Lei Geral de Proteção de Dados
Dúvidas e Esclarecimentos
Fale com o DPO (Data Protection Officer)
Email:
Para iniciarmos o nosso entendimento, é importante identificarmos algumas definições estabelecidas na Lei Geral de Proteção de Dados – LGPD:
- AGENTES DE TRATAMENTO: O controlador e o operador.
- CONTROLADOR: Pessoa natural ou jurídica, de direito público ou privado, a quem competem às decisões referentes ao tratamento de dados pessoais. Ex: Paróquia.
- OPERADOR: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Ex: Padres, Secretárias e pessoas autorizadas pelo Pároco para tratamento dos dados pessoais.
- TITULAR: Pessoa natural a quem se referem os dados pessoais, que são objeto de tratamento. Ex: Dizimista, Fiel, Paroquianos e etc.
- DADOS PESSOAIS: Toda informação relacionada à pessoa natural identificada ou identificável ( NOME, RG, CPF, E-MAIL ETC).
- DADOS PESSOAIS SENSÍVEIS: Dados relativos à Raça, etnia, RELIGIÃO, posicionamento político, filiação a sindicato ou a ORGANIZAÇÃO DE CARÁTER RELIGIOSO, ponto de vista filosófico ou político, dados referente à saúde ou à vida sexual, dados genéticos ou biométricos.
- TERMO DE CONSENTIMENTO: Manifestação livre, informada e inequívoca pelo qual o titular dos dados ou seu responsável, concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
- TRATAMENTO: toda operação realizada com dados pessoais, como as que se refere a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
- ANPD - Autoridade Nacional de Proteção de Dados, é o órgão federal responsável por fiscalizar e aplicar a LGPD - Lei Geral da Proteção de Dados.
Aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país da sua sede ou do país que estejam localizados os dados, desde que os dados pessoais sejam coletados ou o tratamento seja realizado no território nacional.
Não são considerados dados pessoais os dados relativos a pessoa jurídica ( CNPJ, RAZÃO SOCIAL, ENDEREÇO COMERCIAL E ETC.).
- FINALIDADE: O tratamento deve ser realizado para propósitos legítimos, específicos, explícitos e obrigatoriamente informados ao titular, sem possibilidade de tratamento posterior, de forma incompatível com as finalidades.
- ADEQUAÇÃO: Os dados devem ser tratados de acordo com a sua destinação. A coleta de dados deverá ser compatível com a atividade fim do tratamento.
- NECESSIDADE: A coleta de dados deve ocorrer de forma restritiva, cuidando para que o tratamento dos dados pessoais esteja restrito à finalidade pretendida.
- TRANSPARÊNCIA: Visa garantir aos titulares, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento dos dados.
- LIVRE ACESSO: Possibilitar que o titular dos dados consulte livremente, de forma facilitada e gratuita, a forma e a duração do tratamento dos dados, bem como sobre a integralidade deles.
- QUALIDADE DOS DADOS: Busca garantir aos titulares dos dados a exatidão, a clareza, a relevância e a atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
- SEGURANÇA: Utilização de medidas técnicas e administrativas para proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
- PREVENÇÃO: É um dos pilares da Segurança da Informação, buscando a antecipação de eventualidades, com a adoção de medidas para prevenir a ocorrência de danos em razão do tratamento de dados pessoais.
- RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: O controlador ou o operador demonstrem todas as medidas eficazes e capazes de comprovar o cumprimento da lei e a eficácia das medidas aplicadas.
- NÃO DISCRIMINAÇÃO: O tratamento dos dados não pode ser realizado para fins discriminatórios, ilícitos ou abusivos.
A Lei Geral de Proteção de Dados prevê que o tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
- Consentimento do titular;
- Cumprimento da obrigação legal ou regulatória pelo órgão regulador;
- Pela Administração pública para execução de política pública;
- Realização de estudo por órgão de pesquisa;
- Quando necessário para execução de contrato;
- Exercício regular do direito em processo judicial, administrativo ou arbitral;
- Proteção da vida ou incolumidade física do titular ou terceiro;
- Tutela da saúde em procedimento realizado por profissionais de saúde/serviços de saúde/agência sanitária;
- Interesses legítimos do controlador ou do terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exigam a proteção dos dados pessoais.
O termo de consentimento deverá referir-se a finalidades determinadas e ser fornecido por escrito ou por meio que demonstre a vontade do titular.
O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e de fácil acesso.
- CONFIRMAÇÃO: confirmar se existem dados;
- ACESSO: acesso gratuito e de maneira facilitada aos dados que são tratados;
- CORREÇÃO: Corrigir e atualizar os dados a qualquer momento;
- ELIMINAÇÃO OU EXCLUSÃO: Solicitar a qualquer momento a eliminação e exclusão dos dados pessoais (exceto em situações que o Direito Canônico ou legislação exigir a guarda por temo determinado )
- REVOGAÇÃO DE CONSENTIMENTO: Revogar a qualquer momento, o consentimento concedido anteriormente.
- INFORMAÇÃO SOBRE COMPARTILHAMENTO: Para onde os seus dados poderão ser compartilhados.
O tratamento de dados pessoais sensíveis deverá ter o consentimento do titular ou responsável legal de forma específica ou destacada para finalidades específicas.
O tratamento de dados pessoais de crianças e adolescentes deverão ser realizados com o consentimento específico e em destaque por pelo menos um dos pais ou responsável legal pelo menor.
O termino deverá ocorrer nas seguintes hipóteses:
- Quando a finalidade foi alcançada ou os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica;
- No fim do período de tratamento;
- Quando o consentimento for revogado pelo titular do dado;
- Por determinação da autoridade nacional, quando houver violação ao disposto na lei.
ELIMINAÇÃO DOS DADOS:
Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades.
CONTROLADOR:
- Tratar e proteger os dados pessoais dos titulares de dados de acordo com a LGPD;
- Elaborar relatório de impacto à proteção de dados;
- Comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança da informação que possa acarretar risco ou dano relevante aos titulares.
OPERADOR
O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.
O controlador e o operador deverá manter registro das operações de tratamento de dados pessoais que realizarem.
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
A Autoridade Nacional de Proteção de Dados – ANPD é um órgão da administração pública direta federal do Brasil que faz parte da Presidência da República e possui atribuições relacionadas à proteção de dados pessoais, determinando as diretrizes da aplicação e fiscalização do cumprimento da LGPD.
As empresas que tratam dados pessoais devem adotar medidas de segurança aptas à proteção dos dados desde a coleta até a sua exclusão, inclusive em caso de incidente de segurança.
- Mantenha o ambiente sempre organizado, assim qualquer papel chamará a atenção e ficará mais fácil evitar vazamentos;
- Nunca faça censo paroquial, coletando dados que possam identificar as pessoas, como nome e números de documentos.
- Colete e armazene o menor volume de informação possível. Guarde apenas o que for indispensável, pois em caso de vazamentos isso fará muita diferença.
- Não armazene fisicamente documentos e livros no mesmo ambiente de trabalho, pois assim não será possível auditar o acesso a estes registros.
- Nunca fotografe ou envie digitalmente imagens de documentos, relatórios ou livros. Pois assim perderá o controle sobre estes dados, que são de sua responsabilidade.
- Como confirmo se o titular do dado é realmente a pessoa?
Resposta: A conferência deve ser feita OBRIGATORIAMENTE, com um documento de identificação com foto. - Mas se o atendimento for por telefone?
Resposta: Peça para a pessoa confirmar alguns dados como:
Nome completo;
Endereço;
E-mail;
Telefone Celular - Se o titular do dado solicitar a atualização ou a exclusão dos dados cadastrados?
Resposta: Após a confirmação dos dados, solicite que o titular encaminhe para o e-mail corporativo da paróquia, e-mail solicitando a devida atualização e ou exclusão, importante orientar que mencione no e-mail os dados que devam ser alterados ou excluídos.
Depois de efetivada a alteração ou exclusão definitiva de todas as informações do titular em todos os sistemas, planilhas e cadastros usados pela paróquia, retornar como resposta para o mesmo, confirmando a efetivação do solicitado pelo titular. - Posso fazer o tratamento de dados pessoais de menores de idade?
Resposta: O tratamento deve ser feito seguindo todo o protocolo da segurança da proteção de dados. Porém, o TERMO DE CONSENTIMENTO deve ser assinado pelos pais ou responsáveis pelo menor. - E no caso de casal, tanto o marido ou a mulher pode assinar o termo de consentimento um pelo outro?
Resposta: Não pode, os dados pessoais é personalíssimo, ou seja, é exclusivo da pessoa natural de quem se refere os dados.
O marido é titular dos seus dados pessoais e a esposa é titular dos danos pessoas dela, não podendo por hipótese alguma a alteração da titularidade dos dados. - Posso iniciar o processo de tratamento dos dados pessoais sem o consentimento do titular?
Resposta: Para qualquer fase do tratamento de dados pessoais, é OBRIGATÓRIO o termo de consentimento assinado pelo titular dos dados pessoais. - No caso de atividades pastorais, também devo ter esta preocupação com o tratamento de dados pessoais?
Resposta: Em todas as situações que houver a necessidade de colher informações pessoais, deve ser seguido a risca todo o protocolo de segurança da LGPD, inclusive com a assinatura do TERMO DE CONSENTIMENTO específico para cada atividade pastoral. - Posso guardar fisicamente os formulários, cadastros e o Termo de Consentimento assinado pelo titular do dado?
Resposta: Caso seja necessária a guarda de algum documento físico, conforme orientação do Direito Canônico deve seguir algumas orientações:
- O local da guarda deve ser , preferencialmente, em uma sala separada da secretária ( atendimento ao /público )
- A sala deve possuir fechadura nas portas, sendo obrigatório manter trancado.
- Os armários devem possuir fechaduras que devem serem mantidas trancados e com controle de acesso.
- O local deve possuir o menor fluxo de pessoas possíveis. - Fui procurado por uma empresa para disponibilizar cursos profissionalizantes para os paroquianos, posso passar uma relação com nome, telefone e endereço para que está empresa possa entrar em contato ?
Resposta: Por hipótese alguma os dados pessoais podem ser compartilhados sem a autorização do seu titular, neste caso, é extremamente proibido compartilhar estas informações. - Na minha paróquia os catequistas que são os responsáveis por colher as informações para as inscrições de catequese e crisma, isto pode ?
Resposta: A orientação é que toda a coleta de informações pessoais seja feita na secretária, dentro do ambiente da paróquia e por uma pessoa de total confiança do pároco, uma vez que está pessoa, se torna a OPERADORA dentro do processo de tratamento de dados da LGPD. - Os catequistas pode levar essas informações para suas residências?
Resposta: O tratamento dos dados pessoais deve ser feito, EXCLUSIVAMENTE, dentro do ambiente paroquial. - Na minha paróquia imprimimos as etiquetas dos dizimistas e entregamos para os ministros/voluntários fazer a colagem nos envelopes na sua residência, podemos continuar fazendo desta forma?
Resposta: Todo o tratamento dos dados pessoais deve ser feito, OBRIGATORIAMENTE, dentro do ambiente da paróquia e por uma pessoa de total confiança do pároco, uma vez que está pessoa, se torna a OPERADORA dentro do processo de tratamento de dados da LGPD.