POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS (INTERNA)
BENEFICÊNCIA CAMILIANA DO SUL – REGIONAL SUL
1. OBJETO E OBJETIVO DO DOCUMENTO
A LGPD estabelece regras e princípios para o Tratamento de Dados Pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A LGPD define que a proteção de Dados Pessoais no Brasil tem como fundamentos: o respeito à privacidade; à autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
A BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL reconhece o valor da privacidade e da proteção de dados como bem comum e boas práticas de negócios; promovendo sua implementação sistematicamente com a LGPD e a regulamentação aplicável.
A presente Política de Privacidade e Proteção de Dados Pessoais Interna (“Política”) aplica-se a BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL no que diz respeito à sua atuação de acordo com as leis, regulamentos e normas de governança aplicáveis à Proteção de Dados Pessoais.
2. ESCOPO DE APLICAÇÃO
No que diz respeito ao escopo de aplicação, o art. 3º estabelece que a LGPD se aplica a qualquer operação de Tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
i. A operação de Tratamento seja realizada no território nacional;
iii. Os Dados Pessoais objeto do Tratamento tenham sido coletados no território nacional. Consideram-se coletados no território nacional os Dados Pessoais cujo Titular nele se encontre no momento da coleta.
Esta Política aplica-se a todas as operações da BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL SUL que tratam Dados Pessoais.
3. REFERÊNCIAS
? Constituição da República Federativa do Brasil de 1988 – Art. 5ª, X (“CRFB”);
? Lei 8.078/90 – Código de Defesa do Consumidor (“CDC”);
? Lei 12.965/14 e seu Decreto Regulamentador 8771/18 – (“Marco Civil da Internet’);
? Lei 13.709/18 (Lei Geral de Proteção de Dados Pessoais – “LGPD”);
4. DEFINIÇÕES
|
Termo |
Definição |
|
Consentimento |
Manifestação livre, informada e inequívoca pela qual o Titular concorda com o Tratamento de seus Dados Pessoais para uma finalidade determinada.
|
|
Controlador |
Pessoa natural ou jurídica a quem competem as decisões referentes ao Tratamento de Dados Pessoais (“Controlador”), sozinho ou juntamente a outros Controladores (“Co- Controladores”).
|
|
Transferência Internacional de dados |
Há Transferência Internacional quando há transferência de Dados Pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
|
|
Incidente de Segurança de Dados |
O Incidente de Segurança de Dados é uma violação de segurança que leva ao acesso, divulgação não autorizada, alteração, perda ou destruição acidental ou ilegal de Dados Pessoais transmitidos, armazenados ou de outra forma tratados.
|
|
Encarregado ou DPO (Data Protection Officer) |
Pessoa natural encarregada de supervisionar e dar suporte ao Controlador ou ao Operador em todos os temas relacionados ao tratamento de Dados Pessoais. O DPO desempenha um papel consultivo, ele/ela supervisiona a conformidade à LGPD, pelo Controlador e o Operador, e é a referência e ponto de contato com a Autoridade Nacional e com os Titulares, de acordo com o que está previsto na LGPD e nesta Política.
|
|
Relatório de Impacto à Proteção de Dados Pessoais ou DPIA (Data Protection Impact Assessment) |
Documentação do Controlador que contém a descrição dos processos de Tratamento de Dados Pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
|
|
Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (“CNPD”).
|
O Conselho Nacional de Proteção de Dados e da Privacidade é composto por representantes, titulares suplentes, dos órgãos: Poder Executivo Federal Senado Federal, Câmara dos Deputados, Conselho Nacional de Justiça, Conselho Nacional do Ministério Público, Comitê Gestor da Internet no Brasil, entidades da Sociedade Civil com atuação comprovada em proteção de Dados Pessoais, instituições científicas, tecnológicas e de inovação, entidades representativas do setor empresarial relacionado à área de Tratamento de Dados Pessoais. Compete ao Conselho propor diretrizes à Política Nacional de Proteção de Dados; elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade; sugerir ações a serem realizadas pela ANPD; elaborar estudos e realizar debates e audiências públicas sobre a proteção de Dados Pessoais e da privacidade; disseminar o conhecimento sobre a proteção de Dados Pessoais e da privacidade à população em geral, nos termos do Art. 58-B da LGPD.
|
|
Lei Geral de Proteção de Dados Pessoais (“LGPD”). |
Lei brasileira nº 13.709/2018 que dispõe sobre o Tratamento de Dados Pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
|
|
Titular |
Pessoa natural a quem se referem os Dados Pessoais que são objeto de Tratamento. |
|
Legítimo Interesse |
O legítimo interesse é uma das hipóteses autorizadoras para tratar Dados Pessoais (“bases legais”). A rigor, deve ser utilizado de maneira subsidiária às demais bases legais específicas e surge para atender aos interesses legítimos do Controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do Titular que exijam a proteção dos Dados Pessoais.
|
|
Dados Pessoais |
Toda e qualquer informação relacionada a pessoa natural identificada ou identificável, tais como: nome, RG, CPF, etc.
|
|
Aviso de Privacidade |
Instrumento pelo qual o Controlador fornece informações completas sobre as características essenciais do Tratamento.
|
|
Tratamento |
Toda operação realizada com Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
|
|
Operador |
Pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador.
|
|
Pseudonimização, anonimização e criptografia |
Constitui Pseudonimização o Tratamento de Dados Pessoais de forma que deixem serem atribuídos a um Titular específico, salvo se recorrer-se a informações suplementares, e desde que essas informações suplementares sejam mantidas arquivadas separadamente.
Constitui Anonimização a utilização de meios técnicos razoáveis e disponíveis no momento do Tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um Indivíduo.
Constitui Criptografia, o processo de transformar informação usando um algoritmo de modo a impossibilitar a sua leitura a todos exceto aqueles que possuam uma identificação particular, geralmente referida como chave.
|
|
Medidas de Segurança |
Medidas técnicas e administrativas aptas a proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de Tratamento inadequado ou ilícito, de acordo como o Art. 46 da LGPD e sua respectiva regulamentação.
|
|
Dados Pessoais Sensíveis |
Dados Pessoais Sensíveis referem-se a dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
A título de esclarecimentos:
“Dados genéticos”: Dados Pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa física que fornecem informações unívocas sobre a fisiologia ou sobre a saúde de tal pessoa física, e que resultam designadamente da análise de uma amostra biológica da pessoa física em questão;
“Dados biométricos”: Dados Pessoais resultantes de um Tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa física que permitam ou confirmem a identificação única dessa pessoa, tais como foto, vídeo, imagens da face ou dados de impressão digital;
“Dados relativos à saúde”: Dados Pessoais relacionados com a saúde física ou mental de uma pessoa física, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.
|
|
Autoridade Nacional de Proteção de Dados (“ANPD”) |
A Autoridade Nacional de Proteção de Dados é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
|
5. PRINCÍPIOS GERAIS
A proteção de Dados Pessoais na BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL será baseada nos seguintes princípios fundamentais, majoritariamente previstos pela LGPD:
5.1. Princípio da Finalidade
A realização do Tratamento pela BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL deve se dar para propósitos legítimos, específicos, explícitos e informados ao Titular, sem possibilidade de Tratamento posterior de forma incompatível com essas finalidades.
5.2. Princípio da Adequação
A BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL deve garantir a compatibilidade do Tratamento com as finalidades informadas ao Titular, de acordo com o contexto do Tratamento.
5.3. Princípio da Necessidade
O Tratamento realizado pela BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL deve limitar-se ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do Tratamento de dados. Assim, a coleta de Dados Pessoais pela BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL deve ser limitada ao indispensável.
5.4. Princípio de Livre Acesso
A BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL deve garantir aos titulares consulta facilitada e gratuita sobre a forma e a duração do Tratamento, bem como sobre a integralidade de seus Dados Pessoais.
5.5 Princípio da Qualidade dos Dados
A BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL deve garantir aos titulares exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu Tratamento.
5.6. Princípio da Transparência
A BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL deve garantir às titulares informações claras, precisas e facilmente acessíveis sobre a realização do Tratamento e sobre os controladores e operadores nele envolvidos, observados os segredos comercial e industrial. Deve haver uma política geral de transparência a respeito do desenvolvimento, das práticas e das políticas da BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL referentes a Dados Pessoais.
5.7. Princípio da Segurança
Utilização pela BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL de Medidas de Segurança aptas a proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão de Dados Pessoais.
5.8. Princípio da Prevenção
Adoção de medidas pela BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL para prevenir a ocorrência de danos em virtude do Tratamento de Dados Pessoais.
5.9. Princípio da Não-Discriminação
A BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL não deve realizar nenhum Tratamento para fins discriminatórios, ilícitos ou abusivos.
5.10. Princípio da Responsabilização e Prestação de Contas
Demonstração, pela BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de Dados Pessoais e, inclusive, da eficácia dessas medidas. A BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL por meio de documentação e demonstração de processos internos, prestará contas às autoridades e aos colaboradores, e a quem mais entender relevante, quanto à observância das medidas que dão efeito aos princípios acima indicados.
Isto implica em uma atualização contínua para as melhores práticas de proteção de dados e um esforço correspondente para incorporá-las dentro da estratégia, da organização e dos negócios da BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL.
O princípio da responsabilização requer também uma utilização mais ampla das metodologias de avaliação de risco, como o DPIA como um processo de tomada de decisão centrado nos interesses do Titular. Isto implica um dever do Controlador e do Operador de executar um DPIA não apenas nos tratamentos já em curso, mas também no desenho de nova organização, processo, plataforma digital e algoritmo, e assim por diante.
5.11. Privacy by design (desde a concepção) e Privacy by default (por padrão)
Princípio não previsto expressamente pela LGPD, mas que é consolidado em todo o mundo, e segundo o qual a BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL deve colocar em prática medidas técnicas e organizacionais adequadas para garantir, e poder demonstrar, que qualquer Tratamento de Dados Pessoais é desenvolvido considerando todos os requerimentos aplicáveis à proteção de Dados Pessoais, desde o início do projeto ou da operação.
Estas medidas devem ser incluídas nos projetos desde o princípio, considerando o custo de implementação, a natureza, o escopo, o contexto e finalidade do Tratamento, bem como a probabilidade e a gravidade do risco para os direitos e liberdades do Titular em virtude do Tratamento (“Privacy by design”).
O Controlador deve assegurar que, por padrão (“by default”), apenas Dados Pessoais que sejam necessários para cada finalidade específica de Tratamento sejam tratados (“Privacy by default”). Esta obrigação aplica-se a todos os Dados Pessoais coletados, à extensão de seu Tratamento, o período de seu armazenamento e a sua acessibilidade.
Essas medidas devem ser revistas e atualizadas se necessário, considerando-se a evolução das melhores práticas. A contratação de terceiros para o Tratamento de dados deve ser desenvolvida e implementada de maneira que este terceiro tenha nível apropriado de segurança equivalente aos padrões da BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL. Qualificação de fornecedores e cláusulas contratuais visam a proteção de Dados Pessoais.
6. TRATAMENTO DOS DADOS PESSOAIS
As áreas da BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL com o apoio do DPO, têm o dever de seguir as instruções emitidas pela ANPD, bem como as melhores práticas para garantir a privacidade e a proteção de dados dos titulares. No momento de tratar os dados é necessário atentar para algumas especificidades, tais como:
6.1. Anonimização
Tratamento de Dados Pessoais contempla as seguintes atividades: pesquisa, coleta através de qualquer instrumento ou sensor, escuta e gravação (foto, video, voz etc.), identificação, uso, gerenciamento, manuseio, organização, estruturação, armazenamento (incluindo armazenamento físico e gerenciamento e manutenção de servidor em que os Dados Pessoais são armazenados, mesmo que temporariamente), comparação, compilação, duplicação, perfilamento (profiling) conservação, adaptação, modificação, integração, correção, inspeção, uso, extração, consulta, comunicação, transmissão, disseminação, segregação de pontos de vista, eliminação, cancelamento, destruição; pseudonimização, anonimização e criptografia. Os Dados Pessoais, após submetidos a processo efetivos de anonimização perdem a qualidade dos Dados Pessoais, salvo quando tais procedimentos forem revertidos ou reversíveis.
6.2. Consentimento
O Consentimento, quando for exigido pela lei, deve ser dado por um claro ato afirmativo estabelecendo uma manifestação livre, informada e inequívoca pela qual o Titular concorda com o Tratamento de seus Dados Pessoais para uma finalidade determinada, o que pode ocorrer por uma declaração escrita ou oral, incluindo por meios eletrônicos, sempre mediante comprovação pelo Controlador.
Pode incluir a marca em checkbox (opt-in) ao visitar um site da BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL ou outra declaração ou conduta que indique claramente, neste contexto, a aceitação do Titular sobre o Tratamento proposto de seus Dados Pessoais. O silêncio e a inércia do Titular diante de checkbox previamente marcadas/selecionadas não configuram o Consentimento.
O Consentimento deve ser aplicado a todas as atividades de Tratamento realizadas para a mesma finalidade. Se o Tratamento tiver mais de uma finalidade, o Consentimento deve ser fornecido para cada uma dessas finalidades, por exemplo, em caixas separadas.
Conforme o § 2º do Art. 9º da LGPD, se houver mudanças da finalidade para o Tratamento de Dados Pessoais não compatíveis com o Consentimento original, o Controlador deverá informar previamente o Titular sobre as mudanças de finalidade, podendo o titular revogar o Consentimento, caso discorde das alterações.
Se o Consentimento do Titular for coletado por meio eletrônico, o pedido deve ser claro, conciso. O Controlador, juntamente com o Operador, são responsáveis por coletar legalmente o consentimento do Titular e têm a obrigação de demonstrar perante a ANPD que a coleta do Consentimento foi realizada legalmente e em total respeito aos regulamentos de privacidade e à LGPD.
Enquanto durar uma atividade de Tratamento baseada no Consentimento do Titular, a obrigação de demonstrar esse Consentimento existe. Após o término da atividade de Tratamento, a prova do Consentimento deve ser mantida pelo tempo estritamente necessário para o cumprimento de uma obrigação legal ou para que a unidade possa exercer seus direitos ou defendê-los em demandas judiciais, administrativas ou arbitrais.
Para as atividades de Tratamento baseadas no Consentimento do Titular, o compartilhamento de Dados Pessoais com terceiros apenas pode ser realizado mediante consentimento específico e em destaque.
6.3. Consentimento para o Tratamento de Dados Pessoais de Crianças e Adolescentes
A LGPD prevê que o Tratamento de Dados Pessoais de crianças e adolescentes deve ser realizado em seu melhor interesse. De acordo com a Lei nº 8.069/1990, Estatuto da Criança e do Adolescente (“ECA”), considera-se criança, a pessoa até 12 (doze) anos de idade incompletos, e adolescente aquela entre 12 (doze) e 18 (dezoito) anos de idade.
O Tratamento de Dados Pessoais de crianças deverá ser realizado com o Consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. A BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL deve realizar todos os esforços razoáveis para verificar que o Consentimento foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.
No que diz respeito a Dados Pessoais de crianças, estes somente poderão ser coletados sem o Consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, quando a coleta se fizer necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o respectivo Consentimento.
As informações sobre o Tratamento de dados deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.
Além do mais, para o Tratamento de Dados Pessoais de crianças e adolescentes os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos.
Como regra geral, se o Consentimento for revogado, todas as operações de Tratamento que foram nele baseadas e ocorreram antes da retirada do Consentimento permanecem legais.
6.4. Aviso de Privacidade
O Aviso de Privacidade deve ter um texto conciso, claro, simples e compreensível pelos vários públicos (ex: menores de idade, portadores de necessidades especiais, etc.) e ser fornecido ao Titular no momento da coleta dos Dados Pessoais, contendo:
? Informações gerais, identificação e de contato do Controlador;
? Informações gerais e de contato do Encarregado;
? Objeto e modalidades do Tratamento;
? Finalidade e base legal do Tratamento;
? Fonte dos Dados Pessoais;
? Destinatários com quem os Dados Pessoais sejam compartilhados;
? Transferência de Dados Pessoais;
? Responsabilidades dos Agentes que realizam o Tratamento (Controlador e do Operador);
? O período de armazenamento de Dados Pessoais;
? Qualquer uso de tomada de decisão automatizada;
? Os direitos dos titulares e os meios para exercê-los.
O DPO é o responsável pela aprovação de qualquer Aviso de Privacidade na BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL e o documento deve ser revisto sempre que houver qualquer mudança no Tratamento dos Dados Pessoais.
7. REGISTROS DOS TRATAMENTOS DE DADOS PESSOAIS
A LGPD prevê que o Controlador e o Operador devem manter registro das operações de Tratamento que realizarem ("Registro") de forma independente um do outro. Para garantir o cumprimento da obrigação da LGPD, é primordial que haja um mapeamento dinâmico do Tratamento e seu ciclo de vida.
O conteúdo mínimo do Registro do Controlador deve apresentar:
? O nome e os dados de contato do Controlador e, quando aplicável, dos Controladores Conjuntos, do representante legal do Controlador e do Encarregado;
? As finalidades do Tratamento;
? Descrição das categorias de titulares e das categorias de Dados Pessoais;
? As categorias de destinatários para os quais os Dados Pessoais foram ou serão divulgados, incluindo destinatários em terceiros países ou organizações internacionais;
? Quando aplicável, as transferências internacionais de Dados Pessoais para outro país ou uma organização internacional, incluindo a identificação desse outro país ou organização internacional;
? Sempre que possível, os prazos previstos para o descarte das diferentes categorias de Dados Pessoais;
? Sempre que possível, uma descrição geral das medidas de segurança referidas no Art. 46 da LGPD.
8. RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS (“DPIA”)
O Relatório de Impacto à Proteção de Dados Pessoais é a documentação do Controlador que contém a descrição dos processos de Tratamento de Dados Pessoais que podem gerar riscos às liberdades e aos direitos fundamentais dos titulares, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Assim, o DPIA é um processo destinado a:
? Descrever o projeto ou o processo de Tratamento de dados e sua finalidade;
? Avaliar a necessidade e proporcionalidade do Tratamento;
? Avaliar os riscos dos direitos e liberdades do Titular decorrentes do Tratamento;
? Determinar as medidas de mitigação; e
? Quando considerado necessário, o DPO deverá apresentar os resultados do DPIA à ANPD.
O risco deve ser entendido como um risco de impacto negativo nos direitos e liberdades do Titular. A probabilidade e a gravidade do risco para os direitos e liberdades do Titular devem ser determinadas por referência à natureza, âmbito, contexto e finalidades do Tratamento. O risco deve ser avaliado com base em uma avaliação objetiva, através da qual se estabeleçam se as operações de Tratamento de dados envolvem um risco ou um alto risco.
A LGPD não estabelece hipóteses nas quais a elaboração do DPIA é obrigatória, definindo apenas que a ANPD pode determinar sua execução. Dispõe, no entanto, em seu Art. 37 que o Controlador e o Operador devem manter registro das operações de Tratamento que realizarem, especialmente quando baseadas no Legítimo Interesse. Assim, o Controlador e o Operador deverão registrar o Tratamento de forma que seja viável a elaboração do DPIA em todas as situações em que haja Tratamento.
9. ENCARREGADO (DATA PROTECTION OFFICER)
A LGPD exige que as organizações que realizam o Tratamento de Dados Pessoais nomeiem um Encarregado pelo Tratamento de Dados Pessoais (“DPO”) que deve exercer as atividades previstas no § 2º do Art. 41 da lei.
O DPO é selecionado considerando sua experiência em privacidade e proteção de dados, suas características profissionais, sua habilidade para cumprir as tarefas que lhe sejam atribuídas. O DPO pode ser um funcionário da BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL ou um terceiro contratado para este serviço.
O Controlador e o Operador devem envolver o DPO em todas as questões relativas à proteção de Dados Pessoais e garantir sua independência na execução das funções, observando que sejam:
? Garantidos os recursos necessários para executar seus deveres;
? Assegurando que ele / ela não receba instruções, nem seja penalizado por suas decisões e por seus pareceres;
? Garantindo que o DPO não atue em situações de conflitos de interesse.
O DPO deve manter sua atividade em sigilo e confidencialidade, sendo responsável por:
? Garantir que haja o devido atendimento às reclamações e comunicações dos titulares, que sejam prestados os esclarecimentos e adotadas as providências necessárias;
? Apoiar e aconselhar o Controlador e o Operador em relação às obrigações decorrentes da legislação e regulamentação de proteção de dados, especialmente em relação à LGPD e às normas editadas pela ANPD;
? Projetar programas de conformidade e monitorar a implementação, definir governança de proteção de dados, avisos de privacidade padrão, cláusulas contratuais e boas práticas;
? Apoiar o Controlador e o Operador na negociação de contratos de proteção de dados, definir o fluxo de atendimento dos direitos dos titulares; definir e implementar planos de treinamento e conscientização aos colaboradores;
? Fornecer, se necessário, uma opinião sobre a avaliação do impacto na proteção de dados e monitoramento de progresso;
? Cooperar e atuar como ponto de referência da ANPD, recebendo comunicações e adotando providências;
? Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
? Orientar os funcionários e os contratados da BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL a respeito das práticas a serem tomadas em relação à proteção de Dados Pessoais.
No caso da BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL, houve a indicação da Lee, Brock, Camargo Advogados para atuação com DPO, a qual pode ser contatada pelo e-mail dpo@saocamilo.br
10. O CONTROLADOR E O OPERADOR
10.1. Controlador
Quando estiver atuando como Controlador, a BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL tem o dever de consultar as instruções emitidas pela ANPD e as diretrizes e melhores práticas reconhecidas em matéria de proteção de Dados Pessoais.
O Controlador define a finalidade do Tratamento de Dados Pessoais e deve implementar medidas técnicas e organizacionais apropriadas para assegurar a proteção de Dados Pessoais de acordo com a LGPD. A BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL tem ainda o ônus de provar a conformidade com a LGPD e, com o suporte do DPO, deve:
? Planejar e executar as medidas adequadas de segurança, Privacy by design e Privacy by default, aplicando as melhores práticas e os mais altos padrões de mercado;
? Treinamento contínuo aos seus próprios empregados e terceiros;
? Verificar o cumprimento da LGPD nos terceiros que tratam os dados em seu nome;
? Cooperar com a ANPD nos cursos de suas iniciativas de investigação.
Os Controladores, quando Conjuntos, devem determinar de forma transparente, mediante acordo, suas respectivas responsabilidades em relação ao cumprimento das obrigações decorrentes da LGPD, em especial no que diz respeito ao exercício dos direitos pelos titulares.
10.2. Operador
A BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL quando estiver atuando como Operador, tem o dever de consultar e atender às disposições da LGPD e àquelas eventualmente emitidas pela ANPD acerca de suas responsabilidades enquanto Operador.
As seguintes indicações são exemplificativas não exaustivas sobre o tema:
Quando o Tratamento for executado em nome de um Controlador, não deve envolver outro Operador (Sub-Operador) nas atividades de Tratamento realizadas em nome de um Controlador sem autorização prévia específica ou geral por escrito do respectivo Controlador.
Ao buscar um Operador para realizar tratamento de Dados em seu nome, a BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL deve garantir que o Operador siga as instruções e que seja estipulada de forma clara a natureza, a duração e a finalidade do Tratamento, o tipo de Dados Pessoais Tratados, as categorias dos titulares, as obrigações e os direitos do Controlador.
Ao estabelecer um acordo, a BENEFICÊNCIA CAMILIANA DO SUL – SUPERINTENDÊNCIA SUL como Controlador, deve estabelecer que o Operador:
? Trate os Dados Pessoais somente em instruções documentadas do Controlador, incluindo com referência a transferência dos Dados Pessoais a um terceiro país ou organização internacional, a não ser que seja obrigado a fazê-lo pela legislação a qual o Operador esteja submetido; nestes casos o Operador deverá informar ao Controlador todos os requerimentos legais antes do Tratamento, a menos que a lei proíba tais informações;
? Assegure que as pessoas autorizadas a tratar os Dados Pessoais tenham a obrigação contratual ou legal de manter sigilo e confidencialidade;
? Adote todas as medidas de segurança exigidas nos termos do Art. 46 da LGPD;
? Respeite as condições estabelecidas pela LGPD para subcontratar outro Operador, com a obrigação de garantir que a transferência internacional de dados para fora do Brasil será executava apenas para países considerados adequados com a legislação de privacidade local, e um documento contratual adequado seja previamente assinado entre o Operador e o Sub-Operador para garantir o os direitos dos titulares;
? Adote, considerando a natureza do Tratamento, medidas técnicas e organizacionais apropriadas, na medida do possível, que permitam ao Controlador atender as requisições dos titulares no exercício de seus direitos, conforme previstos no Capítulo III da LGPD;
? Preste assistência ao Controlador para garantir a conformidade com obrigações relacionadas às medidas de segurança (Capítulo VII da LGPD), Notificação e Comunicação de Incidente de Segurança de Dados (Art. 48 da LGPD) e DPIA (Art. 38 da LGPD);
? Elimine ou devolva, a critério exclusivo do Controlador, todos os Dados Pessoais ao término da prestação dos serviços relacionados, deletando cópias existentes, a não ser que disposto expressamente em contrário na legislação aplicável para o armazenamento dos Dados Pessoais objeto do respectivo Tratamento;
? Disponibilize ao Controlador todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas na LGPD.
11. MEDIDAS DE SEGURANÇA
O Controlador tem o dever de consultar e atender às disposições contidas na LGPD e àquelas que venham a ser emitidas pela ANPD acerca das medidas de segurança aplicáveis às atividades de Tratamento.
Considerando as condições existentes, os custos de implementação, a natureza, âmbito, contexto e finalidades do Tratamento, bem como o risco e impacto perante os direitos e liberdades dos titulares, o Controlador e o Operador devem implementar medidas técnicas e organizacionais destinadas a garantir um nível de segurança adequado, incluindo, entre outras, as medidas de Privacy by design (desde a concepção) e Privacy by default (por padrão).
O Controlador e o Operador devem:
? Rever e proteger todos os sistemas, identificação de aplicações e infraestruturas e acesso lógico;
? Rever e gerir de forma segura os Dados Pessoais e Dados Pessoais Sensíveis, com o objetivo de garantir uma elevada qualidade de dados e de forma que o Tratamento se limite ao necessário e ao adequado;
? Segregar os Dados Pessoais e perfilar usuários que lidem com Dados Pessoais, limitando acesso e atribuições de acordo com o estritamente necessário para execução de suas tarefas;
? Pseudonimizar, anonimizar e criptografar Dados Pessoais e Dados Pessoais Sensíveis. A escolha entre as 3 (três) opções deve ser a disponível ao Controlador e ao Operador;
? Assegurar permanentemente a confidencialidade, integridade, disponibilidade e resistência dos sistemas empregados nos tratamentos;
? Restaurar prontamente o acesso e disponibilidade dos Dados Pessoais em caso de incidentes de segurança;
? Testar, verificar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do Tratamento.
Ao avaliar o nível adequado de segurança, devem ser considerados os riscos apresentados pelo Tratamento, particularmente em caso de conduta ilegal ou acidental que leve a destruição, perda, alteração, divulgação não autorizada ou ao acesso do Dado Pessoal transmitido, armazenado ou de outra forma tratado.
A adesão a um código de conduta aprovado pela ANPD ou a um mecanismo de certificação aprovado em linha com as boas práticas de proteção de dados pode ser utilizado como elementos para demonstrar a conformidade com a LGPD.
12. INCIDENTE DE SEGURANÇA DE DADOS E DIREITO DE AUDITORIA
A implementação de medidas de segurança no âmbito do Art. 46 da LGPD, juntamente com as medidas previstas na Política de Segurança da Informação e no Plano de Resposta à Incidentes de Segurança, devem ser instrumentos apropriados para prevenir Incidentes de Segurança de Dados.
O Controlador terá o direito, a qualquer momento, durante a vigência do Contrato e/ou durante todo o período em que o Operador retiver os Dados Pessoais do Controlador, de realizar uma avaliação interna ou auditoria para confirmar que o Operador e/ou Sub Operador está agindo em conformidade com esta Política e a LGPD, mediante notificação do Operador com antecedência.
O Operador deverá disponibilizar, a qualquer momento, todas as informações necessárias para demonstrar conformidade com esta Política e com o contrato, e deverá permitir e contribuir com auditorias, incluindo verificações e inspeções periódicas, pelo Controlador ou por auditor enviado pelo Controlador, em relação ao Tratamento dos Dados Pessoais do Controlador. No caso de quaisquer problemas de segurança encontrados durante tais auditorias, o Operador deverá tomar, às suas próprias custas, todas as ações necessárias para resolver os problemas mencionados.
O Controlador terá o direito de notificar o Operador e/ou Sub Operador sobre qualquer possível risco de eventual ocorrência de Incidente de Segurança ou descumprimento com quaisquer leis e regulamentos de proteção de dados que constatar em sua auditoria, devendo o Operador e/ou Sub Operador, em até 30 (trinta) dias corridos, tomar as medidas necessárias, informando o Controlador que poderá, a seu critério, realizar nova auditoria.
O Controlador e o Operador têm o dever de consultar e atender às instruções detalhadas na LGPD e aquelas que venham a ser emitidas pela ANPD sobre notificação de incidente de Dados Pessoais.
13. OS DIREITOS DOS TITULARES
O direito à privacidade e à proteção de Dados Pessoais devem ser considerados face a outros direitos fundamentais, de acordo com o princípio da proporcionalidade. O Controlador tem que envidar seus melhores esforços, sem atrasos injustificados, para fornecer ao Titular, com uma interface fácil e prática, para o pleno exercício dos direitos de proteção de dados disciplinados pela LGPD.
O prazo para uma resposta ao pedido do Titular é, para todos os direitos, imediato para respostas em formato simplificado, ou no prazo de até 15 (quinze) dias, contado da data do requerimento do Titular, em caso de resposta clara e completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do Tratamento, observados os segredos comercial e industrial, fornecida em formato gratuito e de sua escolha.
A resposta ao pedido do Titular deve ser por escrito ou por meio de ferramentas eletrônicas, e deve ser clara, concisa e transparente. O Controlador tem o ônus de provar o pedido manifestamente excessivo ou não fundamentado. Além disso, o exercício de direitos é realizado de forma gratuita ao Titular e é responsável do Controlador adotar medidas técnicas e organizacionais para processar o exercício dos direitos do Titular.
São direitos dos Titulares, de acordo com a LGPD:
? Confirmação da existência de Tratamento;
? Acesso aos dados;
? Correção de dados incompletos, inexatos ou desatualizados;
? Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
? Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa;
? Eliminação dos Dados Pessoais tratados com o Consentimento;
? Informação sobre entidades públicas e privadas com as quais foi realizado o uso compartilhado de dados;
? Informação sobre a possibilidade de não fornecimento do consentimento e sobre as consequências da negativa;
? Revogação do consentimento;
? Revisão das decisões automatizadas tomadas unicamente com base no Tratamento automatizado de Dados Pessoais; e
? Oposição a Tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD.
13.1. Direito de Confirmação e Direito de Acesso
O Titular tem o direito de ser informado de que um Tratamento relativo aos seus próprios dados está em andamento e, em caso de resposta afirmativa, obter acesso aos seus Dados Pessoais e receber uma cópia destes.
A confirmação de existência ou o acesso a Dados Pessoais serão providenciados em formato simplificado, imediatamente ou dentro prazo de até 15 (quinze) dias por meio de declaração clara e completa, que indique: a origem dos dados e a finalidade do Tratamento, observados os segredos comercial e industrial, fornecida no, contado da data do requerimento do Titular.
Os Dados Pessoais serão armazenados em formato que favoreça o exercício do direito de acesso. As informações e os Dados Pessoais poderão ser fornecidos, a critério do Titular: por meio eletrônico, seguro e idôneo para esse fim ou sob forma impressa. A cópia dos Dados Pessoais deve ser fornecida ao Titular de forma gratuita.
13.2. Direito de Correção
O Titular tem o direito de obter do Controlador a correção de Dados Pessoais que lhe dizem respeito e que estejam incompletos, inexatos ou desatualizados.
13.3. Direito de Revogação do Consentimento e Direito de Eliminação
O Titular tem o direito de revogar o Consentimento anteriormente manifestado a qualquer momento mediante manifestação expressa, por procedimento gratuito e facilitado. O Titular também tem o direito de obter a eliminação dos Dados Pessoais tratados com o seu Consentimento.
O Controlador deve eliminá-los considerando a tecnologia disponível e os custos de implementação adotando medidas apropriadas. Devem ser deletados quaisquer links, cópias ou reproduções de seus Dados Pessoais. Exceções somente poderão ser realizadas na medida em que o Tratamento seja necessário para:
? Cumprimento de obrigação legal ou regulatória pelo Controlador;
? Estudo por órgão de pesquisa, garantida, sempre que possível, a Anonimização dos Dados Pessoais;
? Transferência a terceiro, desde que respeitados os requisitos de Tratamento de dados disposto na LGPD;
? Uso exclusivo do Controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
O Controlador deve informar outros Controladores envolvidos no mesmo Tratamento de dados sobre a solicitação de eliminação.
13.4. Direito a Anonimização, bloqueio ou eliminação
O Titular tem o direito de obter do Controlador a Anonimização, Bloqueio ou Eliminação de Dados Pessoais:
? Desnecessários;
? Excessivos; ou
? Tratados em desconformidade com o disposto na LGPD.
Desse modo, através da técnica de Anonimização, um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, de modo que ocorra a desvinculação dos Dados Pessoais, não sendo possível identificar quem é o Titular.
Por meio do Bloqueio dos Dados Pessoais, ocorrerá a suspensão temporária de qualquer operação de Tratamento, mediante guarda do dado pessoal ou do banco de dados. Já a Eliminação, prevê que um dado ou um conjunto de dados sejam excluídos do banco de dados da organização.
13.5. Direito à Portabilidade dos dados
O Titular tem direito a receber de forma estruturada Dados Pessoais fornecidos a um Controlador e tem o direito de transmitir tais dados para outro Controlador, sem interferência do Controlador. Ao exercer o direito à portabilidade de dados, o Titular tem o direito de obter a transmissão direta de Dados Pessoais, quando tecnicamente viável, de um Controlador ou outro.
13.6. Direito de obter informações sobre o compartilhamento de seus Dados Pessoais
O Titular dos Dados Pessoais tem o direito de ter informações do Controlador sobre as entidades públicas e/ou privadas com as quais os seus Dados Pessoais tenham sido compartilhados.
13.7. Direito sobre a possibilidade de não fornecer consentimento e as consequências da negativa
O Titular dos Dados Pessoais tem o direito de ser informado sobre a possibilidade de não fornecer o seu consentimento bem como sobre as consequências da negativa. Como por exemplo, eventuais prejuízos, limitações de acesso, dentre outras consequências.
13.8. Direito à Revisão de Decisões Automatizadas
O Titular tem direito de solicitar a revisão de decisões tomadas unicamente com base em Tratamento automati
