No Dia 27 de Outubro, às 20h30 Fizemos um ZOOM MEETING (Webinar ao vivo), que falava sobre a LGPD (Lei Geral de Proteção de Dados Pessoais). Sim ela já está valendo! Empresas e obras sociais, que usam dados pessoais de clientes, colaboradores, parceiros ou fornecedores, precisam se adaptar às novas regras. Você já conhece a nova lei?

Segue aqui link para você assistir ao encontro:

E aqui você encontrará para Download as apresentações usadas:

Ao final do encontro algumas perguntas ainda ficaram sem respostas, segue abaixo por escrito estas respostas:

PERGUNTA: Explicar mais o que ela falou sobre o consenso? Ela disse de não pedir, mas não é uma obrigação explicita da lei? O que não estou entendendo?

RESPOSTA: O consentimento é definido pela LGPD como sendo uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Além disso, a lei estabelece que o consentimento deverá sempre ser expresso ou que demonstre claramente a manifestação de vontade do titular, de forma que o Controlador terá sempre que deter meios de comprovar que o consentimento foi livremente dado pelo titular. Além disso, o consentimento, nos termos do art. 8°, § 5°, da LGPD, poderá ser revogado a qualquer momento pelo titular mediante sua manifestação expressa. Assim, quando falamos que o consentimento deve ser uma base legal a ser evitada é justamente porque ao Controlador são impostas obrigações e controles adicionais para garantir que tal consentimento tenha sido legalmente obtido, bem como impõe ao Controlador a obrigação de dispor de meios técnicos suficientes para controlar sua base de dados quando um único titular solicitar a revogação. Como dito, o consentimento é apenas uma entre as 10 bases legais previstas no artigo 7°, como sendo necessária a qualquer tratamento de dados pessoais seja realizado pelo Controlador, de forma que se um tratamento puder se legitimar em qualquer outras delas, poderá facilitar a rotina de controle operacional da base dados pessoais do Controlador. De qualquer forma, importante dizer que para alguns tratamentos de dados específicos o consentimento sempre será necessário ser obtido, como por exemplo, quando envolver tratamento de dados pessoais de crianças ou de dados sensíveis, sem que se enquadre em uma das exceções do artigo 11, II, da LGPD, entre outros.

PERGUNTA: Caso tenha um vazamento de dados, como o titular pode solicitar ao controlador a verificação destes dados afim de saber se estes dados são teus? Gerenciando muitos contatos seria bom poder garantir o direito a ver/corrigir/deletar os próprios dados através do site web da empresa. Porém, como posso identificar quem é o usuário que está pedindo via web, no caso que não tenho cadastro dos usuários?

RESPOSTA: O titular de dados poderá solicitar ao Controlador a verificação de seus dados pessoais, ou de um incidente de vazamento, com base no artigo 18 da LGPD, podendo, sempre e a qualquer momento, exercer o direito de obter do Controlador, mediante requisição: a confirmação, acesso, correção, anonimização, bloqueio, eliminação, portabilidade e também revogação do consentimento, se tiver sido previamente concedido. Tal solicitação poderá ser feita mediante requisição expressa diretamente ao controlador, por meio do canal de atendimento gratuito que os controladores de dados pessoais são obrigados a manter, de acordo com o artigo ou através da Autoridade Nacional de Proteção de Dados (ANPD), sendo que o Controlador terá que responder à solicitação de confirmação do titular em até 15 (quinze) dias contados do recebimento da referida solicitação.

PERGUNTA: Existe algum procedimento periódico previsto na lei para ser executado perante a ANP Ex: Relatórios mensais?

RESPOSTA: A LGPD prevê em seu artigo 38 que a autoridade nacional poderá solicitar relatórios de impacto à proteção de dados pessoais ao Controlador de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados pessoais, no entanto, sem estabelecer periodicidade ou causas para tal solicitação, o que deverá ser regulado pela ANPD ao longo do ano de 2021. A LGPD prevê ainda que referido relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

PERGUNTA: Quais as comprovações legais atualmente que a empresa dispõe para a sua adequação tanto para empresas parceiras (diante de um questionamento) ou para a ANP (diante de um questionamento de um titular)?

RESPOSTA: Não existem formas previstas em lei para se comprovar a adequação à LGPD. A ANPD que terá o dever de fiscalização dessa verificação. No entanto, o que pode existir no mercado são certificações de qualidade e atestado de compliance à lei, mas é de suma importância ressaltar que não existe ainda regulamentação que aceite qualquer certificação como forma de comprovação de adequação à LGPD e a ANPD é quem deverá regular o assunto ao longo do próximo ano.

PERGUNTA: Agradeço pela oportunidade desse contato a respeito da LGPD!

A dúvida que tenho é sobre uma situação particular com cursos online. Um cliente de nossa empresa contratou uma plataforma onde são armazenamos dados pessoais de alunos. As informações de pagamento ficam por conta de um gateway de pagamentos, então nessa plataforma não se armazenam informações bancárias nem de cartão de crédito.

Porém, como é uma plataforma padronizada, embora não seja pedido que os alunos entrem muitos dados pessoais em seus cadastros, alguns acabaram preenchendo todos os campos disponíveis, incluindo CPF, endereço completo, e alguns chegaram a subir cópias de certificados e histórico escolar.

Como não temos possibilidade de alterar essa plataforma o suficiente para não pedir informações que não consideramos necessário coletar, bastará esclarecer nos termos e condições (associados à matrícula nos cursos) alguma explicação a respeito da não obrigatoriedade de que eles preencham esses dados todos?

Pensei em destacar somente a obrigatoriedade dos campos de informação estritamente necessários, porém de qualquer jeito algum aluno acabará preenchendo dados a mais, simplesmente porque os formulários estão ali pedindo.

A plataforma está instalada a em ambiente seguro, sob responsabilidade de outras empresas - a desenvolvedora da plataforma e a hospedagem.

Entendi que os termos e condições de serviço devem esclarecer a responsabilidade do nosso cliente com relação ao tratamento desses dados sensíveis. Há responsabilidade de nossa empresa também, que precise ser esclarecida nesses termos e condições? Nosso papel ali é auxiliar o processo dos professores, personalizando o ambiente online, configurando os detalhes para as vendas dos cursos e oferecendo apoio técnico para os cursos acontecerem, intermediando o contato do desenvolvedor com nosso cliente.

RESPOSTA: Sim, deverá ser esclarecido aos alunos as razões de tais dados pessoais (entre eles, CPF, endereço completo, certificados e histórico escolar) serem coletados, dando transparência sobre a finalidade de tais tratamentos de acordo com as bases legais previstas no artigo 7° da Lei, informando, ainda, se os são compartilhados com terceiros e por qual razão.