Tratamento de dados pessoais? Se refere à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração dos dados.
Há sanções para o descumprimento da lei? Sim, algumas mais comuns: Advertência, com indicação de prazo para adoção de medidas corretivas; Multa simples, de até 2% do faturamento no seu último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração; Multa diária; Publicização da infração após devidamente apurada e confirmada a sua ocorrência; Bloqueio dos dados pessoais a que se refere a infração até a sua regularização; Eliminação dos dados pessoais a que se refere a infração.
Como a empresa deve se preparar? Analisar as entradas de dados; Criar políticas de privacidade, Políticas de Cookies, Programa de Segurança da Informação, Plano de resposta à incidentes, Política de descarte com evidência, revisão de contratos, ferramentas e sites; Criar guia de boas práticas, salvaguardas e minimização de riscos; Criação e adequação de documentos à legislação, criação de cláusulas contratuais específicas; Revisar os processos de tratamento de dados, exemplo: criação de fluxos e análise de gaps/ropa, inventário de dados, plano de ação; Realizar treinamentos periódicos, com consultores certificados; Nomear encarregado e comitê de privacidade de dados pessoais; Gestão de riscos cibernéticos, exemplos: Fishing, Rasomware; Prestação de contas por meio do RIPD em casos de vazamentos; Utilizar ferramenta; Criar LIA; Executar práticas de due diligence.
O que é Dado Pessoal? Informação relacionada a pessoa natural identificada ou identificável. De acordo com a LGPD, exemplo: Nome, CPF, endereço, CEP.
O que é Estado dos dados? Podem ser: em uso, em movimento, em nuvem, em repouso, estruturados e não estruturados.
Titular do dado? Pessoa natural que detém direitos estabelecidos pela LGPD sobre seus dados pessoais.
O que é Dado Anonimizado? É aquele cujo titular não pode ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Uma vez anonimizado, o dado não é mais considerado pessoal, salvo quando o processo de anonimização puder ser revertido;
Controlador do dado? Pessoa física ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados pessoais.
O que é Dado Pessoal Sensível? São dados que podem levar a discriminação/segregação de alguma pessoa. De acordo com a LGPD: Origem racial ou étnica, convicção religiosa, opinião política, filiação a organização de classe, religiosa, filosófica ou política, dado referente à saúde ou vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Encarregado? Pessoa física ou jurídica responsável pela "triangulação" entre - titular de dados pessoais, ANPD e o CONTROLADOR. Pessoa que esclarece o titular de dados pessoais sobre seus questionamentos, mantém administração pública direta indireta/empresa informada, treinada e atualizada sobre as práticas em proteção de dados pessoais e, por fim, reporta-se à ANPD para atender as exigências requeridas dentro do prazo legal e sob orientação do controlador. O ENCARREGADO/DPO, preferencialmente, deve ter conhecimentos em TI, fluxo de processos, legislação e bom relacionamento interpessoal. Existe, também, o ENCARREGADO/DPO as a service (AaS), que é o profissional terceirizado e geralmente temporário para prestar os serviços descritos acima. Esse profissional é fundamental e é citado expressamente na Lei Geral de Proteção de Dados n. 13.709/18
Operador do dado? Pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.