A We4you, reconhece a importância da privacidade de dados pessoais e sensíveis de seus clientes, colaboradores e fornecedores, em atendimento à Lei Geral de Proteção de Dados Pessoais – LGPD, deseja que você se familiarize com a maneira como há a coleta, o armazenamento e o tratamento e manutenção dos seus dados.
.
1-OBJETIVO
Este manual descreve a importância das expressões utilizadas pela Legislação.
2-DEFINIÇÕES
Introdução
Principais Conceitos
Aplicação da Lei
Princípios
Legalidade do Tratamento
Direitos do Titular
Transferência Internacional de Dados
Segurança e Boas Práticas
Conclusão
INTRODUÇÃO
Sua aprovação significou um marco do início de uma nova cultura tanto no setor privado como público: uma cultura de transparência centrada na pessoa física, na minimização do impacto e no aumento da segurança aplicada ao tratamento dos dados pessoais.
Muitos comparam a instituição de uma nova mentalidade pela LGPD com a instituída pelo Código de Defesa do Consumidor (CDC), a Lei nº 8.078 aprovada em 11 de setembro de 1990. O CDC determina maior transparência
nas relações com os consumidores, bem como maior proteção de seus
interesses em face de fornecedores de produtos e/ou serviços. A mudança de
cultura foi tão grande que, a partir de 2010,os estabelecimentos passaram a
ser obrigados por lei a manter um exemplar do CDC em local visível e de fácil
acesso ao público.
Já é possível observar mudanças crescentes e consistentes no mercado
com a implementação dos princípios e normas da LGPD nas organizações,
e isso tem se traduzido em ações de conscientização, textos mais claros
e transparentes em contratos e na política de privacidade dos portais,
maior contratação de ferramentas e sistemas de segurança da informação,
certificação de profissionais na matéria de proteção de dados, dentre outras.
A Lei Geral de Proteção de Dados, inspirada na GDPR europeia, foi sancionada em 17/09/2020 e se sua empresa não estiver adequada, com um efetivo compliance, poderá sofrer sanções administrativas, com a recente derrubada dos vetos à Lei 13853/2019, penalidades de suspensão do funcionamento de banco de dados até a regularização e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. A legislação prevê, ainda, a possibilidade de reparação por danos coletivos, em ação judicial, pelo descumprimento das obrigações previstas na legislação de proteção de dados.
PRINCIPAIS CONCEITOS
Em primeiro lugar, é importante definir bem os papéis e as expressões utilizadas pela Lei.
Os principais conceitos abordados pelo artigo 5º da LGPD são:
Autoridade Nacional
Órgão da administração pública responsável por fiscalizar o cumprimento da LGPD no território brasileiro.
Controlador
Pessoa física, ou entidade do setor público ou privado, que determina a finalidade e a forma de tratamento dos dados pessoais, dentre outros fatores relacionados ao processamento.
Dados anonimizados
Informações que se referem a pessoas físicas, mas que não podem ser ligados a nenhuma pessoa física específica nem direta, nem indiretamente, considerando-se os meios técnicos disponíveis. Exemplo: “mulher”, “faixa de 20 a 25 anos”, “vendedora”, “Estado de São Paulo”. Apenas com essas informações, não é possível determinar uma pessoa específica, um único CPF. Em geral, dados anonimizados são utilizados em estudos estatísticos.
Dados pessoais
Informações relacionadas a pessoas físicas que podem ser identificadas direta ou indiretamente, por meio de um conjunto de informações.
Dados pessoais sensíveis
Dentro da categoria de dados pessoais, os dados pessoais sensíveis são
exclusivamente as informações relacionadas à origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização
de caráter religioso, filosófico ou político, dado referente à saúde ou à vida
sexual, dado genético ou biométrico quando vinculadas a uma pessoa física.
Encarregado
Também chamado de Data Protection Officer (DPO), o Encarregado pela Proteção de Dados é uma pessoa indicada pelo Controlador/Operador para
agir como canal de comunicação entre o Controlador e os titulares de dados,
e entre o Controlador e a Autoridade Nacional de Proteção de Dados (ANPD).
O DPO pode tanto ser interno à organização como externo, em regime de
contratação de prestação de serviços (também conhecido como “DPO as a
service”).
Operador
Pessoa física, ou entidade do setor público ou privado, que realiza o tratamento dos dados pessoais em nome do Controlador.
Tratamento
Toda e qualquer operação com dados pessoais. Alguns exemplos: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Titular de dados
Pessoa física a quem os dados se referem.
A WE4YOU
Considerando as definições legais de Controlador e Operador, a We4you se enquadra como “Controladora” dos dados pessoais sob sua responsabilidade, pois determina quais dados serão coletados, como eles serão modelados e armazenados, quais medidas de segurança da informação serão aplicadas ao tratamento, como esses dados serão disponibilizados e para quais finalidades, e determina todas as demais We4you pode se enquadrar como “Operadora”.
APLICAÇÃO DA LEI
Aplicações de acordo com o artigo 3º da LGPD, estão sujeitas à aplicação da lei todos os tratamentos de dados pessoais.
EXCEÇÕES
A Lei traz exceções expressas à aplicação da LGPD, que se resumem aos tratamentos de dados pessoais realizados para fins:
particulares e não econômicos;
exclusivamente jornalísticos, artísticos ou acadêmicos;
exclusivamente de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, e que não tenham nenhum contato com o Brasil em toda a cadeia do processamento.
A WE4YOU E A LGPD
Como a We4you coleta dados pessoais no Brasil e realiza o tratamento de dados pessoais no Brasil, a LGPD é aplicada às operações de tratamento realizadas pela empresa.
PRINCÍPIOS
A Lei estabelece que os seguintes princípios devem ser observados no tratamento de dados pessoais.
ADEQUAÇÃO
Tratar os dados pessoais de forma compatível com as finalidades informadas ao titular dos dados.
FINALIDADE
Tratar os dados pessoais para objetivos legítimos, específicos, explícitos e informar ao titular.
LIVRE ACESSO
Garantir ao titular dos dados a consulta gratuita e facilitada aos seus dados pessoais tratados, bem como a forma e duração do tratamento.
NÃO DISCRIMINAÇÃO
Não utilizar o tratamento para fins discriminatórios, ilícitos ou abusivos.
NECESSIDADE
Tratar somente os dados necessários, tanto somente em questão de categorias de dados, como em proporção, o mínimo possível para atingir as finalidades.
RESPONSABILIDADE
Responsabilização e prestação de contas, demonstrar a adoção de medidas eficazes para comprovar a observância e o cumprimento das normas de proteção de dados.
SEGURANÇA
Utilizar Medidas técnicas, administrativas/organizacionais, para proteger os dados pessoais de tratamento não autorizado, seja intencional ou acidental.
TRANSPARÊNCIA
Dar acesso aos titulares e informações claras, precisas e facilmente acessíveis, sobre o tratamento de seus dados pessoais, resguardados os segredos comercial e industrial.
A WE4YOU E A LGPD
A We4you aplica em sua operação todos os princípios estabelecidos pela LGPD. Apenas para exemplificar alguns deles, vejamos os quatro últimos:
Qualidade dos dados: A We4you assegura que os dados estão atualizados e refletem exatamente como estão disponíveis na fonte original.
Os prestadores de Serviços de Tecnologia da Informação que prestam serviços a We4you, possuem certificações para o desempenho das atividades de segurança da informação.
A governança de dados, também engloba melhores práticas para a gestão das operações com dados, da qualidade dos dados, bem como da plataforma e arquitetura envolvidas, dentre outros aspectos.
Segurança: Treinamentos internos para desenvolver a cultura de confidencialidade da equipe.
Transparência: Todas as informações sobre o tratamento dos dados que a We4you coleta diretamente dos titulares encontram-se no Aviso de Privacidade do Site. No mais, a We4you também disponibilizou a Política de Tratamento de Dados.
Havendo qualquer dúvida, o titular poderá entrar em contato pelo e-mail:
Christianne Sauá Xavier DPO (Data Protection Officer)- Encarregado de proteção dos dados pessoais da empresa We4you Suporte Efetivo para Carreiras e-mail Chris.saua@we4you.com.br 19 99963-6703.
LEGALIDADE DO TRATAMENTO
De acordo com o artigo 7º e 11º da LGPD, os dados pessoais e dados pessoais sensíveis somente podem ser tratados se tiverem ao menos uma das bases legais elencadas a seguir:
Consentimento do titular
Cumprimento de obrigação legal ou regulatória
Execução de políticas públicas pela administração pública
Realização de estudos por órgão de pesquisa
Execução de contrato ou procedimentos preliminares com o titular e a pedido do titular
Exercício de direito em processo judicial, administrativo ou arbitral
Proteção da vida e incolumidade física
Tutela da saúde em procedimento feito por profissionais ou serviços de saúde, ou autoridade sanitária
Interesse legítimo
Proteção do crédito
Prevenção à fraude e à segurança do titular
DADOS ABERTOS
Além disso, é importante lembrar que, dentro do chamado “ordenamento jurídico” do conjunto de leis do país, as leis devem conversar entre si, criando
um sistema. Dessa forma, o tratamento de dados permitido por outros atos
normativos, como a Lei de Acesso à Informação (Lei nº 12.527/2011), o
Decreto nº 7.724/2012, a Instrução Normativa SLTI/MP nº 4/2012 e o Decreto
nº 8.777/2016 (em conjunto, “Política de Dados Abertos”) já está devidamente
autorizado por lei.
De acordo com a Política de Dados Abertos, o sigilo de informações é a exceção, cabendo aos órgãos públicos a responsabilidade de restringi-las conforme a necessidade. Da mesma forma, cabe aos órgãos públicos observar o conceito de transparência ativa, por meio da divulgação de todas as informações de interesse coletivo ou geral por iniciativa própria, independentemente de requerimento.
A WE4YOU E A LGPD
Os dados provêm de parcerias estratégicas com garantias contratuais de legalidade dos dados e transparência ao titular quanto ao tratamento feito pela We4you. As bases legais utilizadas para o tratamento dos dados pessoais disponibilizados são determinadas pela sua finalidade de uso.
DIREITOS DO TITULAR
Pela leitura do artigo 18 da LGPD, A PESSOA FÍSICA TEM OS SEGUINTES DIREITOS:
I.confirmação da existência de tratamento;
II. acesso aos dados;
III. correção de dados incompletos, inexatos ou desatualizados;
IV. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
V. portabilidade dos dados a outro fornecedor de serviço ou produto
mediante requisição expressa, de acordo com a regulamentação da
autoridade nacional, observados os segredos comercial e industrial;
VI. eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no artigo 16 da Lei(cumprimento de obrigação legal ou regulatória pelo controlador; estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD, ou uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados);
VII. informação das entidades públicas e privadas com as quais o controlador realizou o uso compartilhado de dados;
VIII. informação sobre a possibilidade de não fornecer consentimento e
sobre as consequências da negativa;
IX. revogação do consentimento, nos termos do § 5º do artigo 8º da Lei, segundo o qual “o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação”.
A WE4YOU E A LGPD
A We4you a coleta dados de outros Controladores de dados dos titulares, tornando-se co-Controladora dos dados (exceto quando atua como operadora). Dessa forma, há direitos que a We4you consegue efetivar para o titular de dados diretamente, e outros que dependem de uma ação do controlador originário dos dados pessoais do titular.
A We4you poderá, portanto, efetivar diretamente os direitos dos titulares em alguns casos, e, em outros, poderá direcionar o titular ao Controlador originário para que o direito seja exercido de forma plena.
TRANSFERÊNCIA DE DADOS INTERNACIONAIS
O artigo 33 da LGPD determina que:
A TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS SOMENTE É PERMITIDA:
I. para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD;
II. quando o controlador comprovar o cumprimento dos princípios, direitos do titular e do regime de proteção de dados previstos na LGPD, na forma de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais, normas corporativas globais ou selos, certificados e códigos de conduta regularmente emitidos;
III. quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
IV. quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
V. quando a autoridade nacional autorizar a transferência;
VI. quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
VII. quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade.
VIII. quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades;
IX. quando necessário para cumprimento de obrigação legal ou regulatória pelo controlador, quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados ou para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
A WE4YOU E A LGPD
SEGURANÇA
Segundo o artigo 46 da LGPD, o Controlador e o Operador devem “adotar medidas de segurança, técnicas e administrativas aptas a proteger os
dados pessoais de acessos não autorizados e de situações acidentais ou
ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de
tratamento inadequado ou ilícito”. Isso significa que esses agentes devem (i) implementar sistemas, ferramentas e serviços aptos a proteger e monitorar o tratamento de dados pessoais, e (ii) apresentar políticas, normas e
procedimentos internos que orientem a atuação dos colaboradores em prol
da proteção de dados pessoais.
A WE4YOU E A LGPD
A We4you assegura proteção em todas as suas operações de tratamento de dados, desde a coleta até o descarte seguro. Também exige que todos os seus colaboradores envolvidos no tratamento de dados assinem o Termo de Confidencialidade, promovam treinamentos em matéria de Segurança da Informação e Proteção de Dados, aplicando as medidas apropriadas para garantir a integridade dos dados.
CONCLUSÃO
A LGPD instituiu novos conceitos, princípios, direitos e obrigações que, em conjunto, traduzem uma nova cultura de Mercado nas operações com dados pessoais, de maior transparência e segurança.
A We4you sempre teve atenção e cuidado especial com a gestão e proteção de dados, e, ao longo das seções, foi possível verificar como a We4you já implementou os controles da LGPD em sua operação.
O assunto é extenso, mas esperamos que esse material possa contribuir para a disseminação de conhecimento dos principais tópicos da LGPD e para a transparência em relação ao tratamento de dados pessoais realizado pela We4you.
55 19 99963-6703 www.we4you.com.br Chris.saua@we4you.com.br