Sobre
Global Certification System (GCS) como referência em avaliação de conformidade, atua com auditoria de atendimento aos requisitos da Lei Geral de Proteção de Dados (LGPD) conforme detalhamento a seguir:
- 1. Auditoria considerando os requisitos da Lei 13709:2018 e com pontos específicos da ISO/IEC 27701.
- 2. Apontamento de Gap Analysis para implementação de ações subsequentes.
- 3. Emissão de Atestado de Conformidade com a LGPD a partir de 85% do nível de aderência.
- 4. Caso a empresa obtiver nível de aderência abaixo de 85% durante a auditoria de conformidade, a mesma terá 90 dias para apresentar a implementação de ações corretivas, e consequentemente melhorar o seu SCORE.
Seções Avaliadas Durante a Auditoria
- A. Princípio da Finalidade e Boa Fé
- B. Requisitos para Tratamento de Dados Pessoais
- C. Tratamento de Dados Pessoais Sensíveis
- D. Tratamento de Dados Pessoais de Crianças e Adolescentes
- E. Término do Tratamento de Dados
- F. Direitos do Titular
- G. Responsabilidade
- H. Transferência Internacional de Dados
- I. Agentes de Tratamento de Dados Pessoais
- J. Encarregado pelo Tratamento de Dados Pessoais / DPO
- K. Segurança e Sigilo dos Dados
- L. Boa Práticas e Governança
O Atestado de Conformidade LGPD tem validade de 1 ano a partir da data de sua emissão.
Para a renovação do respectivo Atestado de Conformidade, a organização terá um desconto de 35% em relação a avaliação inicial, por se tratar de um processo de manutenção e revisão id= da" "do dimensionamento da auditoria.
Dúvidas Sobre a LGPD
Apesar de estar sendo amplamente discutida, a LGPD (Lei Geral de Proteção de Dados) ainda provoca muitas dúvidas e, consequentemente, insegurança. É comum que as pessoas pesquisem sobre pontos importantes e básicos da lei, como, por exemplo, o que é dado pessoal, quais empresas devem se adequar, quem é o controlador, quem é o DPO, e se a LGPD já está em vigor.
A seguir, principais perguntas e respostas sobre a LGPD:
A LGPD estabelece as regras, princípios, responsabilidades e direitos em relação ao tratamento de dados pessoais. Em linhas gerais, ela estabelece as “regras do jogo” para tudo que é feito com o dado de uma pessoa física.
Sim, a LGPD entrou em vigor no dia 18 de setembro de 2020.
São protegidos apenas os dados pessoais, que são relacionados à pessoa natural (física). Outras informações relacionadas à pessoa jurídica ou informações sigilosas não estão no escopo da LGPD. Este tipo de informação possui legislações específicas.
Nome, endereço, CPF, RG, CNH, título de eleitor, passaporte, número de telefone e endereço de e-mail são, por exemplo, considerados dados de identificação pessoal. Ou seja, dado pessoal é aquela informação ou são fragmentos de informação que, quando postos juntos, podem identificar, de maneira direta ou indireta, uma pessoa.
Pela lei, dados pessoais sensíveis são aqueles sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.”
A LGPD é aplicável a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
- (1) realize operação de tratamento de dados pessoais em território brasileiro;
- (2) colete dados no Brasil ou;
- (3) tenha por objeto a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional.
O conceito de tratamento é amplo a ponto de abarcar tudo que pode ser feito com um dado pessoal, tal como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Não. A LGPD não faz distinção entre os diferentes portes de empresas. Se a empresa realiza o tratamento de dados pessoais, ainda que seja apenas de seus colaboradores, ela deve atender à lei, seja ela micro, pequena, média ou grande empresa.
Em linhas gerais, a LGPD não se aplica ao tratamento de dados pessoais para fins particulares e não econômicos, e para outros fins específicos, como jornalístico, artístico, acadêmico e questões de segurança pública e nacional. Mas, atenção: estas exceções dizem respeito ao tratamento específico em si, e não desobrigam a empresa como um todo em relação ao cumprimento da lei.
Não. A LGPD vale para dados coletados em qualquer tipo de canal, incluindo um formulário preenchido por cliente ou uma gravação, por exemplo.
As empresas que descumprirem a lei podem ser multadas em até 2% do seu faturamento bruto ou R$ 50 milhões por infração. Além disso, a LGPD ainda traz a possibilidade de outras sanções, como a publicização da infração e a proibição da continuidade do tratamento dos dados.
A LGPD cita quatro papéis: titular dos dados, controlador, operador e encarregado. Para ler mais sobre este tópico, basta acessar ‘Controlador, operador e encarregado’ .
O titular dos dados é a razão da existência da LGPD. Segundo a lei, é a “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”.
O controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Na prática, o controlador é a empresa ou pessoa que coordena e define como o dado pessoal coletado será tratado. É sobre ele que recai a maior carga jurídica sobre o tratamento dos dados.
Segundo a LGPD, o operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”. Ele não poderá tratar dados senão em razão das determinações do controlador, que deverão estar bem definidas.
O encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”. O encarregado é a figura conhecida como DPO (Data Protection Officer). Em linhas gerais, é a pessoa responsável por atuar como uma espécie de fiscal da lei dentro da empresa.
ANPD é a sigla para Autoridade Nacional de Proteção de Dados. É a autoridade responsável pela aplicação, fiscalização, cumprimento e edição de normas e procedimentos que dizem respeito à lei.
A LGPD determina 10 princípios que devem nortear o tratamento de dados pessoais. Estes princípios é que vão ajudar a garantir que a empresa esteja em conformidade e adequada à lei.
-
São eles:
- . Finalidade
- . Adequação
- . Necessidade
- . Livre acesso
- . Qualidade dos dados
- . Transparência
- . Segurança
- . Prevenção
- . Não discriminação
- . Responsabilização e prestação de contas
Segundo a LGPD, o tratamento pode ser realizado se respeitada pelo menos uma das seguintes hipóteses: consentimento do titular, cumprimento de obrigação legal ou regulatória, pela administração pública, para realização de estudos por órgãos de pesquisa, para execução de contratos, a pedido do titular, em processos judiciais, administrativos ou arbitrais, para proteção da vida, para tutela da saúde, em legítimo interesse do controlador, e para proteção do crédito.
A LGPD afeta completamente a forma como as empresas que operam no Brasil lidam com dados pessoais. Em linhas gerais, as empresas devem:
- 1. Ser mais transparentes e conscientes em relação ao uso de dados pessoais de seus clientes, parceiros e usuários
- 2. Adotar mecanismos de proteção e segurança, prevenindo vazamentos de dados e violações
- 3. Adotar medidas que permitam aos titulares dos dados terem controle e acesso as suas próprias informações.
São vários direitos garantidos aos titulares dos dados segundo a lei, como, por exemplo, o direito de confirmação da existência de tratamento, o acesso aos dados, a correção de dados, a anonimização, bloqueio ou eliminação de dados, e a possibilidade de se manifestar contra o controlador perante a ANPD e órgãos de defesa do consumidor.
Contate-nos
Preencha os campos abaixo e receba um orçamento sem compromisso para a certificação da sua empresa quanto aos requisitos LGPD