Lei Geral de Proteção de Dados

Confira os principais tópicos sobre a temática da LGPD!

O que é privacidade?
É o direito à reserva de informações pessoais e da própria vida pessoal. Na legislação brasileira, o direito à privacidade é garantido no art. 5º da Constituição Federal:

“Art. 5º. Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:

  • X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.”

O que é Proteção de Dados Pessoais?
A proteção de dados é definida como os processos, técnicas, ferramentas e metodologias aplicadas com a finalidade de proteger as informações/dados pessoais contra ameaças internas e externas, além de garantir que leis e regulamentações sobre Privacidade de Dados estejam sendo observadas.

O que é Segurança da Informação?
É um conjunto de medidas necessárias para garantir que sejam preservadas a confidencialidade, a integridade e a disponibilidade das informações de uma organização
ou indivíduo de forma a preservar tais informações de acordo com necessidades específicas. O principal objetivo da Segurança da Informação é proteger os dados e não somente os ativos físicos e tecnológicos por onde passam ou estão armazenados.

A Boa Vista tem um Encarregado pelo Tratamento de Dados Pessoais/DPO?
Sim, a Equifax BoaVista tem uma pessoa indicada para atuar como canal de comunicação entre a empresa, os titulares dos dados e a Agência Nacional de Proteção de Dados (ANPD).
Seguem os contatos do nosso encarregado se quiser exercer seus direitos de titular ou se for um órgão público e precisar entrar em contato:

Nome: Glauco Alves Costa da Silva
E-mail: bvs_dpo@equifax.com
Tel.: 3003-0201

 

Aspectos Gerais da Lei Geral de Proteção de Dados

 

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018 e suas posteriores alterações), chamada de LGPD, regulamenta o uso de dados pessoais de pessoas
físicas no Brasil, estabelecendo regras sobre o tratamento desses dados, nos meios físicos e digitais. O objetivo da LGPD é proteger os direitos fundamentais de liberdade e privacidade.

De maneira geral, a lei garante ao titular dos dados mais controle e possibilidade de saber de forma transparente como são usados, possibilitando que ele possa exercer seus direitos.

As empresas e pessoas físicas que usam os dados pessoais para fins de oferta ou fornecimento de bens ou serviços precisam ser transparentes a respeito da finalidade do uso, armazenamento e consumo dos dados utilizados.


As demais legislações continuam a ter validade com a entrada da LGPD?
Sim, as demais legislações continuam em vigência, a LGPD não revoga nenhuma. As legislações convivem em harmonia e são trabalhadas em conjunto (art. 64).

Podemos destacar como um exemplo de que as leis devem conviver em harmonia com o disposto no art. 7º, X, da LGPD, em que se estabelece como base legal para tratamento a proteção do crédito, com a citação expressa de que deve ser observado o disposto na legislação pertinente. Portanto, quando se fala da proteção ao crédito, além da LGPD também devemos aplicar as disposições como as do Código de Defesa do Consumidor, que em seu art. 43 trata dos bancos de dados, e a Lei 12.414/2011, que regula o Cadastro Positivo.

O que é tratamento de dados para a LGPD?
É toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Em resumo, encostou no dado, está tratando o dado.

Quem está sujeito à LGPD?
As novas regras afetam todos os setores da economia, inclusive as relações entre clientes e fornecedores de produtos e serviços, empregado e empregador, e outras relações nas quais dados pessoais são coletados, tanto no ambiente digital quanto fora dele.

Sendo assim, todas as operações de tratamento realizadas por pessoas físicas ou jurídicas (públicas ou privadas) estão sujeitas à LGPD, até mesmo se os dados não estiverem localizados no País. Se os dados pessoais tiverem sido coletados no Brasil ou o tratamento for realizado aqui ou com objetivo de fornecer serviços em território nacional ou para quem esteja no País, estão sujeitos à LGPD.

Qual é a diferença entre controlador e operador?
O controlador é quem toma as decisões sobre os tratamentos daqueles dados. Já o operador é quem atua sobre os dados, isto é, executa os tratamentos de acordo com as definições do controlador. 

Em quais hipóteses os dados pessoais podem ser tratados?
A lei traz 11 hipóteses que autorizam o tratamento de dados pessoais com igual importância, a saber:

  1. Proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
  2. Cumprimento de obrigação legal ou regulatória pelo controlador.
  3. Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados.
  4. Interesses legítimos do controlador ou de terceiros, para apoio e promoção de atividades do controlador e, ao mesmo tempo, proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitados as legítimas expectativas dele e os direitos e as liberdades fundamentais nos termos da LGPD.
  5. Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios e outros.
  6. Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais.
  7. Exercício regular de direitos em processo judicial, administrativo ou arbitral.
  8. Proteção da vida ou da incolumidade física do titular ou de terceiros.
  9. Tutela da saúde.
  10. Consentimento, dado pelo titular de dados;
  11. Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.


Sempre que houver tratamento de um dado pessoal, deve-se ter uma base legal?
Sim, todo e qualquer tratamento de dados pessoais deve estar fundamentado ao menos em uma das bases legais da LGPD. Nenhum dado pessoal pode ser tratado sem que haja uma correta definição da base legal.

Só posso tratar o dado pessoal se tiver consentimento do titular?
Como vimos, o consentimento é somente uma das 11 hipóteses da LGPD para tratamento dos dados pessoais, mas não é a única. Não é mais importante que nenhuma outra, visto que não há hierarquia entre as bases legais definidas pela LGPD. Portanto, se o tratamento tiver como base legal uma outra hipótese da LGPD, o tratamento é permitido.

Lembrando que, ao utilizar o consentimento, ele deve ser inequívoco e expresso, e ser definida sua finalidade. O titular dos dados deve desejar por sua vontade a coleta e o tratamento dos seus dados que estão sendo fornecidos. Um exemplo de consentimento inequívoco é quando você entra num site e este informa que, para prosseguir com a navegação, é necessário consentir com os Termos de Uso e o titular continua com a navegação sabendo que, com isso, aceitou os termos colocados.

O que é GBD (gestor de banco de dados)?
É uma definição contida na Lei 12.414/2011 e posteriores alterações, na qual, para fins de Cadastro Positivo, GBD é a pessoa jurídica que atende aos requisitos da referida lei, sendo a responsável pela administração de bancos de dados com dados positivos, bem como
pela coleta, pelo armazenamento, pela análise e pelo acesso de terceiros aos dados armazenados.


O que é Cadastro Positivo?
Funciona como um boletim escolar que registra os pagamentos que você fez no seu histórico de crédito, transformando esse comportamento em nota (ou pontuação). Por isso, permite uma análise mais justa na hora que você pedir crédito, pois sua capacidade de pagamento também será considerada.

Qual a diferença do Cadastro Positivo com a LGPD?
São duas leis distintas e cada qual tem suas funções. A lei que regula o Cadastro Positivo disciplina a formação e consulta a bancos de dados com informações de adimplemento, para formação de histórico de crédito. A LGPD regulamenta o tratamento de dados pessoais. As duas leis se complementam pois o Cadastro Positivo envolve o tratamento de dados pessoais, e a LGPD regulamenta esse tratamento.

Qual a diferença entre as bases legais (hipóteses) e os princípios da lei?
Todo tratamento de dados pessoais deve estar fundamentado ao menos em uma das 11 bases legais (proteção ao crédito, legítimo interesse, consentimento, entre outras). Já os 10 princípios (por exemplo, qualidade, livre acesso, finalidade) devem ser seguidos integralmente em todos os tratamentos de dados, norteando as decisões acerca do tratamento de dados pessoais.

Por exemplo, para que uma padaria possa fazer o cadastro dos seus clientes, ela deve verificar se há base legal que permita essa operação. Ao optar pela base legal Consentimento, cada cliente deverá autorizar a coleta dos seus dados. 
Autorizado o tratamento, a padaria deverá agora garantir que todos os princípios sejam atendidos. Por exemplo, a padaria deve restringir a coleta aos dados pessoais que façam sentido para um cadastro, atendendo aos princípios da adequação, finalidade e necessidade.

O que é Privacy by Default e Privacy by Design?
Privacy by Default se refere à “cultura da privacidade”, à atitude que precisamos ter constantemente: sempre pensar primeiro na privacidade quando tratamos dados pessoais.

Quando isso é aplicado aos nossos processos produtivos, entra o Privacy by Design, que significa aplicar esse raciocínio de proteção desde a concepção até a execução dos produtos e serviços.

Um exemplo é quando um aplicativo pergunta se o usuário permite utilizar a localização. Os desenvolvedores pensaram na privacidade ao permitir a decisão do usuário.

Na mesma linha, o celular vem com a opção de segurança, como senha ou biometria, ou não usar nenhuma opção segura, mas a escolha é do usuário.


Direitos do Titular


Quais são os direitos do titular?
De acordo com o artigo 18, da LGPD, os direitos do titular são:

  • Acesso facilitado aos dados.
  • Correção ou atualização dos seus dados.
  • Anonimização, bloqueio ou eliminação dos seus dados.
  • Eliminação de dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD.
  • Revogação do consentimento.
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
  • Portabilidade dos dados.
  • Informação sobre a existência e finalidade específica do tratamento dos dados, forma e duração, assim como sobre o possível compartilhamento.
  • Oposição ao tratamento irregular e à reclamação à autoridade.
  • Revisão dos tratamentos de dados baseados em decisões automatizadas.


Dessa forma, um titular pode impedir que a Equifax BoaVista trate seus dados?
Todo tratamento de dados pessoais deve ser fundamentado em uma base legal que o justifique. Se o tratamento seguir essas premissas, a Equifax BoaVista poderá dar continuidade ao tratamento.

Por exemplo, uma pessoa que teve seu nome negativado (em que a base legal é a proteção do crédito) exige que esse tratamento seja interrompido, esse titular de dados está buscando o direito de oposição ao tratamento. Porém, esse direito é aplicável apenas para tratamentos irregulares e abusivos; o que não é o caso da negativação que segue as leis vigentes e tem como base legal de proteção do crédito da LGPD. Dessa forma, o titular dos dados não pode se opor ao tratamento.

Porém, se o tratamento for baseado em consentimento, o titular dos dados pode interromper o tratamento?
Sim, nesta hipótese a base legal de consentimento deixa a decisão para o titular. O titular dos dados tem o direito de consentir e revogar o consentimento sempre que achar necessário. Quando der o consentimento, tem de ser expresso e inequívoco.
O Termo de Consentimento deve ser bem explicado, de fácil entendimento, descrevendo a finalidade de todos os tratamentos a que o dado pessoal está sujeito, como esses dados poderão ser compartilhados e qual a duração do tratamento.
E esse consentimento não pode ser condicionado a nenhuma troca. Da mesma forma, sua revogação deve ser de fácil acesso.


Uma empresa poderá, sem prejuízo, recusar-se a prestar atendimento caso o consumidor não queira consentir, mesmo quando a finalidade for explicada?
Depende da situação. Se o consentimento for, por exemplo, para armazenamento de informações cadastrais que visam garantir que o titular dos dados é quem diz ser, e o titular não consentir mesmo após a explicação, a empresa poderá não atender à solicitação,
pois não conseguirá garantir a segurança do próprio titular (um impostor pode se passar por ele e não haverá registros desse fato). A lei dá direitos ao titular, porém, tais direitos não se sobrepõem a obrigações como essa em que a empresa precisa fazer a validação para evitar que uma pessoa se passe por outra.

O que é portabilidade dos dados?
É o direito do titular de transferir seus dados para outro controlador. Um exemplo é transferir os dados de saúde, como resultados de exames, de um laboratório para outro.

O que é revisão dos tratamentos de dados baseados em decisões automatizadas?
Decisão automatizada consiste na tomada de decisão baseada, apenas, em meios automáticos, sem envolvimento humano. O direito à revisão permite ao titular solicitar que a decisão automatizada seja revisada pelo controlador.

 

Regulamentação da LGPD


Quais sanções podem ser aplicadas pela ANPD a um agente de tratamento em caso de descumprimento da LGPD?

  • Bloqueio do tratamento.
  • Eliminação dos dados.
  • Advertência.
  • Publicização da infração.
  • Multa (até 2% do faturamento) limitada, no total, a R$ 50 MM (cinquenta milhões de reais) por infração.
  • Multa diária (mesmo teto).


Essas sanções já são predefinidas?
Não, a ANPD levará em consideração os critérios abaixo:

  • Reincidência.
  • Medidas corretivas.
  • Condição econômica.
  • Proporcionalidade.
  • Proteção de dados.
  • Boas práticas e governança.
  • Cooperação do infrator.
  • Grau do dano/gravidade.
  • Vantagem obtida ou pretendida.

O que é publicização?
Significa dar publicidade ao fato, isto é, assumir publicamente a responsabilidade pelo ocorrido.

O que é responsabilidade solidária?
Na LGPD, existe a “solidariedade”, o que quer dizer que os controladores e operadores podem responder, juntos, pela responsabilidade sobre tratamento de dados pessoais que gere danos ao titular (salvo nos casos de exclusão previstos na Lei).

 

Segurança dos Dados Pessoais


O que é incidente de privacidade?
É um incidente que fere a privacidade de uma pessoa. 
Pode ser, por exemplo, acesso não autorizado aos dados pessoais, incidentes ou ilícitos que causem alteração, eliminação, divulgação dos dados pessoais, entre outros. 

Quais as melhores práticas para evitar um incidente?
• Pensar sempre em privacidade (Privacy by Default e Privacy by Design).
• Seguir as recomendações da empresa quanto às senhas seguras.
• Não compartilhar senhas e jamais anotá-las; principalmente, nunca as escrever em cadernos ou post-its.
• Encaminhar arquivos somente por meios seguros homologados pela empresa.
• Copiar somente as pessoas necessárias em e-mails.
• Certificar-se de que os endereços de e-mail estão corretos.
• Conectar-se com frequência à VPN ou à rede da empresa para atualizações sistêmicas.
• Autenticação do usuário, para que uma pessoa não se passe por outra para acessar dados pessoais.

Quais tecnologias auxiliam a segurança dos dados?
Além de seguir todas as melhores práticas para evitar um incidente de privacidade, podemos contar com a tecnologia para aumentar a segurança. Duas técnicas são muito importantes: criptografia e anonimização dos dados pessoais.

Os dados criptografados são aqueles submetidos a um processo que os torna ininteligíveis para quem não tiver a chave que os decodifica.

Já os dados anonimizados não têm a tal chave. A anonimização é irreversível e faz com que os dados não possam mais ser relacionados a uma determinada pessoa. A LGPD não considera os dados anonimizados como dados pessoais. Portanto, dados anonimizados estão fora do escopo da LGPD.

O que pode ser feito pelos colaboradores de um agente de tratamento para garantir a segurança ao usar um equipamento como computador ou celular?
• Bloquear o computador e celular quando não estiverem em uso.
• Usar senhas complexas e atualizá-las periodicamente.
• Usar senhas diferentes para contas diferentes.
• Não discutir assuntos confidenciais da companhia em lugares públicos.

• Destruir as informações corretamente quando não forem mais necessárias.
• Usar configurações de privacidade em mídia social para restringir o acesso a informações pessoais.
• Informar a Segurança da Informação quando ocorrer algo suspeito.
• Pensar sempre primeiro em privacidade (Privacy by Default e Privacy by Design), seja ao desenvolver um novo produto ou software ou criar um processo, por exemplo.
• Aplicar o princípio da minimização: “Menos é mais.”
• Verificar se o tratamento que está executando tem validade jurídica e conforme previsto em contrato.

O que não deve ser feito para garantir a segurança?
• Não clicar em links ou fazer download de anexos suspeitos.
• Não enviar e-mails corporativos para o e-mail pessoal.
• Não usar o e-mail corporativo para fins pessoais.
• Não deixar contratos e documentos à vista.
• Não esquecer armários e gavetas abertos.
• Não compartilhar crachá de identificação, nem deixá-lo desacompanhado.
• Não fornecer informações confidenciais a desconhecidos.
• Não conversar assuntos da empresa em elevadores, restaurantes, nem trabalhar em locais públicos.
• Não compartilhar senhas, nem anotá-las em pedaços de papel ou deixá-las salvas no navegador.
• Não publicar informações privadas/confidenciais.
• Não instalar programas não autorizados no seu computador de trabalho.
• Não inserir pendrives de origem desconhecida.
• Não deixar dispositivos desacompanhados.
• Não deixar wi-fi ou Bluetooth ligados quando não estiverem em uso.

Como evidência de que a Equifax BoaVista adota as melhores práticas de mercado, quais certificações possui?
ABNT NBR ISO/IEC 27001 – Sistema de Gestão da Segurança da Informação
ABNT NBR ISO/IEC 27701 - Técnicas de Segurança para Gestão da Privacidade da Informação
ABNT NBR ISO 9001 – Sistema de Gestão da Qualidade


O que é a Certificação ABNT NBR ISO/IEC 27001?
A Certificação de Sistema de Gestão de Segurança da Informação (SGSI) é um padrão de referência internacional e significa que a empresa certificada possui um nível de maturidade em seus processos com relação à Segurança da Informação, passando maior credibilidade aos clientes e parceiros de negócios.

Princípios do Sistema de Gestão de Segurança da Informação: Confidencialidade, Integridade e Disponibilidade.

O que é a Certificação ABNT NBR ISO 27701?
A certificação de Sistema de Gestão da Privacidade da Informação – SGPI é um padrão de referência internacional, extensão da ISO/IEC 27001, e significa que a empresa certificada possui um processo de gerenciamento e mitigação de riscos relacionados à proteção e privacidade envolvidos em todo o ciclo de vida dos dados pessoais.
Ter a Certificação é uma prova de estar em conformidade com a Lei Geral de Proteção de Dados (LGPD).

O que é a Certificação ABNT NBR ISO 9001?
A Certificação do Sistema de Gestão da Qualidade (SGQ) possui ferramentas de padronização, é um modelo seguro para Gestão da Qualidade, trazendo confiança ao cliente de que os produtos e serviços da empresa serão criados de modo consistente, adquirindo uma qualidade de acordo com aquilo que foi definido pela empresa. Nessa norma, muito se aplica a ferramenta da qualidade: o Ciclo PDCA (Plan-Do-Check-Action), que significa Planejar, Fazer, Checar e Agir.

Princípios de Gestão da Qualidade: Foco no Cliente, Liderança, Abordagem de Processo, Abordagem Sistêmica para a Gestão, Envolvimento das Pessoas, Melhoria Contínua, Abordagem Factual para Tomada de Decisões e Benefícios Mútuos nas Relações com os Fornecedores.