LGPD - Lei Geral de Proteção de Dados
Sobre a LGPD
A Lei Geral de Proteção de Dados Pessoais (LGPD), sob o número 13.709/2018, entrou em vigor a partir de 18 de setembro de 2020, mas suas sanções (penalidades) entram em vigor a partir de 1º de agosto de 2021, por força da Lei nº 14.010/2020. Ela regulamenta o uso, a proteção e a transferência de dados pessoais tratados dentro do território brasileiro, visando à regulamentação do tratamento desses dados com o objetivo de proteger os direitos fundamentais de liberdade e privacidade. Uma das principais influências na criação da LGPD, é o GDPR (General Data Protection Regulation), lei de proteção de dados que regulamenta a questão para a União Européia. O GDPR é a mais significante legislação recente sobre proteção de dados, que passou a servir de modelo para muitos outros países adotarem disposições semelhantes ou reforçarem políticas pré-existentes.
A quem a LGPD se aplica?
A Lei se aplica a qualquer pessoa, física ou jurídica (pública ou privada) que faça o tratamento de dados pessoais, inclusive aqueles coletados antes do início de sua obrigatoriedade. A LGPD possui aplicação chamada extraterritorial. Isso significa que a LGPD se aplica independentemente da localização da sede, ou a localização em que os dados são processados. Nesse caso, a lei é aplicável para empresas e organizações que processam dados pessoais de cidadãos brasileiros, independente da localização física da empresa (se os dados pertencem a indivíduos localizados em Brasil, ou se os dados foram coletados no Brasil – casos em que o titular dos dados estava no Brasil no momento da coleta).
Atores e papéis
Existem quatro tipos de agentes, com papéis e responsabilidades específicas, de acordo com a LGPD: o controlador, o operador, o titular e o encarregado.
Controlador: É a empresa/organização que toma as decisões em relação aos dados pessoais, que define quando e como os dados serão coletados, para quais finalidades serão utilizados, onde e por quanto tempo serão armazenados. Diante da regra de negócio da Secullum, o cliente contratante do serviço de software possui o papel de controlador dos dados.
Operador: É a empresa/organização que realiza o processamento de dados pessoais sob as ordens do controlador. O operador não toma decisões em relação ao uso dos dados. Dentro da regra de negócio da Secullum, a Secullum e a revenda possuem o papel de operador.
O titular: É a pessoa física a quem se referem os dados pessoais. Pode ser, por exemplo, o funcionário de uma empresa que contratou um software Secullum.
O encarregado: É a pessoa física indicada pelo controlador, que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), e orienta os funcionários do controlador sobre práticas de tratamento de dados.
SOBRE O COMPROMETIMENTO DA EMPRESA
A Copemaq e seus fornecedores de Software estão comprometidos em apoiar seus clientes no cumprimento da legislação, têm tomado todas as ações para assegurar o atendimento à Lei dentro de um prazo adequado. O ajuste das nossas soluções já ocorreu em diversos produtos e módulos. Veja alguns exemplos em que dados pessoais são tratados por nossas soluções e de nossos fornecedores: •Faturamento de nota fiscal de serviço; • Soluções de ponto – dados de contato, currículo, cálculo de folha de pagamento, benefícios; • Soluções de acesso e Segurança – cadastro de biometria, cadastro de terceiros;
AÇÕES QUE CARACTERIZAM TRATAMENTO DE DADOS PESSOAIS:
O que pode ser considerado um tratamento de dados? Tratamento é qualquer operação realizada com um dado, da coleta ao descarte. A LGPD estipula normas para qualquer ação de tratamento de dados pessoais: como a coleta, classificação, utilização, compartilhamento, reprodução, processamento, arquivamento, armazenamento etc.
- Acesso; • Armazenamento; • Avaliação; • Classificação; • Coleta; • Compartilhamento; • Comunicação; • Eliminação; • Modificação; • Processamento; • Reprodução; • Transferência; • Utilização.
O QUE É CONSIDERADO DADO PESSOAL
É toda informação (ou conjunto de informações) relativa à pessoa física identificada ou identificável. É importante destacar que a definição de dado pessoal possui uma segmentação: o dado pessoal sensível, caracterizado como toda informação (ou conjunto de informações) que pode acarretar prática discriminatória. Os dados pessoais sensíveis têm proteção maior na LGPD. Veja alguns exemplos e entenda a diferença:
| DADO PESSOAL | DADO PESSOAL SENSÍVEL | |
|---|---|---|
| CPF/RG |  | - |
| Endereço | | - |
| - | |
| Número de telefone | | - |
| Origem racial ou étnica | - | |
| Convicção religiosa | - | |
| Opinião política | - | |
| Filiação a sindicato ou à organização de caráter religioso, filosófico ou político | - | |
| Informação referente à saúde ou à vida sexual | - | |
| Dados genéticos ou biométricos | - | |
DIREITOS DO TITULAR DOS DADOS PESSOAIS
O titular dos dados é qualquer pessoa física que possui seus dados tratados por empresas e organizações. A LGPD prevê ao titular o amplo direito de informação, acesso, correção e eliminação dos dados, bem como o cancelamento do consentimento do uso e tratamento desses dados anteriormente fornecido. Na prática, a mudança aumenta a transparência e o controle do titular sobre o uso dos seus dados.
Para Contratos de Sistemas Web na modalidade SAAS entre a COPEMAQ (CONTRATADA) e seus Clientes (CONTRATANTE)
- As Partes, em comum acordo, submetem-se ao cumprimento dos deveres e obrigações referentes à proteção de dados pessoais e se obrigam a tratar os dados pessoais coletados no âmbito deste Contrato de acordo com a legislação vigente aplicável, incluindo, mas não se limitando à Lei nº 13.709, de 14 de agosto de 2018 (“Lei Geral de Proteção de Dados”), no que couber e conforme aplicável. As Partes deverão também garantir que seus empregados, agentes e subcontratados observem os dispositivos dos diplomas legais em referência relacionados à proteção de dados.
- Cada Parte deverá assegurar que quaisquer dados pessoais que possam vir a fornecer à outra Parte tenham sido obtidos em conformidade com a legislação aplicável, especialmente a Lei Geral de Proteção de Dados, e deverão tomar as medidas necessárias, incluindo, sem limitação, o fornecimento de informações, envio de avisos e inclusão de informações nas respectivas políticas de privacidade e demais documentos aplicáveis, e obtenção de consentimento dos titulares dos dados pessoais, quando aplicável, para assegurar que a outra Parte tenha o direito de tratar tais dados pessoais.
- Cada Parte compromete-se a utilizar os dados pessoais a que tiver acesso somente para permitir a execução deste do referido Contrato ou cumprir com obrigações legais ou regulatórias, providenciando sua eliminação mediante o término deste Contrato ou das hipóteses legais que permitem o tratamento de dados pessoais.
- No manuseio dos dados a Contratante e seus fornecedores relacionados ao referido contrato deverão:
(i) Tratar os dados pessoais a que tiver acesso apenas de acordo com as instruções da CONTRATANTE e em conformidade com estas cláusulas, e que, na eventualidade, de não mais poder cumprir estas obrigações, por qualquer razão, concorda em informar de modo formal este fato imediatamente à CONTRATANTE, que terá o direito de rescindir o contrato sem qualquer ônus, multa ou encargo.
(ii) Manter e utilizar medidas de segurança administrativas, técnicas e físicas apropriadas e suficientes para proteger a confidencialidade e integridade de todos os dados pessoais mantidos ou consultados/transmitidos eletronicamente, para garantir a proteção desses dados contra acesso não autorizado, destruição, uso, modificação, divulgação ou perda acidental ou indevida.
(iii) Acessar os dados dentro de seu escopo e na medida abrangida por sua permissão de acesso (autorização) e que os dados pessoais não podem ser lidos, copiados, modificados ou removidos sem autorização expressa e por escrito da CONTRATANTE.
(iv) Garantir, por si própria ou quaisquer de seus empregados, prepostos, sócios, diretores, representantes ou terceiros contratados, a confidencialidade dos dados processados, assegurando que todos os seus colaboradores prepostos, sócios, diretores, representantes ou terceiros contratados que lidam com os dados pessoais sob responsabilidade da CONTRATANTE assinaram Acordo de Confidencialidade com a CONTRATADA, bem como a manter quaisquer Dados Pessoais estritamente confidenciais e de não os utilizar para outros fins, com exceção da prestação de serviços à CONTRATANTE. Ainda, treinará e orientará a sua equipe sobre as disposições legais aplicáveis em relação à proteção de dados.
(v) responsabilizar-se pelos dados dos empregados da CONTRATANTE incluídos no “ SOFTWARE DE TRATAMENTO DO PONTO” de propriedade da CONTRATADA, devendo para tanto somente cadastrar dados essenciais à prestação de serviços, não podendo transmiti-los a terceiros, sob qualquer hipótese, exceto quanto aqueles permitidos por Lei, devendo em caso de vazamento de dados, responsabilizar-se por todo e qualquer dano, multas ou penalidades impostos à CONTRATANTE, seus colaboradores, diretores e outros prejudicados ligados a CONTRATANTE.
- Cada Parte será individualmente responsável pelo cumprimento de suas obrigações decorrentes da Lei Geral de Proteção de Dados e de eventuais regulamentações emitidas posteriormente por autoridade reguladora competente.
