A Lei nº 13.709/2018 é conhecida como Lei Geral de Proteção de Dados e tem por objetivo efetivar a privacidade num mundo cada vez mais dinâmico e movido por dados. Por meio de fundamentos, princípios, e regras a serem observadas por empresas, órgãos públicos e organizações de qualquer natureza, a intenção da LGPD é promover um ambiente de uso responsável de dados pessoais.
Objeto de proteção específica da LGPD, dados pessoais são informações que identificam ou tornam identificável uma pessoa natural. A LGPD, portanto, protege dados de diversos tipos e utilizados em várias categorias de tratamento, tais como:
1 – Dados de Identificação, como seu nome e um documento de identidade
2 – Dados de Contato, como seu telefone, endereço ou e-mail
3 – Dados Profissionais, como seu local de trabalho ou sua qualificação
4 – Dados Comportamentais, como histórico de navegação online ou preferências e de consumo
5 – Dados Geo-econômicos, como geolocalização, nacionalidade, rendimentos
6 – Dados Indiretos, tais como placa de seu automóvel ou endereço de IP de seu computador
Alguns dados pessoais são especialmente protegidos pela lei. São considerados sensíveis, pois podem levar o titular a ameaça, preconceito ou constrangimento, tais como orientação sexual, credo religioso, filiação partidária, etnia, dados biométricos e informações de saúde.
Dentro do contexto de efetivação da privacidade, a LGPD determina que dados pessoais só podem ser tratados se houver um fundamento legal que o autorize. Em outras palavras, os dados pessoais só podem ser tratados se presentes uma ou mais das seguintes hipóteses:
1 – Consentimento para o tratamento
2 – Cumprimento de deveres legais ou regulatórios
3 – Tratamento pela Administração Pública para execução de políticas públicas
4 – Realização de estudos por órgãos de pesquisa
5 – Quando necessário para cumprimento de contrato ou tratativas preliminares
6 – Quando necessário para exercício de direitos em processo judicial ou administrativo
7 – Quando necessário para proteger a vida ou incolumidade física do titular ou terceiro
8 – Por profissionais de saúde em procedimentos que tutelam a saúde
9 – Para atendimento de interesses legítimos, observando os direitos dos titulares
10 – Para proteção de crédito
Para os dados sensíveis, que como já destacamos tem maior proteção da lei, as hipóteses de tratamento são ainda mais limitadas. Por isso esse tratamento deve ser cuidadosamente avaliado antes de ser promovido.
A Lei estabelece uma série de condições e cuidados a serem adotados para que o tratamento de dados pessoais seja considerado legítimo. Dentre fundamentos, princípios e regras de governança estabelecidas em lei, destacamos alguns pontos cruciais.
Transparência: Os agentes de tratamento de dados devem se preparar para comunicar com franqueza e assertividade suas atividades que envolvem processamento de dados pessoais.
Legitimidade: o tratamento de dados deve ter uma finalidade previamente declarada e amparada por uma base legal. O tratamento deverá ser adequado ao fim pretendido, a fim de que se evite o desvio de finalidade, hipótese que configura violação de privacidade.
Segurança: os dados pessoais, ainda que tratados com legitimidade, devem ser protegidos contra acesso indevido por terceiros, roubos, perda, modificação não autorizada ou uso discriminatório. Os agentes de tratamento precisam adotar controles técnicos ou administrativos para evitar exposição a esses riscos.
Atendimento aos Titulares: os titulares de dados pessoais são detentores de direitos que deverão ser observados pelos agentes de tratamento de dados. As empresas, organizações e instituições devem estruturar atendimento a eventuais solicitações de confirmação de existência de tratamento, pedidos de atualização ou correção de dados, oposições ao tratamento e revogações de consentimento.
Na CHECKLIST FÁCIL a preocupação com o respeito à privacidade de clientes, parceiros e colaboradores integra nossos esforços para atingir nossa missão corporativa. Queremos ofertar nossos serviços sem descuidar da proteção de dados pessoais, assegurando comprometimento com o tratamento legítimo, seguro e eficiente de dados.
Para atender a LGPD, estruturamos um programa de governança em privacidade e proteção de dados pessoais, voltados a instituir o comprometimento de toda empresa por ações de cultura de proteção de dados, assegurar legitimidade de tratamento, reforçar controles de segurança e estruturar o atendimento a titulares de dados pessoais.
Para cumprir a LGPD e outras leis de proteção de dados, a Checklist Fácil definiu uma estratégia de privacidade englobando uma estrutura abrangente de políticas, procedimentos, recursos e colaboradores.
Além de formar o time de privacidade, que coordena o Programa de Privacidade, a estratégia passou por executar uma avaliação de seus processos internos para identificar os dados pessoais tratados, suas finalidades, forma de processamento e base legal, possibilitando a identificação de riscos de privacidade.
Para que o levantamento fosse executado, e os riscos identificados fossem controlados, a empresa estruturou uma série de políticas e procedimentos voltados a controlar, reduzir ou afastar os riscos de privacidade.
Esses procedimentos envolvem adoção de práticas de avaliação de impacto à proteção de dados, formatação de procedimentos de atendimento a titulares e de gestão de resposta a incidentes, planejamento de avaliação e evolução do programa, entre outras medidas gerenciais.
Enquanto desenvolvedores e titulares dos direitos sobre a Ferramenta Checklist Fácil, nós disponibilizamos o sistema a clientes e a partir da contratação de licença de uso, passaremos a tratar dados, incluindo aqueles classificados como pessoais, na condição de Operadora, na forma do art. 39 da LGPD.
Isso significa que a Checklist Fácil não avalia a legitimidade dos dados que são inseridos no sistema por seus clientes, tampouco se responsabiliza pela base legal ou qualidade dos dados. A Checklist Fácil executará o processamento de dados (tratamento) de acordo com orientações fornecidas pelo controlador, que nesse caso, é nosso cliente.
Queremos ajudar nossos clientes a executaremos tratamento de dados na forma da lei, mas cabe a cada um de nossos contratantes assegurar que:
1 – Os dados utilizados e inseridos no sistema possuem legitimidade;
2 – Seus usuários estejam conscientizados para uso adequado e sem desvio de finalidade desses dados;
3 – Que os dados sejam inseridos com qualidade e precisão, e sejam atualizados para atender solicitações dos titulares
4 – Adotem estrutura adequada para atender aos diversos direitos dos titulares de dados pessoais.
Enquanto operadores no tratamento de dados pessoais, nós nos comprometemos a adotar controles adequados de segurança e mitigação de riscos de privacidade.
Na execução das atividades de processamento de dados, e, portanto, enquanto Operadora na forma da LGPD, a Checklist Fácil se compromete a adotar medidas apropriadas de controles gerenciais e técnicos de segurança de dados, voltados a dificultar ou inviabilizar o acesso indevido, perda, roubo, modificação não autorizada e a indisponibilidade de dados pessoais.
A plataforma Checklist Fácil ajuda nossos clientes a atenderem o art. 46 da LGPD, pois o sistema envolve emprego nativo de medidas de segurança.
O sistema possui medidas de controle técnico, tais como: (i) Gestão de Permissões de Acesso; (ii) Usuários Exclusivos; (iii) Regras de complexidade e expiração de senha; (iv) Procedimento e Revogação e Alteração de Acessos; e (v) Registro de logs de acesso e de emissão de relatórios.
Além disso, os dados são tratados com emprego de recurso de criptografia de dados em repouso e em trânsito.