TERMO DE CONSENTIMENTO DOS SERVIDORES Dúvidas sobre Lei Geral de Proteção de Dados
O que você vai encontrar no Guia de Implementação da LGPD:
Já deu para perceber que a jornada da LGPD é desafiadora. Mas, com este guia em mãos, você vai conseguir elucidar os pontos principais:
O que é a LGPD?
A lei número 13.709/2018, também conhecida como Lei Geral de Proteção de Dados, ou LGPD, é a lei que dispõe sobre a proteção dos dados pessoais de todas as pessoas naturais em território brasileiro. Foi decretada pelo Congresso Nacional em 14 de agosto de 2018 e entrará em vigor em agosto de 2021.
A lei acompanha um movimento internacional em prol da proteção de dados pessoais dos cidadãos de todo o mundo. Baseada diretamente na General Data Protection Rules da União Europeia, a regulamentação visa inibir que sejam coletados “dados em excesso”, bem como limita seu uso para fins com os quais seus titulares não tenham explicitamente concordado.
Fundamentos da LGPD
A lei foi escrita em base de 7 fundamentos. São eles que delimitam o que é legal e o que é ilegal no que tange à proteção de dados, permeando os princípios e as bases legais da lei.
De acordo com o Artigo 2º da LGPD, são eles:
O interesse dos titulares dos dados é o que vai ditar quais dados serão coletados e como eles serão operados. Além disso, o titular é livre para solicitar qualquer informação a respeito do processo de tratamento, bem como solicitar a eliminação de seus dados da base de pessoas ou organizações que estejam em posse deles, se assim lhe convir.
Assim, a transparência e a garantia de privacidade se tornam os pilares para quem deseje se posicionar com credibilidade e de toda organização que preze por uma boa imagem junto ao público.
Trata-se de um compromisso incontestável com a segurança e o respeito aos dados dos cidadãos brasileiros.
As diretrizes da LGPD
A lei elenca 10 princípios para o tratamento de dados pessoais. É com base nessas diretrizes que você deve realizar qualquer operação concernente aos dados, da coleta à sua utilização conforme os propósitos do CRFCE.
Com a implantação da LGPD, todo e qualquer tratamento de dados pessoais deve ter um fim específico, explícito e claramente informado a seu titular. Isso significa que, além de informar quais dados deseja-se coletar, será necessário explicar para o que cada dado coletado será utilizado.
O objetivo é assegurar que sejam coletados apenas os dados indispensáveis para o fim explicitado pela organização. Por exemplo, se uma organização precisa dos dados de um cliente para gerar um contrato de prestação de serviços, ela deve deixar bem claro que dados são esses (nome, telefone, RG, CPF, endereço, etc.) e o porquê de sua necessidade (identificação contratual).
Com a lei, fica também vedada a modificação da finalidade durante o tratamento.
Todos os dados pessoais devem estar de acordo com a finalidade informada. A razão pela qual a coleta será feita deve ter relação com o tipo de dado solicitado. Retomando o exemplo do contrato de prestação de serviços, não teria, a princípio, razão para se solicitar a data de nascimento do titular, certo? Mas, no âmbito do CRF/CE, existem situações que impõem a análise da idade do inscrito, a exemplo da inscrição remida e sua conseqüente dispensa/isenção da respectiva cobrança de anuidade, mostra-se adequada a exigência da data de nascimento do profissional inscrito.
Deve-se utilizar os dados estritamente para alcançar as necessidades apresentadas pelo CRFCE (identificação do indivíduo para inscrição nos quadros da entidade, ainda conforme o exemplo). Qualquer desvio de conduta será punido.
Livre-acesso
Toda e qualquer pessoa física tem o direito de consultar, junto à organização, de forma simplificada e gratuita, todos os dados dos quais seja titular e que tenham sido coletados por dita organização. Grande parte dos dados já está disponível em portal próprio (CRF Online), acessível mediante senha.
Garante, aos titulares dos dados, a exatidão, a clareza, a relevância e a atualização constante dos dados, de acordo com a necessidade da organização e para o cumprimento da finalidade de seu tratamento, previamente informada ao titular.
O nível de detalhamento e exatidão vai variar de acordo com a necessidade e finalidade do tratamento de dados.
Os titulares dos dados têm direito a informações claras, precisas e facilmente acessíveis quanto aos responsáveis pelo tratamento de dados e à realização do tratamento de dados, observados os segredos, isto é, respeitando as informações que as organizações mantêm como confidenciais junto às legislações pertinentes.
Em caso de transferência de dados a terceiros, como empresas, por exemplo, o titular deve ser informado.
É responsabilidade da organização buscar os meios, processos e a tecnologia necessária para garantir a proteção de dados pessoais. Deve-se impedir o acesso por terceiros não-autorizados, assim como tomar medidas preventivas para solucionar acidentes que possam vir a ocorrer.
As organizações devem tomar precauções para evitar danos em virtude do tratamento de dados, ou seja, impedir seu vazamento ou que sejam utilizados para fins que possam prejudicar seus titulares.
De acordo com a lei, fica proibida a utilização de dados pessoais para discriminar ou promover qualquer forma de abuso contra seus titulares. Este princípio trata sobre dados pessoais sensíveis, como origem racial, étnica, religião, posicionamento político, saúde e similares.
As organizações devem comprovar que estão seguindo todas as prerrogativas da LGPD, a fim de demonstrar boa-fé e diligência.
Bases legais da LGPD
Toda coleta e processamento de dados deverá se atentar à base jurídica imposta pela Lei Geral de Proteção de Dados, onde estão previstas hipóteses que poderiam tornar ilegais o tratamento de dados pessoais pelas organizações. As duas mais comentadas são:
Para a obtenção dos dados, é necessário e irrevogável o consentimento do titular destes dados. Em outras palavras, toda a informação coletada deve ser fornecida livremente pelos titulares, estando estes livres para escolher entre permitir ou negar a coleta de dados e solicitar sua exclusão da base de dados da organização quando conveniente.
Organizações, públicas e privadas, a exemplo do Conselho Regional de Farmácia do Estado do Ceará, poderão promover o tratamento de dados pessoais caso possuam finalidades legítimas, transparentes e partindo de situações concretas.
Como ressalva, apenas os dados pessoais estritamente necessários para a finalidade pretendida podem ser tratados, conforme explicitado anteriormente nos itens Finalidade e Adequação.
A LGPD detalha em seu texto quatro envolvidos nos processos de privacidade de dados:
A pessoa física proprietária dos dados pessoais.
Quem coleta os dados pessoais e toma as decisões em relação a todo o processo de tratamento dos dados, razão de sua utilização e o tempo de armazenamento.
A organização ou pessoa física que vai realizar todo o processo de tratamento e processamentos dos dados pessoais coletados. O operador irá seguir as orientações do controlador.
A pessoa física, indicada pelo controlador, responsável pela comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados, que realizará a fiscalização do tratamento de dados. Também é responsável por orientar o controlador (seja organização ou pessoa física) sobre as melhores práticas em relação ao tratamento de dados.
A LGPD discorre sobre algumas exceções em sua atuação. Conforme elucidado pelo Artigo 4º da lei, elas incidem sobre:
Trata-se da coleta de dados realizada por pessoa natural para fins particulares e que não incida em qualquer tipo de ganho econômico. Observe que essa exceção se limita a pessoa natural; logo, isso significa que Conselho Regional de Farmácia do Estado do Ceará, ainda que sem fins lucrativos, também responde à LGPD.
Faz referência a atividades às quais a lei não se aplica devido à natureza de sua finalidade, como:
Todos os dados coletados fora do território nacional que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamentos brasileiros ou transferência internacional de dados com outro país, desde que ele tenha algum tipo de legislação voltada à proteção de dados.
Além disso, todo e qualquer tratamento de dados deve ter um término e descarte previstos pela organização.
Refere-se aos órgãos de pesquisa, determinando que os dados coletados podem ser mantidos. A exigência para isto é que os órgãos forneçam garantia de anonimização (quando dado perde a possibilidade de associação, direta ou indireta, a um indivíduo).
Quando os dados forem transferidos a terceiros, existe a possibilidade de não-encerramento, uma vez que os dados estão sujeitos à necessidade de um mediador a mais. Não obstante, todas as diretrizes de tratamento de dados devem ser cumpridas.
Por outro lado, quando os dados são para uso exclusivo do controlador, é vedado qualquer acesso a terceiros, a não ser que os dados sejam anonimizados.
LGPD
A LGPD irá afetar decisivamente todas as pessoas jurídicas e físicas, administrações públicas,e em alguns casos específicos, pessoas físicas. De modo geral, toda entidade que lidar com dados pessoais, por menor que seja, será contemplada pela lei.
Nisso são incluídas também atividades de tratamento realizadas fora do país, mas que tenham como objetivo a oferta e/ou fornecimento de bens e serviços no Brasil.
A Lei Geral de Proteção de Dados entre em vigor em agosto de 2021 e, com ela, é esperado um impacto significativo no ambiente corporativo em geral, inclusive no âmbito dos Conselhos Profissionais, os quais lidam com os dados pessoais de seus inscritos e devem observância irrestrita às regras estabelecidas pela referida lei. Até essa data, é essencial que as organizações, especialmente aquelas que tratam um grande volume de dados pessoais, estejam em compliance com a LGPD.
A questão é que o tratamento de dados não se limita aos dados pessoais dos profissionais inscritos, mas também os dados pessoais de colaboradores são contemplados pela nova lei.
Dá para imaginar a complexidade dessa adequação, não é?
Amparados pela lei e, possivelmente, pela Constituição Federal, qualquer prejuízo decorrente do tratamento inadequado dos dados pessoais será uma ação ilegal e, dependendo da aprovação da PEC 17/2019, anticonstitucional.
Finalmente, a julgar pela consulta pública realizada pelo Senado, aproximadamente 95% dos brasileiros concordam com a constitucionalidade da proteção aos dados pessoais. Sendo assim, a pressão pública, na mesma medida que a força da lei, dão uma dimensão da importância do compliance.
A não garantia da privacidade dos dados pode ocasionar prejuízos muito maiores do que o de dinheiro. Pode perder credibilidade, confiança dos profissionais inscritos da própria profissão farmacêutica.
O que muda, na prática, com a LGPD?
O time de TI, o time de RH, o time de Marketing, o time Financeiro, enfim, qualquer um que lide com dados, seja online ou offline, será afetado pela LGPD.
De forma geral, isso significa que os fluxos de operação de dados deverão ser mais cuidadosos e transparentes. Mas como garantir a proliferação de um comportamento que priorize a segurança e a privacidade por todos no CRFCE?
Com a implantação da Lei Geral de Proteção de Dados, entra em cena um novo profissional: o Data Protection Officer (DPO).
De acordo com a LGPD, é obrigatório ter um encarregado, mas não é obrigatório que ele seja um DPO. Porém, o profissional que melhor se enquadra no que se exige de um encarregado, considerando os exemplos lá de fora, é o DPO.
Complicado? Pois é. Mas vamos simplificar.
Basicamente, é preciso contar com um profissional designado para administrar todo o fluxo de informações, da coleta e tratamento à exclusão dos dados ao fim da operação ou quando solicitado pelo titular.
Assim, podemos resumir suas funções nos seguintes itens:
Esse profissional deve possuir autonomia o suficiente, pois irá exercer diversas funções que muitas vezes não são desenvolvidas com uma única área de conhecimento. Portanto, o ideal é que ele seja alguém que possua uma boa formação interdisciplinar.
Ele deverá ter ao menos as seguintes características.
A finalidade, a necessidade e o consentimento são os princípios que permeiam uma coleta de dados em compliance com a LGPD.
Sendo assim, será necessário que o titular esteja explicitamente de acordo em ceder os dados que o CRFCE determinar como imprescindíveis para que alcance determinado objetivo. Isso poderá ser feito por meio de formulários específicos, personalizados conforme a necessidade.
Vamos voltar ao exemplo da inscrição, lá do começo do texto? Na hora de criar uma ficha ou formulário para solicitar os dados, eles devem seguir a lógica:
Todos esses pontos devem estar claros para o titular dos dados e, se algum não estiver, ele deve ter condições de solicitar o esclarecimento junto ao CRFCE.
O modelo se aplica a todo tipo de coleta, variando apenas os detalhes conforme a finalidade e a necessidade para cada caso.
Ao sancionar a Lei Geral de Proteção de Dados, o governo brasileiro espera sigam seus requisitos. Porém, em caso de organizações infratoras, existem punições previstas no texto que vão desde uma advertência até uma multa de até 50 milhões de reais.
O intuito da lei é criar uma cultura de privacidade no ambiente de negócios brasileiro. Por essa razão, as penalidades sempre seguirão critérios objetivos, de modo que a valorização da cultura de proteção de dados seja incentivada, enquanto a de displicência, punida.
Se o controlador (Conselho Regional de Farmácia do Estado do Ceará e organizações) não cumprir com o exigido, a ANPD é a responsável por aplicar advertências, penalidades e, dependendo da gravidade do caso, multas, como veremos a seguir:
A ANPD pode advertir formalmente uma organização a fim de permitir que ela corrija as infrações sem maiores consequências. Será fornecido um prazo para adoção das medidas corretivas determinadas pelo órgão.
O valor da multa será de até 2% do faturamento da pessoa jurídica no seu último exercício. O teto será de R$ 50 milhões por infração e os valores das multas arrecadadas com a fiscalização da ANPD em conformidade com a Lei Geral de Proteção de dados serão destinados ao Fundo de Defesa de Direitos Difusos.
Além da multa simples, poderá ser instituída uma multa diária. O limite continua sendo de R$ 50 milhões por infração.
Divulgação pública da infração, nos meios de comunicação pertinentes, explicitando os delitos cometidos em toda a sua extensão.
Os dados a que se referirem à infração serão bloqueados até que as autoridades competentes solucionem o caso. Impossibilitando o manejo e, por consequência, qualquer tipo de atividade ligados a eles.
Os dados que caracterizaram a infração deverão ser apagados do sistema do CRFCE, ocasionando na perda de todo investimento efetuado na captação de tratamento desses dados.
Muito além da Lei Geral de Proteção de Dados, existem outras regulamentações brasileiras e internacionais com o objetivo de assegurar a proteção dos dados pessoais.
Algumas delas contribuíram para a criação da LGPD, seja influenciando diretamente em sua criação ou agindo em seu campo de atuação, e expandem a noção de como a lei deve operar, servindo de referência para sua aplicação:
A resolução BACEN 4658 obriga as instituições reguladas pelo Banco Central a desenvolverem políticas de segurança cibernéticas, com um plano de ação para respostas a possíveis incidentes, assim como um planejamento para a continuidade dos negócios.
Ela também estipula requisitos na contratação de serviços terceirizados e na nuvem e determina criação de uma política cibernética, que contempla, no mínimo:
Além disso, especifica os procedimentos e controles tecnológicos no intuito de reduzir a vulnerabilidade da instituição. Os requisitos mínimos para isso são:
A resolução foi aprovada em 26 de abril de 2018 pelo Conselho Monetário Nacional e entrou em vigor imediatamente.
Trata-se da lei nº 12.965/14, que regulamenta a utilização da internet e estabelece princípios e garantias para tornar a rede livre e democrática no Brasil.
A lei está em vigor desde 23 de junho de 2014, com o intuito de assegurar os direitos e os deveres dos usuários, aplicando-se, por conseguinte, ao Conselho Regional de Farmácia do Estado do Ceará.
Dentre os pontos abordados pelo Marco Civil da Internet, temos o da privacidade. De acordo com ele, os provedores de internet só poderiam guardar registros de conexão dos usuários por no máximo um ano, sendo também proibido armazenar e monitorar informações pessoais e histórico de navegação.
Já o Conselho Regional de Farmácia do Estado do Ceará deve armazenar informações por no máximo seis meses. Autoridades só podem acessar dados pessoais com ordem judicial.
Finalmente, temos a lei nº 8.078 de 11 de setembro de 1990, popularmente conhecida como Código de Defesa do Consumidor.
Ela trata das relações de consumo nas esferas civil, administrativa e penal, definindo as responsabilidades e os mecanismos para a reparação de danos causados, os mecanismos para o poder público atuar nas relações de consumo e estabelecendo possíveis infrações e as sanções pertinentes.
Até a atuação efetiva da LGPD, o Código de Defesa do Consumidor é quem dá amparo em casos de vazamentos de dados ou danos oriundos do descuido com dados pessoais de consumidores, uma vez que podem ser enquadrados pela Justiça como danos morais e materiais ao consumidor.
Foi o que aconteceu no caso da Netshoes, por exemplo. O vazamento de duas listas de credenciais entre 2017 e 2018 custou R$ 500 mil à empresa como indenização por danos morais – um acordo fechado com o Ministério Público do Distrito Federal e Território (MPDFT), que, na ausência, à época, de um órgão exclusivo para o este fim, fez o que agora será trabalho da ANPD.
O Conselho Regional de Farmácia do Estado do Ceará deve obter consentimento dos titulares de dados para utilização de dados pessoais, especificando qual a finalidade dessa utilização – e esse consentimento pode ser retirado a qualquer momento pela pessoa.
Conclusão
Não há dúvidas: a LGPD vai impactar significativamente a forma como os dados pessoais são tratados no Brasil. Seguindo a mesma linha da GDPR, a LGPD contempla cartões de créditos, transações comerciais, contratos, rotinas diárias, redes sociais, enfim, qualquer informação que permita que se identifique uma pessoa, independentemente de como o dado será utilizado.
Ela estabelece diversas regras sobre como os dados serão coletados, armazenados, tratados e compartilhados. Aqueles que não se adequaram serão penalizados com advertências, multas e, em casos mais graves, até bloqueios.
Portanto, é natural que precisemos de adequações e adaptações permanentes, diante da recenticidade e complexidade da norma, que sua própria dinâmica ditará a evolução de sua implementação.
Formulário de pedido de acesso a dados pessoais tratados no CRF-CE
Com base no Art. 18 da Lei Federal nº 13.709/2018, para encaminhar um Pedido de Acesso aos dados pessoais, de modo online, é necessário clicar e preencher o formulário:.