Guia de boas praticas da LGPD

Apresentação do Guia de Boas Práticas da LGPD

Implementar a Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) no âmbito do serviço público federal é uma atividade importante para a proteção dos dados pessoais de todas e todos. Para buscar tornar mais simples essa atividade, elaborou-se o Guia de Boas Práticas da LGPD.

O Guia de Boas Práticas é fruto de debates internos ao Ministério da Economia e de contribuições técnicas de órgãos e entidades externas, consolidados no âmbito do Comitê Central de Governança de Dados. Foi aprovado e disponibilizado por intermédio da Resolução CCGD nº 4, de 14 de abril de 2020. A expectativa é que o documento possa facilitar a tomada de decisão informada nas atividades de proteção de dados pessoais. Sem a pretensão de esgotar o tema, o documento aborda os direitos do titular de dados pessoais, a forma recomendada de tratamento de dados e as boas práticas em segurança da informação.

Recorde-se que a Secretaria de Governo Digital também publicou vários guias operacionais que buscam auxiliar na implementação da LGPD no serviço público federal, além do Guia de Boas Práticas. A Secretaria disponibiliza no site, igualmente, uma relação sugerida de oficinas, cursos e eventos sobre a LGPD.

Ademais, recomenda-se que os interessados pelo tema também consultem a página oficial e as informações da Autoridade Nacional de Proteção de Dados (ANPD), órgão federal responsável por zelar pela proteção dos dados pessoais na forma da Lei nº 13.709, de 14 de agosto de 2018, e do Decreto nº 10.474, de 26 de agosto de 2020.

Perguntas e respostas frequentes sobre o Guia de Boas Práticas

Como os órgãos e as entidades do governo federal deverão se preparar para manter a conformidade com as diretrizes e as regras de tratamento de dados pessoais previstas na Lei Geral e Proteção de Dados Pessoais (LGPD)?

A proteção à privacidade e o cuidado adequado com o tratamento de dados pessoais em uma sociedade que avança no uso de tecnologias digitais são desafios comuns a diversos países e organizações. Tais desafios podem ser significativos para os órgãos e as entidades governamentais, em decorrência da complexidade demandada pelas políticas públicas.

Os questionamentos sobre como implementar a legislação sobre proteção de dados pessoais em outros países são similares aos que ocorrem no Brasil. Trata-se de um desafio compartilhado mundialmente. Mesmo em tais circunstâncias desafiadoras, garantir a proteção de dados pessoais é algo factível e importante, além de ter consequências duradouras e positivas para a reputação e a credibilidade das instituições.

Qual o limite do uso das informações que existem nas bases de dados governamentais? Como equilibrar o direito à privacidade com a busca por eficiência na atuação estatal?

A entrada em vigor da LGPD torna recomendável a criação de espaços para debate técnico e político sobre a lei. O Guia de Boas Práticas da LGPD traz o resultado de muitas dessas discussões e propõe caminhos sustentáveis para as ações de proteção aos dados pessoais, em um país que se projeta como um grande ator na transformação digital de governo. Será por meio da implementação prática e da constante busca por orientações técnicas e legais que será possível encontrar o equilíbrio na implementação da lei.

O Guia de Boas Práticas está aberto a elogios, críticas, sugestões e comentários?

Sim. O Guia está aberto a quaisquer comentários práticos, que serão recebidos e analisados criticamente pela Secretaria de Governo Digital. As contribuições técnicas ou práticas sobre o documento podem ser enviadas ao endereço eletrônico .

Para baixar o o Guia – Clique AQUI

De compras on-line a redes sociais, de hospitais a bancos, de escolas a teatros, de hotéis a órgãos públicos, da publicidade à tecnologia: pode ter certeza, a Lei Geral de Proteção de Dados Pessoais (LGPD) afeta diferentes setores e serviços, e a todos nós brasileiras e brasileiros, seja no papel de indivíduo, empresa ou governo. Aqui, a gente te ajuda a entender os seus direitos como cidadão, ou suas obrigações, caso você seja responsável por bases de dados de pessoas.

E damos, é claro, as boas-vindas a você que quer entender mais a LGPD, contribuir com ela, e buscar suporte. Vamos nessa?

Para começar
Já que você topou, então vamos dar um “giro” pela LGPD e conhecer os principais pontos da lei

LGPDFinalidades e necessidadesUma regra para todosMais para o cidadão

Para continuar
Agora que você deu um giro, leia a seguir mais detalhes sobre os principais pontos apresentados na imagem acima

A LGPD é a lei nº 13.709, aprovada em agosto de 2018 e com vigência a partir de agosto de 2020. Para entender a importância do assunto, é necessário saber que a nova lei quer criar um cenário de segurança jurídica, com a padronização de normas e práticas, para promover a proteção, de forma igualitária e dentro do país e no mundo, aos dados pessoais de todo cidadão que esteja no Brasil. E, para que não haja confusão, a lei traz logo de cara o que são dados pessoais, define que há alguns desses dados sujeitos a cuidados ainda mais específicos, como os sensíveis e os sobre crianças e adolescentes, e que dados tratados tanto nos meios físicos como nos digitais estão sujeitos à regulação.

A LGPD estabelece ainda que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.

Consentimento
Outro elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para que dados pessoais possam ser tratados. Mas há algumas exceções a isso. É possível tratar dados sem consentimento se isso for indispensável para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.

Automatização com autorização
Por falar em direitos, é essencial saber que a lei traz várias garantias ao cidadão, que pode solicitar que dados sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações. E o tratamento dos dados deve ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão. Por exemplo, se a finalidade de um tratamento, feito exclusivamente de modo automatizado, for construir um perfil (pessoal, profissional, de consumo, de crédito), o indivíduo  deve ser informado que pode intervir, pedindo revisão desse procedimento feito por máquinas.

ANPD e agentes de tratamento
E tem mais. Para a lei a “pegar”, o país contará com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição vai fiscalizar e, se a LGPD for descumprida, penalizar. Além disso, a ANPD terá, é claro, as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. Cidadãos e organizações poderão colaborar com a autoridade.

Mas não basta a ANPD – que está em formação – e é por isso que a Lei Geral de Proteção de Dados Pessoais também estipula os agentes de tratamento de dados e suas funções, nas organizações: tem o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com cidadãos e autoridade nacional (e poderá ou não ser exigido, a depender do tipo ou porte da organização e do volume de dados tratados).

Gestão em foco
Há um outro item que não poderia ficar de fora: a administração de riscos e falhas. Isso quer dizer que quem gere base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado. Terá ainda que elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados. Vale lembrar que todos os agentes de tratamento sujeitam-se à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. E as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – e no limite de R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha. E enviará, é claro, alertas e orientações antes de aplicar sanções às organizações.

Lei de acesso à informação. Publicado originalmente em 03/09/2020 18h24 Atualizado em 12/04/2021 10h55

Proteção de Dados Pessoais – LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Conforme o art. 5º da LGPD, dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável.

Direitos dos titulares de dados pessoais

Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos da LGPD (artigo 17 da LGPD).

O titular dos dados pessoais tem direitos, que podem ser exercidos mediante requerimento expresso ao Ministério da Defesa.

Os direitos do titular são: confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; eliminação dos dados pessoais, entre outros.

Para apresentar requerimento expresso ao Ministério da Defesa, com fundamento na LGPD, utilize a Plataforma Fala.br.

Encarregada pelo Tratamento de Dados Pessoais

Márcia Soares da Cunha

  • E-mail para orientações e esclarecimentos de dúvidas: encarregado@defesa.gov.br
  • Correspondência: Ministério da Defesa. Esplanada dos Ministérios, Bloco Q – Zona CívicoAdministrativa Brasília/DF – CEP 70 049-900

O encarregado pelo tratamento de dados pessoais atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (Lei nº 13.709/2018, art. 5º, VIII).

São atribuições do encarregado pelo tratamento de dados pessoais (LGPD, art. 41, §2º):
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

O Ministério da Defesa, em cumprimento ao art. 41 da LGPD, nomeou sua Encarregada pelo tratamento de dados pessoais por meio da Portaria GM-MD n° 1.648/2021.

Clique aqui e acesse a Autoridade Nacional de Proteção de Dados (ANPD)

Esta auditoria foi elaborada para ser utilizada como um mecanismo para analisar o grau de conformidade dos métodos aplicados por uma empresa na busca da adequação a LGPD – Lei Geral de Proteção de Dados.

As questões apresentadas são aderentes aos requisitos que são exigidos no exame  “EXIN Privacy & Data Protection Practitioner”, e representam o modelo que confere um dos passos para a certificação de um DPO – Data Protection Officer para a GDPR e a LGPD.

Este modelo utilizado para adequação não é único e exclusivo, e poderá ser modificado a qualquer momento para melhor representar os requisitos de adequação à LGPD, considerando:

a) alteração da LGPD – Lei Geral de Proteção de Dados (lei 13.709/2018);

b) novo parecer técnico complementar emitido pela ANPD – Autoridade Nacional de Proteção de Dados, para garantir o cumprimento desta Lei;

c) aperfeiçoamento natural das boas práticas de Segurança da Informação e da Proteção de Dados e Privacidade.

A obtenção do certificado de conformidade com a LGPD não significa que a empresa ora auditada está livre de ameaças de Segurança da Informação – como ataques hacker, espionagem industrial, sequestro de seus dados, ou qualquer outro incidente semelhante, ou mesmo, não significa que ela está livre de ameaças de incidentes de Proteção de Dados e Privacidade. Incidentes de qualquer uma destas naturezas podem acarretar dados diversos aos titulares cujos estão sob a custódia da empresa, bem como da perdas materiais para a própria empresa, financeiras, exposição negativa da imagem, e ainda gerar passivos como multas e indenizações.

A auditoria, e o certificado de conformidade com a LGPD, buscam identificar o quanto a empresa auditada se preparou para atender a legislação e o quanto de medidas e planos de ação, dentro do contexto de melhoria contínua, fazem parte do dia a dia, buscando mitigar ou reduzir o risco de incidentes de dados pessoais e que possam trazer prejuízos aos titulares de dados pessoais, representados pelos seus clientes, funcionários, visitantes e usuários.

Sugere-se para o ciclo desta auditoria o prazo de 1 ano a contar da data da emissão do certificado de conformidade.