13
A LEI LGPD LEI GERAL DE PROTEÇÃO DE DADOS

LEI GERAL DE - spdmafiliadas.org.br

  • Upload
    others

  • View
    3

  • Download
    0

Embed Size (px)

Citation preview

Page 1: LEI GERAL DE - spdmafiliadas.org.br

A LEI LGPD

LEI GERAL DEPROTEÇÃO DE DADOS

Page 2: LEI GERAL DE - spdmafiliadas.org.br

1 . Histór ico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2

2

2

3

4

5

5

5

6

6

7

7

7

8

9

9

10

10

Sumário2. Princípios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3 . Apl icação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1

4. Conceitos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5 . Agentes definidos pela le i . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6 . Bases Legais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7 . Direitos do T itular. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

8 . Obrigações. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

9 . Sanções. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

10 . Canais de Comunicação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1 1 . 1 Confidencial idade da informação. . . . . . . . . . . . . . . . . . . . . . .

1 1 . Boas prát icas para segurança. . . . . . . . . . . . . . . . . . . . . . . . . . . . e proteção dos dados

11 .2 Mesa e tela l impa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1 1 .3 Uso adequado de senhas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1 1 .4 Ut i l ização de e-mai l . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1 1 .5 Bloqueio da estação de trabalho. . . . . . . . . . . . . . . . . . . . . .(computador)

11 .6 Ut i l ização de equipamento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1 1 .7 Comentários sobre a inst ituição. . . . . . . . . . . . . . . . . . . . . . .

Page 3: LEI GERAL DE - spdmafiliadas.org.br

1 . Histór ico

2. Pr incípios

3. Apl icação

2

Em razão do crescimento da utilização de dados pessoais, incidentes de vazamento eseguindo uma tendência mundial, em 2018, foi criada a Lei Geral de Proteção de Dados (Lei nº13,709/18), também conhecida pela sigla LGPD e tem como finalidade proteger os direitos de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A Lei tem como princípio a transparência ao titular, utilização mínima de dados possíveis para a finalidade, pelo menor tempo possível e sem prejuízo ao negócio. Para isso, a Lei também descreve alguns fundamentos, como: respeito à privacidade, liberdade de expressão, defesa do consumidor, entre outros.

Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou pessoa jurídica de direito público ou privado, independente do meio, do país de sua sede ou do país onde estejam localizados os dados.

Uma vez que a operação de tratamento seja realizada em território nacional, a atividade de tratamento tem por objetivo a oferta ou o fornecimento de bens ou serviços, ou o tratamento de dados de indivíduos localizados no território nacional ou os dados pessoais objeto de tratamento tenha sido coletados no território nacional, a Lei se aplica.

Em alguns itens específicos, a Lei não se aplica, como tratamentos realizados por pessoa natural sem fins particulares e não econômicos, jornalísticos, artísticos, acadêmicos, de segurança nacional, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.

Page 4: LEI GERAL DE - spdmafiliadas.org.br

A Lei estabelece alguns itens essenciais para seu entendimento:

Titular: pessoa natural a quem se referem os dados pessoais que são objeto detratamento;

Tratamento do dado: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso,reprodução, transmissão, distribuição, processamento, arquivamento,armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Dados pessoais: informação relacionada à pessoa natural identificada ouidentificável;

Dados sensíveis: dado pessoal sobre a origem racial ou étnica, convicçãoreligiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a uma pessoa natural;

Dado pseudonimizado: quando há um tratamento por meio do qual um dado perdea possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso deinformação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

Dado anonimizado: dado relativo à titular que não possa ser identificado, considerando o uso de meios técnicos razoáveis e disponíveis naocasião de seu tratamento;

4. Conceitos

3

Page 5: LEI GERAL DE - spdmafiliadas.org.br

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais;

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

ANPD: Autoridade Nacional de Proteção de Dados; e

Encarregado (DPO): pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

5. Agentes definidos pela le i

4

Page 6: LEI GERAL DE - spdmafiliadas.org.br

A Lei define alguns direi tos que o titular passa a ter sobre seus dados como:

7. Direitos do T itular

Todas as empresas e pessoas físicas que fazem uso de informações pessoais têm o dever de garantir a segurança e a proteção, durante todo o processo de tratamento dos dados pessoais, estes processos de tratamento devem ser transparentes ao titular e utilizar o mínimo possível de dados para a entrega do serviço.

Todas as ações que fugirem do objetivo inicial no qual o titular autorizou a utilização de seus dados, desde que não haja uma base legal para aquele tratamento, o titular deverá ser informado sobre o novotratamento e, se necessário, coletar um novo consentimento.

8. Obrigações

5

AcessoRetificaçãoExplicaçãoPortabilidade

OposiçãoCancelamentoRevisão de decisões automatizadas

O tratamento dos dados pessoais só pode ser realizado nas seguintes hipóteses:

6. Bases Legais

Processo JudicialExecução de ContratoLegítimo InteresseProteção ao CréditoProteção à VidaTutela da Saúde

Pesquisa por ÓrgãoObrigação Legal

Política PúblicaConsentimento do titular

Page 7: LEI GERAL DE - spdmafiliadas.org.br

A SPDM no intuito e cumprimento da legislação, disponibiliza os seguintes canais de comunicação referente à Lei Geral de Proteção de Dados:

Dúvidas e Sugestões:

10. Canais de Comunicação

As empresas devem gerar relatórios que avaliem o risco de impacto à proteção dos dados e notificar qualquer incidente que possa impactar negativamente o titular, além de indicar um encarregado para fazer o canal de comunicação com os titulares e o órgão regulamentador.

A Lei dispõe sobre a aplicação de sanções para aqueles que estiverem em desacordo com seus dispositivos, entre elas, estão: multas por infração, multas diárias, publicitação do ocorrido, exclusão de dados, perda do direito de realizar tratamento de dados pessoais, bloqueio do banco de dados onde ocorreu a infração, entre outras sanções, que não substituem a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, que dispõe sobre a proteção do consumidor e dá outras providências.

Por este motivo, é fundamental que todos os colaboradores,como empregados da SPDM e cidadãos de bem contribuam para o cumprimento desta lei, seguindo as normas, rotinas, processose recomendações da instituição.

9. Sanções

6

[email protected]

Page 8: LEI GERAL DE - spdmafiliadas.org.br

Abaixo, listamos as boas práticas recomendadas que todos o colaboradores da instituição devem seguir, com o objetivo de evitar qualquer desconformidade com a LGPD, bem como vazamento de informação e, assim, proteger aintegridade dos dados.

A política da mesa limpa consiste em organizar sua mesa de trabalho, não deixando expostos dados escritos ou impressos acessíveis a terceiros.

Devemos nos atentar ao ciclo de vida da informação impressa: criação, armazenamento, manipulação e ao descarte.

1 1 .2 Mesa e tela l impa

Todas as informações coletadas, tratadas ou armazenadas nos limites da Instituição são confidenciais e não devem ser copiadas, gravadas, movidas ou compartilhadas sem a autorização formal da alta direção da SPDM, seja em sua forma digital ou física.

Entende-se como compartilhamento qualquer forma de disseminação destas informações.

Todas as informações de uso da Instituição devem estar em sistemas,plataformas, e ferramentas da própria empresa e qualquer informação, que, eventualmente, esteja em ambiente fora do alcance institucional ou emequipamentos pessoais, tais como: HD externo, pen-drive ou armazenamento em nuvem devem possuir autorização expressa e seguir as exigências de compartilhamento dos dados da Instituição.

Nenhum registro fotográfico está autorizado.

1 1 . 1 Confidencial idade da informação

11 . Boas prát icas para segurança e proteção dos dados

7

Page 9: LEI GERAL DE - spdmafiliadas.org.br

Recomendamos que as senhas sejam periodicamente atualizadas e observado o conceito de senha segura que será apresentado a seguir:

Conceito de senha segura: devemos considerar que uma senha segura seja composta por números, letras maiúsculas e minúsculas e caracteres especiais, como por exemplo: $uAs3nH@S3gUr@, devemos evitar sempre senhas que sejam previsíveis, por exemplo nome de familiares, nome de animais, datas comemorati-vas, times de futebol (qualquer esporte), etc.

A política de segurança da informação define direitos e responsabilidades dos colaboradores quanto ao uso de recursos informatizados, correio eletrônico e a utilização da internet.

Cada colaborador deverá ter suas credenciais de acesso, sendo vedado o compartilhamento de login e senha com qualquer outra pessoa em qualquer hipótese.

1 1 .3 Uso adequado de senhas

Nesse ponto, observa-se o descarte talvez seja a principal fase do ciclo de vida da informação impressa, visto que devemos nos atentar, além das questões ambientais, também à forma adequada de destruição do impresso, por isso,devemos sempre buscar a orientação de sua chefia imediata.

Senhas, logins, dados telefônicos, lista de e-mail ou número de documentos nunca devem ser escritos e anexados ao monitor do computador, CPU ou qualquer meio que mantenha expostos estes dados. Cadernos, agendas e outros documentos impressos devem sempre ser armazenados em gavetas com chave.

Devemos nos atentar ao “post it”, recurso digital que é amplamente utilizado, onde lembretes (dados) ficam expostos a todo momento em tela de computadores, devemos nos atentar sobre o uso adequado desses recursos.

8

Dados

Impressos com dados sensíveis devem atender severamente questões de confidencialidade, não devendo ter seu conteúdo acessível a pessoas não autorizadas, para isso, devemos nos atentar onde são impressos nossos documentos, a forma que armazenamos, a quem concedemos seu acesso e o descarte do impresso.

Page 10: LEI GERAL DE - spdmafiliadas.org.br

O uso do e-mail institucional deverá ser feito única e exclusivamente para finalidades profissionais, obedecendo a princípios de confidencialidade, práticas de compartilhamento de e-mail com pessoas não autorizadas e a impressão e/ou o armazenamento, sem o consentimento institucional, são proibidos.

Devemos nos atentar aos e-mails recebidos de fontes duvidosas, ou até mesmo de um outro membro da instituição em caso de suspeitas sobre seu conteúdo do e-mail. Muitas ameaças virtuais utilizam táticas relativamente antigas para invadir uma rede de computadores ou, simplesmente para coletar dados da vítima que abre um arquivo zipado ou um link no corpo do e-mail com código malicioso.

Em incidentes relacionados a ameaças virtuais, recomendamos que acionem a T.I imediatamente, para que as tratativas e ações adequadas sejam rapida-mente tomadas.

1 1 .4 Ut i l ização de e-mai l

Ao se ausentar, mesmo que, por um período curto, sua estação de trabalho deverá ser bloqueada. Caso este procedimento não seja colocado em prática seus dados e da instituição estarão expostos a outros colaboradores ou, até mesmo, a pessoas que não tenham qualquer vínculo com a Instituição.

Os riscos associados à exposição da informação podem variar, desde a alteração dolosa de algum documento ou registro em sistema até a exclusão dos dados.

O procedimento para o bloqueio da tela é simples e prático, bastando apenas que o colaborador pressione simultaneamente duas teclas do teclado (Windows + L).

1 1 .5 Bloqueio da estação de trabalho(computador)

9

Page 11: LEI GERAL DE - spdmafiliadas.org.br

Não é permitida a modificação das características do sistema operacional, alteração, supressão e/ou instalação de software não homologado pela SPDM.

A utilização de desktops, notebook, smartphone e outros recursos de TI devem observar os termos e formulários específicos e ser restrita ao uso profissional, sendo seu uso vetado para finalidades particulares.

O uso de conexões de rede públicas, como Wi-Fi gratuito, deve ser evitado por não possuir o gerenciamento supervisionado pela SPDM.

1 1 .6 Ut i l ização de equipamento

Devemos nos atentar sobre o que falamos e se o local é apropriado para determinadas conversas.

Um risco significativo que, muitas vezes, não detém a necessária atenção, é quando a informação vai além dos dados contidos em redes de computadores ou documentos físicos. Ou seja, a informação “falada” também faz parte do rol de dados que devem ser protegidos na empresa e, inclusive, fora dela.

Dessa forma, informações sigilosas, privilegiadas, estratégicas de negócio não devem ser discutidas em ambientes públicos nem compartilhadas com familiares ou amigos.

deveriam ser trocados entre departamentos e que estão sendo expostos em áreas de acesso ao público.

Imagine que você está em um elevador com a um colaborador, que é detentor de uma informação confidencial, em razão da boa relação de amizade, vocêsdecidem iniciar uma conversa relacionada a assuntos da empresa, que não

1 1 .7 Comentários sobre a inst ituição

10

Page 12: LEI GERAL DE - spdmafiliadas.org.br

TERMO DE RECEBIMENTO

Nome Legível :

Matr ícula:

Assinatura:

Data: / /

Declaro ter recebido a cartilha “A Lei LGPD – Lei Geral de Proteção de Dados” da SPDM, edição/ano 2021,contendo informações, direitos, de-veres, condutas esperadas e procedimentos internos relacionados a Lei nº 13.709/18.

Page 13: LEI GERAL DE - spdmafiliadas.org.br

Comitê LGPD Inst ituições Afil iadas

Versão Abri l/2021