Lei Geral de Proteção de Dados

A LGPD, Lei Geral de Proteção de Dados, estabelece regras para tratamento dos dados pessoais (coleta, produção, armazenamento, utilização, acesso, etc), garantindo mais direitos aos titulares dos dados, bem como limitações e penalidades às empresas que trabalham com essas informações.

O objetivo da lei é dar mais transparência aos titulares dos dados e detalhar obrigações para as empresas que tratam desses dados. Para isso, a lei é baseada em dez princípios, entre eles transparência, segurança, finalidade, necessidade e adequação.

Os dados pertencem ao titular e não às empresas que os coletam, armazenam ou tratam. Além disso, a lei coloca em destaque a necessidade de transparência no tratamento do dado.

Todas as informações que permitem identificar ou tornam uma pessoa física identificável. Alguns exemplos são: nome, RG, CPF, hábitos, dados de localização, cookies, endereço IP, características físicas, dados profissionais, dados de crédito e financeiros, perfis, e endereços eletrônicos.

Alguns dados pessoais são considerados sensíveis pela lei e possuem mais restrições no tratamento, pois podem fazer com que o titular se sujeite a práticas discriminatórias. Por exemplo, os dados que se referem à origem étnica ou racial da pessoa, suas convicções políticas e religiosas, filiação a sindicatos ou organizações políticas, filosóficas ou religiosas, dados genéticos e dados ligados à saúde e vida sexual da pessoa. Também são considerados sensíveis os dados biométricos da pessoa.

1. Confirmar e acessar os dados que as empresas podem ter sobre ele;
2. Corrigir dados incompletos, inexatos ou desatualizados;
3. Restringir o tratamento de dados pessoais;
4. Solicitar exclusão, anonimato e bloqueio dos dados pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD;
5. Pedir portabilidade dos dados de um fornecedor de serviço ou produto para outro;
6. Revogar o consentimento, a qualquer momento, em casos em que o titular previamente tiver autorizado o tratamento de seus dados pessoais;
7. Receber explicações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a tomada de decisão em tratamentos automatizados;
8. Receber informações sobre as entidades públicas e privadas com as quais a empresa realizou uso compartilhado de dados;
9. Opor-se ao tratamento nos casos em que houver dispensa de consentimento prévio, se houver descumprimento ao disposto na LGPD.

Entre as principais obrigações está a necessidade de pautar todo tratamento de dado pessoal em uma das bases legais elencadas pela lei. Nos casos em que o tratamento não tenha uma base legal adequada, é necessário rever ou deixar de realizar este tratamento.

As bases legais mais relevantes são: o fornecimento de consentimento pelo titular, a necessidade de cumprimento de obrigação legal ou regulatória, a execução de contrato, o exercício regular de direitos, a proteção à vida, a proteção ao crédito e o atendimento aos legítimos interesses de quem está realizando o tratamento dos dados (respeitadas as expectativas do titular do dado quanto ao seu uso).

Além disso, as entidades precisam garantir o controle de acesso a esses dados, evitando vazamento e usos indevidos, atendimento aos direitos do titular e transparência sobre os tratamentos e finalidades.

Em agosto de 2019, a Fundação iniciou o projeto de adequação de seus processos às melhores práticas de privacidade e proteção de dados pessoais.

O trabalho de desenvolvimento do plano de adequação, com a participação ativa do corpo técnico e de direção da Fundação, contemplou etapas específicas, tais como:

(i) mapeamento das atividades que envolvem o tratamento de dados pessoais;

(ii) elaboração de diagnóstico e direcionamento de ações adequadas à sua estrutura de negócio e governança;

(iii) ações junto aos seus fornecedores de serviços especificas para tratamento de dados;

(iv) elaboração de políticas próprias que tratam da segurança das informações e privacidade dos dados. Acesse a Política de Privacidade e Proteção de Dados Pessoais  publicada no rodapé do site em: Termos de Uso e Privacidade .

(v) aculturamento dos colaboradores: treinamento das equipes;

(vi) redução de documentos em papel, visando proporcionar maior segurança para proteção dos dados;

(vii) em breve, será lançado pela entidade um Guia sobre a LGPD;

(viii) atualização e revisão das informações publicadas no site , bem como Manuais, Políticas e Regimentos internos.

1. A capacitação de todos os colaboradores foi estruturada por meio de comunicações e treinamento para abordar conceitos básicos a serem aplicados a partir de 2020.
2. Os colaboradores realizaram treinamento sobre a Lei geral de proteção de dados com foco no Privacy by Design,  que dispõe sobre  a aplicação da privacidade de dados desde a concepção do projeto ou operação até a sua implantação.

Procure por GDPR (General Data Protection Regulation), CCPA (California Consumer Privacy Act), APP (Australian Privacy Principles).

1. A LGPD é a lei do consentimento.
Consentimento é só uma das dez bases legais que as empresas podem usar para realizar o tratamento de dados pessoais.

2. Se a pessoa consentir, eu posso fazer tudo com o dado.
Qualquer tratamento deve ter uma finalidade adequada com o consentimento dado pelo titular e objetivo pretendido pela entidade.

3. Somos uma entidade, logo, todo tratamento será para execução do contrato previdenciário.
A LGPD traz dez bases legais para tratamento de dados, sendo cada uma igualmente relevante. Além da execução do contrato, o legítimo interesse e o cumprimento de obrigação legal/regulatória são bons exemplos.

4. Teremos que deletar os dados se a pessoa pedir.
É importante lembrar que alguns dados são armazenados e tratados para cumprir demandas legais e regulatórias, por exemplo, ou ainda para a prestação do serviço ao participante/assistido. Assim, nem todo dado poderá ser deletado quando a pessoa pedir. Cada caso será analisado, para que a melhor orientação seja dada ao participante/assistido ou titular.

5. Não podemos enviar dados para fora do Brasil.
A transferência internacional de dados é permitida na LGPD sob condições específicas.

6. Não poderemos mais compartilhar dados com parceiros, tampouco ter acesso aos dados deles.
A Fundação deverá ser transparente em relação à origem dos dados e com quem eles são compartilhados, e poderá compartilhar/acessar seguindo o disposto na LGPD.

7. Posso usar dados sensíveis a favor de minorias, como em ações afirmativas.
O uso de dados sensíveis é extremamente restrito, permitido somente se o titular consentir ou quando o uso for indispensável para cumprimento de obrigação legal, exercício regular de direitos e em determinadas situações para prevenção à fraude, conforme definido pela legislação.

O DPO (Data Protection Officer) atua como canal de comunicação entre a Fundação (controladora de dados pessoais), os titulares de dados pessoais (participantes, assistidos, beneficiários, colaboradores, fornecedores, dirigentes e prepostos) e a Autoridade Nacional de Proteção de Dados (ANPD). Ele é responsável por aceitar eventuais reclamações dos titulares, bem como as comunicações dos titulares e da ANPD, prestar esclarecimentos e adotar providências necessárias.

Também é responsável por orientar os colaboradores e os contratados da Entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais, nos termos da LGPD, editar regulamentos e procedimentos sobre a proteção de dados pessoais e privacidade, fiscalizar a atuação dos agentes de tratamento no território nacional e promover a cultura de proteção de dados no Brasil.

Qualquer comunicação e solicitação relativa ao tratamento de dados pessoais devem ser encaminhadas via e-mail pelos titulares dos dados diretamente ao DPO.