados e TransparênciaGarantir aos titulares o acesso às informações relativas ao uso de seus dados
Segurança, Prevenção e Não DiscriminaçãoAssegurar a proteção de dados
Prestação de ContasSalvaguardar a eficácia da proteção de dados.

Mas, antes de expor estes princípios, devemos compreender a boa-fé objetiva.

Ela é fundamental para a interpretação dos princípios da LGPD (art. 6, caput) e para o ordenamento jurídico como um todo.

A Boa-fé é o pressuposto de todas as relações jurídicas por constituir um elemento ético, a partir do qual estão implícitos deveres anexos para as partes. 

Como exemplo desses deveres anexos, podemos mencionar a correção, cuidado, sigilo, prestação de contas, entre outros.

Partindo disso, devemos observar os demais princípios expressos na LGPD, vamos lá?

[Saiba TUDO sobre os 11 Princípios da LGPD]

Finalidade, Adequação e Necessidade do Tratamento de Dados

A finalidade, adequação e necessidade são elementos fundamentais para a delimitação do uso de dados.

Para aplicá-los, devemos lembrar do respeito à Liberdade, Privacidade, Intimidade, Inviolabilidade da Honra e da Imagem do indivíduo (arts. 1, 2 e 18, LGPD)

voltaremos nossa análise de acordo com o art. 6, I, II e II da LGPD:

A finalidade corresponde ao princípio que define a realização do tratamento de dados em função de propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

A adequação significa a compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.

Enquanto isso, a necessidade é definida como a limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados

Com base nesses princípios, em resumo, é necessário que o tratamento de dados possua propósitos bem delimitados ao minímo necessário para a finalidade e adequados ao contexto (compatível com o serviço prestado pela pessoa jurídica, por exemplo) 

Livre Acesso, Qualidade dos Dados e Transparência no Tratamento de Dados

O Livre Acesso, Qualidade dos dados e Transparência, estão associados a o acesso dos titulares às informações relativas ao uso de seus dados.

Vejamos como dispõe a LGPD sobre tais princípios.

Segundo o art. 6, incisos IV, V e VI:

O livre acesso dos dados corresponde à garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

A qualidade dos dados significa garantir, aos titulares, exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

Conheça as principais vantagens de aprender sobre a LGPD.

Por fim, a transparência se traduz em garantir, aos titulares,  informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.

Temos aqui pressupostos ao consentimento dos usuários, uma vez que este ato somente será válido se conhecerem claramente quais dados estão dispondo, sendo necessário solicitar o consentimento a cada atualização do uso de dados.

Segurança, Prevenção e Não Discriminação dos Dados Pessoais

No art. 6, incisos VII, VIII e IX da LGPD há a definição dos princípios da segurança, prevenção e não descriminação, caros à proteção dos dados do usuário.

Enquanto isso, a aplicação de tais princípios está estabelecida no Capítulo VII, arts. 46 a 51 da LGPD.

A segurança, como vimos, diz respeito ao uso de medidas técnicas e administrativas aptas a proteger  os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

A prevenção corresponde a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

Já a não discriminação significa a impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.

Nesse sentido, é preciso observar atentamente se a pessoa jurídica está se utilizando de mecanismos adequados e suficientes à proteção de dados.

[TUDO que você precisa saber sobre os Princípios da LGPD]

Responsabilização e Prestação de Contas conforme a LGPD

Esses princípios são responsáveis pela eficácia de todos os outros mencionados.

A responsabilização e prestação de contas é estabelecida no art. 6, inc. X da LGPD  com este objetivo:

Tornar obrigatória a demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

A concretização da prestação de contas de dá na obrigatoriedade de entrega de relatório à ANP e, também, deve estar claro para o usuário que seus dados estão bem protegidos.

Sendo assim, é importantíssimo que você proponha ajustes ao tratamento de dados da empresa de acordo com eles.

Empresário que obedece a LGPD

II) Garanta que os direitos dos usuários sejam respeitados

Para tornar mais específica a aplicação dos princípios, a LGPD trás informações mais detalhadas quanto aos direitos, principalmente no Capítulo III da LGPD.

O objetivo foi deixar mais claro, tanto ao usuário quanto ao controlador de dados, algumas das principais questões a serem observadas para a aplicação dos princípios.

Dessa forma, é necessário proporcionar ao usuário as seguintes medidas:

  1. Acesso aos dados;
  2. Acesso a informações sobre o uso dos dados
  3. Consentimento em relação ao tratamento dos dados

Cada uma delas se desdobra em tutelas específicas em relação aos direitos dos usuários.

Faremos uma breve exposição dos principais pontos na tabela abaixo.

Acesso aos dadosAcesso a informações sobre o uso dos dadosConsentimento em relação ao tratamento dos dados
Correção de dados incompletos, inexatos ou desatualizados (art.18, III, LGPD );

Anonimização, bloqueio ou eliminação de dados desnecessários (art. 18, IV, LGPD ); 

O armazenamento dos dados deve ser feito em formato que favoreça o exercício do direito de acesso (art. 18, § 1º, LGPD )
Portabilidade dos dados (art. 18, V, LGPD)
Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; O titular dos dados tem direito a solicitar a revisão de decisões tomadas apenas com base em tratamento automatizado de dados pessoais que afetem seus interesses (art. 20).Consentimento como pressuposto ao tratamento de dados;
Informações sobre o resultado do não consentimento; 
Possibilidade de revogação do consentimento.Clareza das informações sobre o uso de dados;Atualizaçãodas informações e do consentimento, conforme a alteração no tratamento de dados

III) Siga os critérios da LGPD para compartilhamento de dados

Primeiramente, é necessário compreender a definição feita pela LGPD sobre o uso compartilhado de dados:

Art. 5 XVI – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

Para que o compartilhamento seja feito de forma segura, além de se ater as questões gerais já mencionadas no Passo 2, você deve observar os seguintes aspectos explícitos na LGPD:

  • O compartilhamento de dados deve ser feito mediante consentimento específico do usuário para esse fim (art. 7, § 5º, LGPD);
  • O usuário deve ter acesso a informações acerca do uso compartilhado de dados pelo controlador e a finalidade (art. 9,V, LGPD );
  • É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, salvo exceções (art. 11, § 4º, LGPD )
  • O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, 

Depois que todos os ajustes e análises forem feitas, já podemos partir para o próximo passo.

Conheça as principais vantagens da LGPD para advogados.

Passo 4: Elabore a Política de Privacidade e a Política de Cookies

Criar a Política de Privacidade e a Política de Cookies é um dos principais passos para adequação à LGPD.

Elas são criadas após o tratamento de dados do site/serviço ser ajustado à LGPD.

O objetivo da Política de Privacidade e da Política de Cookies é estabelecer regras e deixar claro para os usuários/titulares como é realizado o tratamento de dados pessoais.

Advogada fazendo política de privacidade

A partir delas, os usuários podem saber quais são os seus direitos, quais dados são coletados e tudo que é feito com eles durante o tratamento.

Além disso, as Políticas têm a valiosa função de manter a transparência sobre o tratamento de dados para o usuário/titular.

Por que é importante manter a transparência sobre o tratamento de dados? 

A transparência é um dos principais objetivos da LGPD e das normas de proteção de dados pessoais. 

Com ela, os usuários/titulares podem saber exatamente o que ocorre com os seus dados, tendo muito mais segurança e confiança na utilização de um site/serviço.

Conheça 5 decisões inéditas sobre a LGPD.

Dentre outros artigos, o direito à transparência e ao livre acesso está claro no artigo 9º da LGPD:

“Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva (…)”

Para que a transparência se concretize, é fundamental que o site/serviço pensem em maneiras de deixar o tratamento de dados o mais claro possível.

Um dos principais modos de se fazer isso é a partir da criação da Política de Privacidade e da Política de Cookies.

Vamos explicar agora o que é cada uma delas.

O que é Política de Privacidade?

A Política de Privacidade é um documento que contém todas as informações sobre como é realizado o tratamento de dados do usuário/titular. 

Nela, está contido o conjunto de medidas e práticas de segurança adotadas pelo site/serviço em relação aos dados dos usuários/titulares.

Além disso, ela prevê os direitos do titular e os meios de comunicação entre ele e o site/serviço.

Embora não seja uma obrigação expressa pela LGPD, é uma boa prática que está sendo adotada pela maioria dos sites do Brasil – e do mundo!

Isso porque ela é uma das melhores maneiras de se cumprir os deveres de transparência da legislação referente à proteção de dados pessoais.

Quer um exemplo? Veja a Política de Privacidade da Legalcloud.

O que é Política de Cookies?

A Política de Cookies é um documento que contém todas as informações sobre a utilização de cookies em um site. 

Cookies são arquivos de dados que capturam informações técnicas sobre o usuário que visita o site.

Os cookies podem detectar, por exemplo, o IP, indicar qual é o navegador utilizado, captar quais são as páginas do site navegadas pelo usuário. 

A principal utilidade de captar informações com o uso de cookies é entender como o usuário se comporta em um site.

Desse modo, é possível melhorar a acessibilidade das páginas e detectar comportamentos estranhos ou perigosos

A Política de Cookies, nesse sentido, é utilizada para informar ao usuário sobre como os dados pessoais captados pelos cookies são tratados.

Quer um exemplo? Veja a Política de Cookies da Legalcloud.

Como elaborar uma Política de Privacidade e Política de Cookies?

Muitos advogados e profissionais que estão se especializando em proteção de dados têm dúvidas sobre como elaborar a Política de Privacidade e a Política de Cookies. 

Entenda por que o advogado deveria aprender sobre a LGPD.

Para elaborá-las, a LGPD apresenta alguns pontos indispensáveis.

Eles estão presentes, sobretudo, nos incisos do art. 9º da LGPD :

Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:

I – finalidade específica do tratamento;

II – forma e duração do tratamento, observados os segredos comercial e industrial;

III – identificação do controlador;

IV – informações de contato do controlador;

V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade;

VI – responsabilidades dos agentes que realizarão o tratamento; e

VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.

No entanto, esses não são os únicos pontos importantes para serem colocados nas Políticas.

É muito importante incluir também:

  • Quais são os tipos de dados tratados;
  • Informações sobre como o usuário/titular pode se comunicar com o site/serviço;
  • Informações sobre o consentimento e suas necessidades;  
  • Informações sobre as medidas técnicas de segurança adotadas para a proteção dos dados;
  • Informações sobre os tipos de cookies utilizados e como atuam;
  • Informações sobre o Encarregado de Proteção de Dados;
  • Entre outras medidas.

Cada um desses pontos podem ser tratados como “cláusulas” para a elaboração da Política de Privacidade.

Desse modo, você pode ter muito mais segurança na proteção dos dados pessoais do usuário.

Além disso, o esforço e a transparência são claros demonstrativos da boa-fé do site/serviço no tratamento de dados. 

É necessário, também, que os usuários conheçam as mudanças feitas para proteger seus direitos.

Discutiremos esse passo tão importante a seguir 😉

Passo 5: Torne as alterações públicas para os usuários

Após realizar os ajustes à LGPD e elaborar as Políticas de Privacidade e de Cookies conforme a Lei, é necessário informar os usuários/titulares sobre as mudanças.

Quanto a isso, o § 6º do art. 8º da LGPD é claro ao indicar que: 

Art. 8º § 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.

As informações presentes nos incisos I, II, III e IV do art. 9 da LGPD são: 

I – finalidade específica do tratamento;

II – forma e duração do tratamento, observados os segredos comercial e industrial;

III – identificação do controlador;

IV – informações de contato do controlador;

Portanto, é fundamental informar aos usuários/titulares [SEMPRE] que houver alterações nas formas de proteção e tratamento de dados pessoais.

Assim, você pode garantir o cumprimento dos deveres de transparência e livre acesso às informações sobre proteção de dados.

Como avisar aos usuários sobre alterações na proteção de dados?

Para informar os usuários sobre as alterações, você precisa comunicá-lo da maneira mais eficiente possível.

Algumas ideias para isso são: 

  • Envio de emails comunicando as alterações.
  • Criação de banners ou mensagens em destaque nas páginas do site.
  • Postagens nas redes sociais.
  • Outros meios efetivos e autorizados para comunicação.

Assim, você evita vícios relacionados ao consentimento e assegura que os usuários/titulares estejam sempre informados sobre mudanças no tratamento de seus dados.

Usuário lendo política de privacidade e de cookies após empresa implementar LGPD

Perguntas Frequentes sobre a implementação da LGPD

Como implementar a LGPD?

Passo 1: Saiba quais são os tipos de dados pessoais coletados e informações necessárias
Passo 2: Analise os dados conforme as categorias e regras da LGPD
Passo 3: Ajuste a forma de tratamento dos dados conforme a LGPD
Passo 4: Elabore a Política de Privacidade e a Política de Cookies
Passo 5: Tornar as alterações públicas para os clientes

O que são dados pessoais?

Os dados pessoais são quaisquer dados referentes a uma pessoa natural (física), em que seja possível a sua identificação.

O que são dados sensíveis?

Os dados pessoais sensíveis são os dados pessoais que tratam de características subjetivas e muito particulares do indivíduo.

Como implementar o tratamento de dados segundo a LGPD?

Verifique os seguintes aspectos:
I) Se os dados tratados pela pessoa jurídica estão de acordo com os princípios estabelecidos pela LGPD;
II) Se os direitos do usuário estão sendo respeitados;
III) Se o compartilhamento de dados está sendo feito adequadamente, caso ocorra.

Quais são os direitos do usuário de acordo com a LGPD?

Há 3 principais direitos do usuário:
Acesso aos dados;
Acesso a informações sobre o uso dos dados
Consentimento em relação ao tratamento dos dados

Como fazer a política de privacidade?

Após ajustar o tratamento de dados conforme a LGPD, é necessário produzir uma política de proteção de dados com os seguintes aspectos:
 Art. 9. I-finalidade específica do tratamento;
II – forma e duração do tratamento, observados os segredos comercial e industrial;
III – identificação do controlador;
IV – informações de contato do controlador;
V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI – responsabilidades dos agentes que realizarão o tratamento; e
VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.

A LGPD deve ser uma prioridade para você

Vimos nesse post os principais passos para botar em prática a aplicação da LGPD.

Apresentamos um passo a passo minucioso, no qual cada uma das etapas requer a tutela dos direitos dos usuários.

Com esse post, nós, da Legalcloud, tivemos o objetivo de esclarecer de forma prática aos advogados e profissionais especializados em dados como adequar o tratamento de dados à LGPD.

Esperamos que você tenha gostado!

Com a nossa Calculadora de Prazos, ferramenta gratuita, você poderá simular seus prazos com facilidade de acordo com seu período de tempo, o Tribunal escolhido e a legislação (CPC, CPP, CLT e JEC), diminuindo o risco de você perder seu prazo.

Ainda tem mais: assinando o plano da Calculadora de Prazos, você terá acesso aos documentos que comprovam cada mudança em seu prazo, facilitando a comprovação de tempestividade.

Se tiver restado qualquer dúvida, conta para a gente nos comentários.

Sua opinião é muito importante para nós. 

Gostou? Compartilhe com seus amigos!

Share via