Você tem perguntas não respondidas sobre a LGPD?

Talvez você esteja com dúvidas de como a LGPD impactará no seu negócio e das medidas que você precisará tomar para garantir que sua empresa garanta a privacidade de dados.
Se este for o caso, então não procure mais.

Aqui estão as respostas para as 10 principais perguntas mais frequentes sobre a LGPD

Entenda que a LGPD vem para regulamentar a troca de informações entre pessoas físicas e pessoas jurídicas, isso é um grande avanço quanto a este tipo de informação para todos nós.

Talvez você não tenha certeza do que isso significará para o seu negócio e das medidas que sua Instituição de Saúde precisa tomar para evitar riscos inerentes a violação de nossas obrigações quanto a proteção de dados privados de nossos funcionários, fornecedores e principalmente nossos clientes. A HDPO, conhece o cenário de hospitais e clínicas e está acostumada a lidar com programas regulatórios, através de profissionais certificados pela EXIN e conhecedores das leis que regem este segmento tão específico. Assim, a HDPO é seu parceiro ideal para direcionar-lhe nestes desafios da LGPD.
 

Quais tipos de dados especificamente deverão ser protegidos?

A LGPD define dados pessoais como: “qualquer informação relativa a uma pessoa singular identificada ou identificável “titular de dados “; uma pessoa identificável é aquela que pode ser identificada, direta ou indiretamente da pessoa natural por trás do dado, como por exemplo: nome, sobrenome, data de nascimento, documentos pessoais (como CPF, RG, CNH, Carteira de Trabalho, passaporte e título de eleitor), endereço residencial ou comercial, telefone e e-mail.

E claro que os identificadores on-line, como cookies endereço IP, também serão classificados como dados pessoais.

A lei traz também a definição de dados pessoais sensíveis, que são aqueles que se referem à “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”. Por seu maior potencial lesivo, o tratamento desses dados deve observar regras ainda mais rígidas.

A proteção de dados só será valida para empresas?

Não. A legislação cobre qualquer pessoa, empresa privada ou pública ou local que colete algum tipo de informação. A portaria de um prédio, por exemplo, teria de atender às regras regidas na LGPD.

Em que segmentos do mercado especificamente serão afetados pela LGPD?

Qualquer segmento de mercado que coletar ou tratar informações com um dos procedimentos elencados na Lei 13.709, art. 5º, inciso X, quais sejam: “coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

O impacto será a necessidade de reestruturação de todos os sistemas de informação pelo Gerente de TI, ao demonstrar ao advogado especialista em Direito Digital sobre os procedimentos, e este informar o que pode ser considerado infração à norma.

Qual a ligação entre a LGPD e Segurança da Informação?

Com a introdução da LGPD, as organizações que processam dados e/ou que identifiquem pessoas direta e/ou indiretamente agora precisam manusear-los com responsabilidade e segurança. É por isso que as empresas jé estão reexaminando seus processos e condutas de Segurança da Informação.

Quais os riscos que uma empresa correrá se não adequar-se à LGPD?

Para as empresas que não se adequarem a esta norma, que entrará em vigor em agosto de 2020, haverá a possibilidade de aplicação de multas de até R$50.000.000,00 (cinquenta milhões de reais) por infração à norma.

Além de ter sua imagem abalada pelo mercado e principalmente pela concorrência que não deixará isso passar em branco.

Por isso é imprescindível que os empresários solicitem o mais rápido possível a análise de um advogado especialista em DPO, das rotinas e sistemas da empresa, para que ele elabore os documentos necessários, e informe as alterações necessárias para que a empresa esteja em conformidade com a legislação.

Onde podemos encontrar os requisitos reais de Infraestrutura e Segurança da Informação ou controles da LGPD?

A LGPD não detalha exatamente quais controles devem ser colocados em prática. O que a LGPD exige que eles sejam “apropriados” e deixa espaço para julgamento sobre os meios apropriados. É aqui que o DPO, juntamente com o Profissional de Segurança da Informação podem entrar em ação e realizar uma avaliação de risco e criar um plano de mitigação de riscos composto de controles de segurança em várias camadas.

Como explicamos para o titular que seus dados estão sendo compartilhados com uma segunda empresa?

Isso deve fazer parte de sua política de privacidade. Você pode indicar quais dados estão sendo transferidos para esta segunda empresa e com que finalidade. Desde que exista um interesse legítimo que beneficie o titular dos dados (seu cliente, neste caso) e que os dados sejam necessários para essa finalidade, isso é permitido. No entanto, você precisa garantir que a empresa de transporte esteja atendendo aos requisitos da LGPD ao processar esses dados.

Como funciona se a minha Instituição tem um contrato com uma segunda empresa e esta com uma outra empresa terceira?

Entenda isso como uma cadeia de obrigações. A sua Instituição, como controladora de dados, é obrigada, de acordo com o LGPD, a certificar-se que seus fornecedores estejam em conformidade com o que rege a lei. Sendo assim, a empresa fornecedora é obrigada a garantir a segurança de dados vindos da sua instituição, como ela também é obrigada a garantir a conformidade da lei com os seus terceiros.
Porém, a sua Instituição é aquela que a ANPD vê como responsável direta pelos dados e esta tem a obrigação de garantir a segurança de dados pelos seus fornecedores.

Como funciona o fluxo de processo de dados?

Fluxos de dados são processos que os dados sofrem em sua Instituição. Imagine a coleta do número de telefone coletado a partir de um sistema ERP, que se comunica com um sistema de mensagens SMS, cujo banco de dados é processado na nuvem. A partir daí, os dados são transferidos para um terceiro sistema que controla a agenda online, por exemplo. Logo, os dados estão disponíveis para a sua Instituição, para o fornecedor do sistema de mensagens SMS e para uma outra empresa que trata da agenda. Assim, nos termos da lei, todos são responsáveis pela segurança destes dados.

O que é um DPO? Preciso contratar um para minha Instituição?

DPO são as iniciais de Data Protection Officer – Ele é o encarregado especialista e responsável em administrar todo o fluxo de informações em qualquer empresa, desde sua coleta até seu tratamento. Além disso, servirá como ponte entre a sua Instituição e ANPD – Agência Nacional de Proteção de Dados. Ele é o responsável em notificar a ANPD em caso de incidente/vazamento (divulgação e/ou uso não autorizado de dados pessoais).

Ele também deverá os funcionários das Instituições a tratar os dados coletados apropriadamente e realizar auditorias regulares.

Quanto a contratação de um DPO antes de agosto de 2020, somos da opinião de que muitas empresas não estão preparadas para a LGPD, principalmente as empresas da área da saúde. Então, a contratação de um DPO se faz necessária para garantir que sua instituição esteja preparada quando a lei estiver valendo. (Saiba  qual o perfil de um DPO). Acreditamos também que o mercado fará uma forte campanha para alertar a sociedade quanto aos seus direitos e certamente será usado pela concorrência.

Não encontrou sua resposta? Faça uma pergunta.