Sua empresa fica, tem clientes no Brasil ou planeja uma expansão no local? E você coleta ou processa dados pessoais de clientes? Então você precisa estar em compliance com a Lei Geral de Proteção de Dados (LGPD). Portanto, prepare-se para fazer um checklist da LGPD para não sofrer as consequências.
Após revisão presidencial, a LGPD tornou-se lei em 18 de setembro de 2020. Sua exigibilidade foi retroativa a 16 de agosto de 2020. O principal objetivo da Lei era unificar 40 legislações brasileiras diferentes que regulam o tratamento de dados pessoais.
A boa notícia é: se você já está em conformidade com o GDPR ou POPIA, então você já fez grande parte do trabalho necessário para cumprir a LGPD. No entanto, para ajudá-lo a alcançar a conformidade, faça o checklist da LGPD para garantir:
Passos |
Roadmap |
1) Identifique se a sua empresa precisa cumprir a LGPD |
Esta etapa é elegível caso sua empresa processe os dados pessoais de
pessoas no Brasil, independentemente de onde seu negócio está localizado. Então, esse é o primeiro critério do seu checklist da LGPD. |
2) Crie uma Política de Privacidade abrangente |
Certifique-se de que a lei seja fácil de encontrar e de ser entendida por parte do usuário médio.
Então, informe quem tem acesso aos dados pessoais coletados (por exemplo, de cookies). Feito isso, vem a implementação: ou seja, tornar as informações e preferências de consentimento sobre o processamento de dados disponível em um banner de privacidade quando os usuários visitam seu site. Vale lembrar que usar uma plataforma de gerenciamento de consentimento garante que você pode incluir todas as informações necessárias e obter os consentimentos necessários. |
3) Informe os usuários sobre seus direitos |
Informe os usuários sobre os nove direitos fundamentais que os titulares dos dados têm conforme o artigo 18.º da LGPD*.
Ou seja, o direito ao apagamento, direito a ser informado, e direito de oposição, por exemplo. |
4) Informe os usuários que você usa cookies ou outras tecnologias de rastreamento |
Certifique-se de informar os usuários sobre suas intenções durante ou antes do ponto em que você começa a coletar dados. Este é um ponto fundamental no seu checklist da LGPD.
Contudo, informe especialmente os usuários sobre: 1. A finalidade específica do tratamento; 2. O tipo e duração do processamento; 3. A identidade do controlador e seu contato em formação; 4. O uso compartilhado de dados pelo controlador e seu propósito; 5. As responsabilidades dos agentes que realizarão o processamento; 6. Os direitos do titular dos dados, com menção explícita dos direitos enumerados no art. 18 da LGPD. Então, inclua essas informações em sua Política de Privacidade. |
5) Explique na primeira camada do banner de privacidade quais são seus cookies ou outras tecnologias web utilizadas e o por quê |
Informe os usuários sobre a finalidade de cada cookie ou tecnologia web separadamente. Afinal, assim você pode garantir que obterá um consentimento específico e granular para cada cookie. No entanto, lembre-se que os usuários devem ter a opção de conceder ou retirar o consentimento para cada finalidade.
Tudo isso deve ser declarado na primeira camada do banner de privacidade, então, inclua em seu checklist da LGPD. |
6) Obter consentimento voluntário dos usuários para armazenar cookies em seus dispositivo(s) e habilitar recusa de consentimento ou ajuste de preferências no futuro |
Necessário quando os cookies envolvem a coleta e processamento de dados pessoais de usuários (por exemplo, se as informações podem ser vinculadas a um determinado indivíduo identidade.
Contudo, o consentimento deve ser dado livremente: ou seja, com apresentação igual e acessibilidade dos botões “Aceitar” e “Rejeitar”. Portanto, recusar o consentimento deve ser uma opção igualmente acessível. O consentimento deve ser fácil de retirar: na segundo os usuários da camada devem ter a opção de retirar seu consentimento. Documentação de todo esse processo: o fardo é seu, não do usuário. |
7) Coletar e processar dados somente após a obtenção de um consentimento válido |
Certifique-se de que nenhum cookie seja carregado até que os usuários tenham dado consentimento.
Assim que o consentimento válido for obtido, você poderá recolher e tratar dados pessoais para os fins que você informou aos usuários. |
8) Documentar e armazenar consentimento recebido de usuários |
Você deve cumprir as obrigações de documentação para garantir pode verificar o consentimento dos usuários em caso de reclamação ou auditoria das autoridades brasileiras de proteção de dados. |
9) Após a desativação, certifique-se de que não há mais dados recolhidos ou encaminhados |
Certifique-se de que, a partir do momento da objeção, nenhum dado adicional será coletado e encaminhado. Isso inclui consentimento recusado para novos usuários ou atualizações
preferências de consentimento para usuários recorrentes. |
Requisitos de cookies da LGPD
Os dados identificáveis são protegidos pela LGPD. Portanto, cookies e outros rastreamentos de tecnologias da web – que coletam dados que podem ser associados a uma pessoa – estão sujeitos a obrigações de conformidade de privacidade nos termos da lei. Por exemplo: se as informações estão vinculadas ou podem ser rastreadas a um determinado usuário, endereço IP, dispositivo ou outro identificador específico. Ou seja, não esqueça de incluir este critério no seu checklist da LGPD.
Lei Brasileira de Internet
A Lei Brasileira da Internet tem disposições relativas ao armazenamento, uso, divulgação e outro tratamento de dados coletados na Internet. Também o direitos estabelecidos de privacidade, intimidade e direitos do consumidor aplicam-se igualmente a meios eletrônicos, como dispositivos móveis e a Internet.
Portanto, as violações podem estar sujeitas a punição civil sob a Autoridade Nacional de Proteção de Dados. As multas podem chegar a 2% da receita anual do ano anterior, até R$ 50 milhões. Contudo, também há possibilidade de suspensão total ou parcial de dados e atividades de processamento.
Checklist dos requisitos básicos da LGPD
- Consentimento livre e informado é necessário
- A finalidade deve ser fornecida (primeira camada do banner de privacidade)
- O destinatário deve ser nomeado (segunda camada do banner de privacidade)
- A retirada do consentimento deve ser possível (segunda camada do banner de privacidade)
- As opções para conceder ou recusar o consentimento devem ser iguais
- A prova de que o consentimento foi dado deve ser armazenada
- A opção de dar ou retirar o consentimento granular para cada finalidade de processamento de dados deve ser fornecida
*Artigo 18 da LGPD
Direitos do Titular de Dados Pessoais em relação ao Controlador
O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I – confirmação da existência de tratamento;
II – acesso aos dados;
III – correção de dados incompletos, inexatos ou desatualizados;
IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
–
1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.
2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.
4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:
I – comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou
II – indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.
6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.
7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.
8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.
Fonte:
Usercentrics
