O que é a LGPD?
A Lei Geral de Proteção de Dados (13.709/2018) tem como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Também tem como foco a criação de um cenário de segurança jurídica, com a padronização de regulamentos e práticas para promover a proteção aos dados pessoais de todo cidadão que esteja no Brasil, de acordo com os parâmetros internacionais existentes.
A lei define o que são dados pessoais e explica que alguns deles estão sujeitos a cuidados ainda mais específicos, como os dados pessoais sensíveis e dados pessoais sobre crianças e adolescentes. Esclarece ainda que todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação. Além disso, a LGPD estabelece que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de informações sobre pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser observada. A lei autoriza também o compartilhamento de dados pessoais com organismos internacionais e com outros países, desde que observados os requisitos nela estabelecidos.
Consentimento
Na LGPD, o consentimento do titular dos dados é considerado elemento essencial para o tratamento, regra excepcionada nos casos previstos no art. 11, II, da Lei.
A lei traz várias garantias ao cidadão, como: poder solicitar que os seus dados pessoais sejam excluídos; revogar o consentimento; transferir dados para outro fornecedor de serviços, entre outras ações. O tratamento dos dados deve ser feito levando em conta alguns requisitos, como finalidade e necessidade, a serem previamente acertados e informados ao titular.
Quem fiscaliza?
Para fiscalizar e aplicar penalidades pelos descumprimentos da LGPD, o Brasil conta com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição terá as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. No entanto, não basta a ANPD (Lei nº 13.853/2019) e é por isso que a Lei Geral de Proteção de Dados Pessoais também prevê a existência dos agentes de tratamento de dados e estipula suas funções, nas organizações, como: o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com os titulares dos dados pessoais e a autoridade nacional.
Com relação à administração de riscos e falhas, o responsável por gerir dados pessoais também deve redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado; elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade, com o aviso imediato sobre violações à ANPD e aos indivíduos afetados.
As falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – limitado a R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha e enviará alertas e orientações antes de aplicar sanções às organizações.
================================================================================================================================================================================================================
14 – DA PROTEÇÃO DE DADOS
DEFINIÇÕES:
(a) “DADOS PESSOAIS”: qualquer informação obtida em razão do presente contrato, direcionado o tratamento pela Contratante, relacionada a pessoa natural identificada ou identificável, como por exemplo: nome, CPF, RG, endereço residencial ou comercial, número de telefone fixo ou móvel, endereço de e-mail, informações de geolocalização, entre outros.
(b) “DADOS PESSOAIS SENSÍVEIS”: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
(c) “DADO ANONIMIZADO”: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
(d) “TITULAR DOS DADOS”: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
(e) “TRATAMENTO”: qualquer operação ou conjunto de operações efetuadas com dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a coleta, o registro, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, a eliminação ou a destruição.
(f) “CONTROLADOR”: a quem competem as decisões referentes ao tratamento de dados pessoais, especialmente relativas às finalidades e os meios de tratamento de dados pessoais.
(g) “OPERADOR”: parte que trata dados pessoais de acordo com as instruções do Controlador.
(h) “AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS”: órgão responsável pela fiscalização do cumprimento das disposições da Lei Geral de Proteção de Dados, Lei Federal nº 13.709/2018 no território nacional.
(i) “INCIDENTES”: qualquer acesso, aquisição, uso, modificação, divulgação, perda, destruição ou dano acidental, ilegal ou não autorizado que envolva dados pessoais.
14.1. A CONTRATADA declara que suas atividades estão em perfeita consonância com os objetivos e princípios da Lei Geral de Proteção de Dados (Lei nº 13.709/2018), obrigando-se a observar todos os seus dispositivos e a assegurar todos os direitos dos titulares de dados eventualmente tratados.
14.2. A CONTRATANTE, ora controladora de dados, declara estar em conformidade à Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e ser a responsável pelo acolhimento das informações dos titulares participantes da campanha nos termos da referida Lei e, ainda, estar ciente de que deverão ser coletados apenas dados essenciais para a participação da promoção, sendo que em caso de violação à Lei, isto é, exceder-se na coleta de dados pessoais, isentará a CONTRATADA de quaisquer penalidades, vez que como operadora de dados, a CONTRATADA apenas opera o tratamento de dados a comando da CONTRATANTE.
14.3. Na hipótese de tratamento de dados por força da execução do escopo deste contrato, obriga-se a CONTRATADA a realizar o referido tratamento pautada nos princípios da nova lei, especialmente, nos princípios da finalidade, adequação, necessidade e transparência, sempre fundamentada numa das bases legais estabelecidas pelo art. 7º da referida legislação e garantindo a máxima segurança, mediante a observância de rotina de boas práticas relacionadas ao tema e sempre ao comando da CONTRATANTE.
14.4. Na hipótese de violação ou vazamento de dados decorrentes exclusivamente de atos praticados pela CONTRATADA, obriga-se esta a isentar a CONTRATANTE de qualquer corresponsabilidade, devendo, ainda, em qualquer situação, ressarcir a CONTRATANTE de toda e qualquer despesa incorrida em função de tal violação ou vazamento, incluindo, mas não se limitando, àquelas decorrentes de acordos, procedimentos judiciais ou administrativos, abrangendo também os honorários advocatícios e custas judiciais. Incidindo essa hipótese, fica desde logo autorizada a retenção de valores eventualmente devidos pela CONTRATANTE à CONTRATADA com a finalidade de ressarcimento dessas despesas. De igual modo, mas não se limitando a, na hipótese de violação ou vazamento de dados decorrentes exclusivamente de atos praticados pela CONTRATANTE e seus prepostos, incluindo-se aqueles terceirizados, haverá isenção irrestrita da CONTRATADA de qualquer corresponsabilidade, independete de sua natureza, obrigando-se a ressarcir a CONTRATADA de todos os valores despendidos.
14.5. As Partes garantem que cumprirão a legislação internacional e nacional referente a proteção de dados, incluindo, mas não se limitando a Lei nº 13.709/18, seus regulamentos, normas, estatutos e decretos aplicáveis, cumprindo as exigências das autoridades governamentais responsáveis pela regulamentação desta matéria, onde ocorrer o tratamento de dados pessoais em razão deste Contrato, observando os direitos dos titulares dos dados pessoais e cumprindo suas obrigações relacionadas tempestivamente.
14.6. Para todos os efeitos, as expressões “controlador”, “operador”, “dados pessoais”, “titular de dados pessoais” e “tratamento” terão o significado previsto na legislação aplicável. A CONTRATADA, nesta relação, possui a posição de Operador, enquanto a CONTRATANTE de Controladora. As instruções de processamento de dados contidas na Política de Operadores (“Política”) da CONTRATANTE e se compromete, a CONTRATADA a cumprir com todas as instruções definidas nesta Política.
14.7. A CONTRATANTE instrui e autoriza a CONTRATADA a processar os dados pessoais fornecidos pela CONTRATANTE, seus clientes e agente autorizados (“Dados Pessoais”), única e exclusivamente para desempenhar as obrigações deste Contrato.
14.8. A CONTRATADA não transferirá, não divulgará e nem permitirá o processamento dos Dados Pessoais por quaisquer terceiros ou subcontratados, exceto se: (i) for exigido pela legislação aplicável (ii) até o limite necessário para fornecer o Serviço; (iii) nos limites permitidos pelo Contrato. Em todas essas hipóteses, a CONTRATADA deverá notificar a CONTRATANTE e fornecer informações necessárias sobre o terceiro, bem como solicitar a expressa autorização.
14.9. Após o término deste Contrato ou rescisão, por qualquer que seja o motivo, a CONTRATADA cessará imediatamente o uso dos dados pessoais, devolvendo-os para a CONTRATANTE ou descartando, destruindo ou tornando-os anônimos de forma permanente, utilizando em cada um dos casos, todas as medidas de segurança cabíveis.
14.10. Qualquer uma das partes, após identificar uma violação ou suspeita de qualquer incidente de segurança, notificará a outra através do e-mail security@crmall.com com confirmação de leitura, adotando todos os esforços para minimizar tal incidente. A CONTRATADA se compromete a não informar nenhum terceiro a respeito da violação sem primeiro obter o consentimento da CONTRATANTE, a menos que haja alguma imposição ou restrição legal.14.11. Se a CONTRATADA for notificada pelo titular de um Dado Pessoal relativo ao Serviço, deverá notificar a CONTRATANTE por escrito e fornecer toda a assistência e informação para que em conjunto respondam a solicitação do titular de maneira assertiva e diligente, dentro do prazo exigido pela legislação cabível.