Capítulo 1 – Dúvidas Gerais

Uma rede social compartilhou os nomes dos usuários que fizeram checkin públicos em estabelecimentos comerciais. Isso foi uma violação a LGPD e GDPR?
R: Não. Os usuários disponibilizaram essas informações publicamente.

Outra rede social de turismo vendeu uma lista de estísticas de hábitos de consumo, sem informações pessoais identificáveis. Isso foi uma violação a LGPD ou GDPR?
R: Não, porque não há a possibilidade de identificar indivíduos, mesmo que hábitos de consumo sejam considerados informações sensíveis na Europa.

Funcionários do INSS venderam uma lista das pessoas que se aposentaram no mês, com nome, telefone, e-mail e valores de aposentadoria para instituições financeiras oferecerem empréstimo consignado. Isso é um crime?
R: Sim, é um crime de venda de informações pessoais;

A empresa que eu trabalho compartilhou minhas informações pessoais, a empresas de RH e outras empresas sem meu consentimento. Isso é irregular?
R: Sim. Não é permitido distribuir dados pessoais sem o consentimento dos titulares dos dados.

Eu tenho uma lista de empresas com e-mail corporativo de alguns contatos que tenho da outra empresa que trabalhei. Usar essa lista é uma violação do LGPD?
R: Sim. A informação, apesar de nem sempre identificável, pode apontar para uma pessoa física, mesmo um e-mail corporativo tendo titularidade uma pessoa jurídica.

Estou abrindo uma loja e consegui uma lista de pessoas (nome, e-mail e telefone) para fazer a divulgação da minha nova loja. Posso usar essa lista?
R: Não. Você não poderia pegar uma lista de e-mails sem o consentimento explícito das pessoas no ato da coleta dos dados pessoais. O uso (processamento e/ou tratamento) de listas não autorizadas também é irregular.

Uma empresa compartilhou a lista de funcionários a uma empresa terceira para gerenciar seus planos de incentivo. Isso é permitido?
R: Sim, desde que tenha o consentimento explícito do titular dos dados pessoais, com excessão para fins de planos de saúde suplementar.

Tenho um blog pessoal e tenho uma lista de e-mails para divulgar meu blog. Preciso consentimento explícito dessas pessoas para não violar a LGPD?
R: Não. O LGPD não se aplica a pessoas naturais que se utilizam de dados pessoais para fins exclusivamente particulares e não econômicos. Mas o bom senso diz para não usar listas não autorizadas.

Após a data de vigoração do LGPD uma empresa não protegeu os dados e teve seus dados roubados, e levou semanas até avisar as autoridades a tempo. Quantos infrações foram cometidas?
R: Foram 3 infrações a primeira vista. (1) Não proteger os dados, (2) Ter os dados roubados e (3) Não avisar as autoridades a um tempo razoável (Até 72 horas, como por exemplo definido no Art. 33 da GDPR).

Com que informações além do nome e sobrenome consigo caracterizar um dado como pessoal?
R: As seguintes informações podem direta ou indiretamente caracterizar um dado como pessoal:
– Documentos pessoais únicos (CPF, RG, CNH, CTPS, passaporte ou título de eleitor);
– Endereço residencial ou comercial;
– Telefone (Fixo ou celular, pessoal ou da empresa);
– E-mail (Pessoal ou da empresa);
– Cookies;
– Endereço IP;

Uma associação de empresas que trabalham com B2B (Pessoa jurídica para pessoa jurídica) compartilha os dados de crédito de clientes finais pessoa jurídica. Existe algum problema nisso pela ótica de LGPD?
R: Não, pois a LGPD trata de proteção de DADOS PESSOAIS. Logicamente dados de pessoa jurídica que possam indiretamente identificar pessoas naturiais devem ser eliminados ou nunca compartilhados.

Afinal de contas, a LGPD vale para pessoa física que trata dados pessoais?
R: O Art. 1 diz que a lei vale para pessoas naturais (Físicas) no que se refere a proteger dados pessoais, mas o Art. 4 diz que a lei não se aplica a pessoas naturais que fazem tratamento de dados pessoais para fins exclusivamente particulares e não econômicos. Apesar da lei então não ser apliável a pessoas naturais nas circunstâncias mencionada acima, não exime de sanções o vazamento, roubo ou venda de dados pessoais.

Os Correios exigem que todas encomendas tenham no lado externo da caixa um envelope com declaração de conteúdo contendo os dados do remetente e destinatário, ou a DANFE (Documento Auxiliar de Nota Fiscal Eletrônica). Nesse caso os Correios estão fazendo um tratamento de dados pessoais? Deveria os Correios se preocupar em proteger esses dados que estão em papel?
R: Sim, apesar desses dados estarem em papel, é considerado um tratamento e todas as medidas de segurança devem ser tomadas, apesar do meio físico poder ser facilmente violado. Os Correios devem explicitamente listar sua responsabilidade e garantias de segurança com seus clientes (Remetentes e destinatários).

Capítulo 2 – Encarregado pelo Tratamento de Dados Pessoais

Posso Terceirizar o Encarregado pelo Tratamento de Dados Pessoais?
R: Descrito no Art. 41, a figura do Encarregado pode ser exercida por uma pessoa, sem distinção de ser natural ou jurídica, conforme a alteração pela MP 869. Então esta função pode ser uma pessoa natural, jurídica, terceirizado, comitê, departamento, indicada pelo Controlador, que atua como canal de comunicação entre o Controlador e os titulares e a Autoridade Nacional.

O que faz o Encarregado pelo Tratamento de Dados Pessoais?
R: Atividades estabelecidas por lei para o Encarregado:
– Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
– Receber comunicações do órgão competente e adotar providências;– Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
– Executar as demais atribuições determinadas pelo responsável ou estabelecidas em normas complementares.

O Encarregado pelo Tratamento de Dados Pessoais é obrigatório para todo tamanho de empresa?
R: A Autoridade Nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. Isso significa que haverá a possibilidade de dispensa do Encarregado para MEI, ME, EIRELI ou mesmo EPPs em uma próxima alteração da lei.

Capítulo 3 – Coleta e Consentimento

O que é exatamente um Consentimento?
R: Consentimento é quando o titular (Pessoa física) informa de livre e espontânea vontade dá o seu “de acordo” formal em fornecer seus dados pessoais para uma finalidade determinada pelo Controlador (Aquele que coleta e detém o controle desse dado pessoal).

A LGPD se aplica somente a dados coletados pela Internet?
R: A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenha como objetivo oferecer bens ou serviços no Brasil, independentemente dos dados pessoais terem sido coletados pela Internet ou presencialmente.

Os dados que coletados fora da Internet são abrangidos pela LGPD?
R: Sim. Todo dado pessoal, guardado em qualquer meio físico (Ex: Cadernos, fichários), com finalidade econômica e por empresas são regidas pela LGPD, incluindo a obrigatoriedade de consentimento pelo titular dos dados.

O consentimento ou aceite formal deve ser guardado para consultas do titular ou pela ANPD?
R: Sim, deve ser guardado, fisicamente ou eletrônicamente para consulta ou auditoria. Se o processo for automatizado (Sistema de cadastro pela Internet, por exemplo), deve haver um sistema gerenciador de consentimentos.

O Consentimento do titular é obrigatório em todos os casos ou existem excessões previstas na lei?
R: Existem excessões previstas em lei, como em casos de interesse público, sem finalidade lucrativa, tutela de saúde, interesse legítimo do controlador (ex: Um varejista precisa ter dados do cliente por causa de proteção de crédito, contrato, etc…), mas adequados à LGPD. Nesse caso o dado deve ser armazenado ANONIMIZADO após o uso.

Em caso de não consentimento pelo titular, poderia uma empresa negar a venda ou prestação de serviços e este titular?
R: Sim, se o não fornecimento de dados pessoais impedir a prestação de serviço ou venda de produtos. Um exemplo seria o fornecimento do CPF do titular para emissão de nota fiscal de serviços ou venda de produtos. O CPF é uma informação regulatórias necessárias para emissão das notas.

Posso dar uma vantagem financeira, como um desconto na venda, no caso de fornecimento de dados pessoais?
R: Não é permitido oferecer vantagens financeiras condicionadas ao consentimento do titular.

Capítulo 4 – Relatório de Impacto

O que é afinal o Relatório de Impacto?
R: É uma documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Qual deve ser o conteúdo do Relatório de Impacto?
R: O relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para sua coleta e para a garantia da segurança das informações, bem como a análise do responsável com relação às medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Capítulo 5 – Sanções

Uma empresa faz parte de um conglomerado ou grupo econômico, e compartilham a mesma base de dados de clientes. Em caso de infrações cometidas por uma empresa do grupo, a multa é calculada pelo faturamento da empresa do grupo ou pelo faturamento de todo o grupo?
R: Como faz parte de um mesmo grupo econômico, a multa é calculada em cima do faturamento do conglomerado no exercício do ano anterior.

Capítulo 6 – Tecnologia

O que um projeto de LGPD tem de diferente sob a ótica de TI (Departamento de Tecnologia / Informática) em relação a um projeto tradicional de segurança de dados?
R: Podemos citar os 3 principais influências em TI:
a) A necessidade de colher um consentimento do titular dos dados, e que o ônus da prova é do controlador (Aquele que colheu os dados pessoais). Por isso o controlador deve possuir um sistema de gerenciamento de consentimentos.
b) Muitos projetos de segurança de dados não consideram o mascaramento de dados e nem a capacidade de anonimização ou pseudonimização.
c) No caso de empresas que utilizam cloud pública, devem estar resgardados contratualmente sobre a garantia de processos de segurança, e também sobre as leis de proteção de dados em caso de provedores instalados e sediados fora do Brasil

A LGPD diz que se o dado pessoal for anonimizado, a lei deixa de ser aplicada. Poderia explicar melhor sobre como anonimizar?
R: A definição de anonimização pela lei é “a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo“. Isso significa que todos os números únicos devem ser suprimidos ou anonimizados (mascarados) (CPF, RG, CNH, etc.), mas é sabido que indiretamente é possível associar um indivíduo também por e-mail, telefone, etc. Ou seja, estas informações também devem ser suprimidas ou mascaradas.
A maneira correta é anonimizar os dados no nível lógico mais baixo do dado, ou seja, no banco de dados, de tal forma que durante o ciclo de vida do registro da pessoa natural todos os campos que possam identifica-lo sejam apresentados mascarados. Lembrando também que pseudonimização não é considerado anonimização, pois é possível recuperar o dado pessoal mediante uma chave externa de criptografia ou com um usuário privilegiado.
Então a melhor maneira é apagar os dados pessoais após o tratamento necessário para o negócio…