Lei Geral de Proteção de Dados - LGPD

A Segfy saiu na frente dos seus concorrentes com transparência para garantir a adequação a LGPD

Desenvolvemos uma política com transparência, aberta para todo o público, pois nosso objetivo é garantir a segurança dos dados, fazendo com que nossos clientes não corram riscos.

Este material tem o objetivo de orientar sobre a LGPD (Lei Geral de Proteção de Dados), ainda que esta lei tenha sido aprovada há quase dois anos, em 15 de agosto de 2018, seu percurso para a efetiva entrada em vigor seguiu inúmeros desvios, com inúmeros adiamentos, os quais somente se encerraram no último dia 18 de setembro de 2020, quando o Senado Federal finalizou a apreciação do projeto de lei de conversão da Medida Provisória 959/2020, ocorrendo a sanção presidencial.

Os reflexos da entrada em vigor da LGPD certamente serão gigantescos em todos os setores da atividade econômica brasileira. Certamente sua implementação não alterará apenas estruturas jurídicas ou documentais das empresas, mas sua própria cultura e sua própria forma de desenvolver a prestação de serviços. Seguramente não será tarefa pequena e novamente demandará que o gestor supere mais esse desafio em meio ao mar bravio de todos os seus outros desafios diários, inclusive os que decorrem da pandemia que assolou todos os rincões deste planeta.

Ciente da criticidade do novo processo, a Segfy contratou uma assessoria de advogados altamente capacitados da Tedeschi e Padilha que lhes ajudou no primeiro passo em relação a entendimento da lei e a revisão da documentação necessária para estar adequado a LGPD, além disso realizamos um trabalho de mapeamento revisão de nossos processos interno para reduzir desperdícios e buscar melhorias.

Principais dúvidas sobre a LGPD
  • 1) A partir de qual data passam a surtir efeitos as disposições previstas na LGPD?

    A redação original da 13.709/2018 previa o início de sua vigência 18 (dezoito) meses após sua publicação oficial, ocorrida em 15 de agosto de 2018. Assim, inicialmente, todos os seus dispositivos entrariam em vigor no dia 15 de fevereiro de 2020. Posteriormente houve a edição da Medida Provisória nº 869/2018, que alterou o momento de início de vigência de partes da LGPD, estabelecendo que os dispositivos relativos à Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade previstos no art. 55 (e todas as letras em que se desdobrava) e nos arts. 58-A e 58-B, entrariam em vigor em 28 de dezembro de 2018. Quanto aos demais dispositivos, alterou-se o início da vigência para o dia 15 de agosto de 2020. Referida Medida Provisória foi convertida na Lei 13.853/2019 sem alteração da data de início de sua vigência. Posteriormente, em 29 de abril de 2020, foi editada a Medida Provisória 959/2020, a qual em seu art. 4º alterou novamente o prazo de início de vigência desses demais dispositivos acima referidos, fixando nova data para 3 de maio de 2021. Entretanto, no dia 26 de agosto de 2020 o projeto de lei de conversão da referida Medida Provisória foi aprovado pelo Senado Federal sem contemplar o adiamento inscrito nesse art. 4º, o qual foi considerado prejudicado, entrando em vigor no dia 18 de setembro de 2020.

  • 2) Quem deve cumprir a LGPD?

    O art. 3º da LGPD estipula que esta lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: I - a operação de tratamento - 2 - seja realizada no território nacional; II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional. Assim, nesse sentido, todas as empresas de qualquer segmento, estão obrigadas ao cumprimento das diretrizes da LGPD.

  • 3) O que se entende por DADOS PESSOAIS dentro das relações diárias nas empresas?

    Nos termos do art. 5º, I, da LGPD, entende-se por dado pessoal toda informação relacionada a pessoa natural identificada ou identificável, proteção esta que também se estende à imagem da pessoa natural. Nessa medida, todos os dados relativos aos colaboradores, aos contratantes, bem como de prestadores de serviços (pessoas físicas), estarão abarcados e protegidos pelas disposições inscritas na LGPD. Referida proteção independe da modalidade de suporte onde se encontrem os dados pessoais (físico ou virtual), sendo que os dados adquiridos mediante captação sonora também se encontram aqui protegidos. A LGPD não se aplica a dados de pessoas jurídicas.

  • 4) O que se entende por TRATAMENTO DE DADOS dentro de uma empresa?

    Nos termos do art. 5º, X, da LGPD, entende-se por tratamento de dados pessoais toda e qualquer operação realizada com estes, com destaque especial, mas não de forma exclusiva, para a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

  • 5) O que se entende por TITULAR DE DADOS?

    Nos termos do art. 5º, V, da LGPD, titular é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento, não podendo ser confundida a titularidade do direito com a aptidão para o seu exercício, como acontece em situações como a das pessoas - 3 - absoluta ou relativamente incapazes. Sendo assim, ainda que em determinadas situações seja necessária a autorização dos pais ou responsáveis de uma criança para o tratamento de seus dados, sua titularidade continuará sendo da criança (pessoa natural).

  • 6) Quando a LGPD não se aplica?

    Ao teor do art. 4º, da LGPD, ela não se aplica ao tratamento de dados pessoais: I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos; II - realizado para fins exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei; A expressão fins “acadêmicos” deve ser compreendida a luz do disposto no art. 47 e 66, parágrafo único da LDBE, bem como dos arts. 207 e 218 da Constituição Federal de 1988, entendendo-se trabalho acadêmico como aquele voltado ao desenvolvimento do conhecimento e da pesquisa científica.

  • 7) Se a minha empresa tem ISO 27001, então automaticamente estou adequado a LGPD?

    Não! Apesar da ISO 27001 contemplar vários requisitos da LGPD, ainda assim a nova lei brasileira não analisa apenas aspectos de segurança de informação, mas também todos os processos relacionados a empresa que podem ter transmissão ou vazamento de dados.

Bases Legais
A Segfy desenvolve tecnologias que permitem a comparação de preços, benefícios e características de diversos tipos de seguros e sua contratação pelo usuário cadastrado, por meio de uma solução de vendas para corretores, através de dois aplicativos. 

01 - Aplicativo destinado a gerar cotação de seguros para corretores Justificativa: inc. V, art. 7º - sendo o tratamento de dados necessário para prestar o serviço contratado, independe do consentimento do Titular, pois necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato de qual seja parte o Titular, a pedido do Titular dos dados. 

02 – Aplicativo destinado a oferecer serviço de gestão aos corretores Justificativa: inc. I, art 7º - para esta hipótese, poderá tratar dados pessoais apenas mediante fornecimento de consentimento pelo Titular dos dados.

 Aplicável a todos os casos, excepcionalmente: LEGÍTIMO INTERESSE Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecer em direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. OBS: Exclusivo para tratamento de dados pessoais NÃO sensíveis Art 7 º, IX Art 10 O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I apoio e promoção de atividades do controlador e II proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei. 

EXEMPLOS: • Envio de e-mail marketing quando existente um relacionamento entre o titular e o controlador; • Análise do perfil de consumo dos consumidores para identificar tendências de mercado. 
Como está sendo feita a implementação da LGPD na Segfy

Ainda não existe uma metodologia definida para implementação da LGPD, por isso desenvolvemos nosso método a partir das boas práticas da ISSO 27001 e seguindo 3 pilares.

Transparência

Segurança

Direitos do Titular

Definimos ao todo 5 passos para uma implementação correta da LGPD:

1 - Avalie a documentação necessária, como contratos de clientes e parceiros e a definição de uma política de segurança de dados, existem consultorias jurídicas que podem apoiá-los neste caso

2 – Avalie os processos que a sua empresa realiza, e quais podem ter impacto nos dados dos seus clientes, se não estão escritos, escreva-os, nomeie um DPO. Depois analise seu sistema e busque falhas de segurança onde o cliente pode ser afetado. A ISO 27001 nos ajuda a controlar estes pontos, como controle de acesso, análise de riscos etc.

3 – Adeque os pontos avaliados no item 2, é extremamente importante que crie um cronograma para realizar esta atividade, para isto o DPO deve estar à frente.

4 – O DPO deverá realizar uma auditoria nas áreas, processos e sistema, é importante levantar todas as não conformidades e gerar ações internas.

5 – Quando o DPO finalizar a auditoria então será emitido o relatório de aderência a legislação.

Atualmente a Segfy encontra-se na fase de adequação, para isto desdobramos todos os artigos da LGPD em 21 requisitos internos e definimos controles para que possamos controlar qualquer não conformidade em nossos processos

Diretriz Controles
1. Aplicação e Abrangência da Lei Base Legal
2. Requisitos para tratamento de dados pessoais Base Legal
3. Direitos do Titular Base Legal
4. Consentimento do Titular Autorização de utilização de dados
5. Uso com finalidade específica Limitação de uso
6. Tempo de tratamento Limitação de uso
7. Coleta mínima e adequada Limitação de uso
8. Livre de acesso pelos titulares Política de Privacidade
9. Adequação Limitação de uso
10. Gestão de segurança pelo controlador Controles de Segurança TI
11. Estruturação da segurança dados pessoais Controles de Segurança TI
12. Comunicação de incidentes Processo LGPD
13. Anonimização de dados Controles de Segurança TI
14. Política de privacidade Política de Privacidade
15. Transferência de dados internacional N/A
16. Tratamento de dados de crianças e adolescentes Política de Privacidade
Autorização de utilização de dados
17. Encarregado de tratamento de dados pessoais Política de Privacidade
18. Impacto de proteção de dados Relatório de impacto DPO, Análise de Risco
19. Penalidades N/A
20. Autoridade Nacional N/A
21. Política de dados Pessoais Política de Privacidade
22. Direito ao esquecimento N/A
Encarregado de Proteção de Dados

Desenvolvemos um processo para a tratativa de dados, sob a gestão do Encarregado de Proteção de Dados DPO.

São atribuições do DPO dentro da Segfy conforme orientações da LGPD:

  • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • Receber comunicações da autoridade nacional e adotar providências;
  • Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Dentro da Segfy todo o processo de implementação da LGPD é gerido pelo DPO, garantindo que todos os requisitos serão atendidos.

Futuro LGPD

Ainda existem muitas dúvidas sobre a LGPD, principalmente porque até o momento não houve a criação do órgão oficial, o que se sabe é que a maioria das empresas do Brasil precisarão repensar seus modelos de prospecção e contato sem rastrear pixels ou como direcionar seu público sem coletar dados de listening e bancos de dados de CRM quando não tiverem o consentimento de um usuário.

Os profissionais das diversas áreas devem começar desde já a buscar um parceiro seguro, que possa fornecer os insights e o desempenho de que precisam para atingir seus objetivos, mas sem comprometer a privacidade do consumidor e correr o risco de descumprir os artigos da LGPD.

A Segfy trabalha com corretoras de seguros, por isso pensar soluções para não correr riscos está no nosso DNA, estamos aperfeiçoando nossa plataforma constantemente para não deixar nosso cliente na mão, e por isso a LGPD é nossa prioridade

Segfy Documentos de Apoio
Se inscreva em nossa newsletter e receba novidades
Segfy, você + seguro 🧡
Segfy Tecnologia S/A | 30.254.990/0001-55 © 2021 Segfy ®. All rights reserved.
chevron-right