Checklist LGPD – Sua empresa está em compliance?

Checklist LGPD – Sua empresa está em compliance?

Sua empresa fica, tem clientes no Brasil ou planeja uma expansão no local? E você coleta ou processa dados pessoais de clientes? Então você precisa estar em compliance com a Lei Geral de Proteção de Dados (LGPD). Portanto, prepare-se para fazer um checklist da LGPD para não sofrer as consequências.

Checklist LGPD

Após revisão presidencial, a LGPD tornou-se lei em 18 de setembro de 2020. Sua exigibilidade foi retroativa a 16 de agosto de 2020. O principal objetivo da Lei era unificar 40 legislações brasileiras diferentes que regulam o tratamento de dados pessoais.

A boa notícia é: se você já está em conformidade com o GDPR ou POPIA, então você já fez grande parte do trabalho necessário para cumprir a LGPD. No entanto, para ajudá-lo a alcançar a conformidade, faça o checklist da LGPD para garantir:

Passos

Roadmap

1) Identifique se a sua empresa precisa cumprir a LGPD
Esta etapa é elegível caso sua empresa processe os dados pessoais de

pessoas no Brasil, independentemente de onde seu negócio está localizado. Então, esse é o primeiro critério do seu  checklist da LGPD.

2) Crie uma Política de Privacidade abrangente
Certifique-se de que a lei seja fácil de encontrar e de ser entendida por parte do usuário médio.

Então, informe quem tem acesso aos dados pessoais coletados (por exemplo, de cookies).

Feito isso, vem a implementação: ou seja, tornar as informações e preferências de consentimento sobre o processamento de dados disponível em um banner de privacidade quando os usuários visitam seu

site. 

Vale lembrar que usar uma plataforma de gerenciamento de consentimento garante

que você pode incluir todas as informações necessárias e obter os consentimentos necessários.

3) Informe os usuários sobre seus direitos
Informe os usuários sobre os nove direitos fundamentais que os titulares dos dados têm conforme o artigo 18.º da LGPD*.

Ou seja, o direito ao apagamento, direito a ser informado, e direito de oposição, por exemplo.

4) Informe os usuários que você usa cookies ou outras tecnologias de rastreamento
Certifique-se de informar os usuários sobre suas intenções durante ou antes do ponto em que você começa a coletar dados. Este é um ponto fundamental no seu  checklist da LGPD.

Contudo, informe especialmente os usuários sobre:

1. A finalidade específica do tratamento;

2. O tipo e duração do processamento;

3. A identidade do controlador e seu contato

em formação;

4. O uso compartilhado de dados pelo controlador e seu propósito;

5. As responsabilidades dos agentes que realizarão o processamento;

6. Os direitos do titular dos dados, com menção explícita dos direitos enumerados no art. 18 da LGPD.

Então, inclua essas informações em sua Política de Privacidade.

5) Explique na primeira camada do banner de privacidade quais são seus cookies ou outras tecnologias web utilizadas e o por quê
Informe os usuários sobre a finalidade de cada cookie ou tecnologia web separadamente. Afinal, assim você pode garantir que obterá um consentimento específico e granular para cada cookie. No entanto, lembre-se que os usuários devem ter a opção de conceder ou retirar o consentimento para cada finalidade.

Tudo isso deve ser declarado na primeira camada do banner de privacidade, então, inclua em seu  checklist da LGPD.

6) Obter consentimento voluntário dos usuários para armazenar cookies em seus dispositivo(s) e habilitar recusa de consentimento ou ajuste de preferências no futuro
Necessário quando os cookies envolvem a coleta e processamento de dados pessoais de usuários (por exemplo, se as informações podem ser vinculadas a um determinado indivíduo identidade.

Contudo, o consentimento deve ser dado livremente: ou seja, com apresentação igual e acessibilidade dos botões “Aceitar” e “Rejeitar”.

Portanto, recusar o consentimento deve ser uma opção  igualmente acessível.

O consentimento deve ser fácil de retirar: na segundo os usuários da camada devem ter a opção de retirar seu consentimento.

Documentação de todo esse processo: o fardo é seu, não do usuário.

7) Coletar e processar dados somente após a obtenção de um consentimento válido
Certifique-se de que nenhum cookie seja carregado até que os usuários tenham dado consentimento.

Assim que o consentimento válido for obtido, você poderá recolher e tratar dados pessoais para os fins que você informou aos usuários.

8) Documentar e armazenar consentimento recebido de usuários
Você deve cumprir as obrigações de documentação para garantir pode verificar o consentimento dos usuários em caso de reclamação ou auditoria das autoridades brasileiras de proteção de dados.
9) Após a desativação, certifique-se de que não há mais dados recolhidos ou  encaminhados
Certifique-se de que, a partir do momento da objeção, nenhum dado adicional será coletado e encaminhado. Isso inclui consentimento recusado para novos usuários ou atualizações

preferências de consentimento para usuários recorrentes.

 

Requisitos de cookies da LGPD

Os dados identificáveis ​​são protegidos pela LGPD. Portanto, cookies e outros rastreamentos de tecnologias da web – que coletam dados que podem ser associados a uma pessoa – estão sujeitos a obrigações de conformidade de privacidade nos termos da lei. Por exemplo: se as informações estão vinculadas ou podem ser rastreadas ​​a um determinado usuário, endereço IP, dispositivo ou outro identificador específico. Ou seja, não esqueça de incluir este critério no seu  checklist da LGPD.

Lei Brasileira de Internet

A Lei Brasileira da Internet tem disposições relativas ao armazenamento, uso, divulgação e outro tratamento de dados coletados na Internet. Também o direitos estabelecidos de privacidade, intimidade e direitos do consumidor aplicam-se igualmente a meios eletrônicos, como dispositivos móveis e a Internet.

Portanto, as violações podem estar sujeitas a punição civil sob a Autoridade Nacional de Proteção de Dados. As multas podem chegar a 2% da receita anual do ano anterior, até R$ 50 milhões. Contudo, também há possibilidade de suspensão total ou parcial de dados e atividades de processamento.

Checklist dos requisitos básicos da LGPD

  • Consentimento livre e informado é necessário
  • A finalidade deve ser fornecida (primeira camada do banner de privacidade)
  • O destinatário deve ser nomeado (segunda camada do banner de privacidade)
  • A retirada do consentimento deve ser possível (segunda camada do banner de privacidade)
  • As opções para conceder ou recusar o consentimento devem ser iguais
  • A prova de que o consentimento foi dado deve ser armazenada
  • A opção de dar ou retirar o consentimento granular para cada finalidade de processamento de dados deve ser fornecida
*Artigo 18 da LGPD

Direitos do Titular de Dados Pessoais em relação ao Controlador

O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I – confirmação da existência de tratamento;

II – acesso aos dados;

III – correção de dados incompletos, inexatos ou desatualizados;

IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.

2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.

3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.

4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:

I – comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou

II – indicar as razões de fato ou de direito que impedem a adoção imediata da providência.

5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.

6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.

7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.

8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.

Fonte:

Usercentrics

Facebook
Twitter
LinkedIn

posts relacionados

conformidade ESG

Guia de conformidade ESG

Ultimamente, a conformidade ESG tornou-se uma parte essencial da estratégia corporativa. Ambiental, social e de governança (ESG) é uma estrutura

Leia mais »

Perguntas
frequentes

Nós falamos com o seu fornecedor atual e colhemos todas as informações necessárias diretamente com eles. Também podemos fazer o mapeamento de todas as informações diretamente na sua empresa.

SIM, é possível melhorar a qualidade e o desempenho e ainda reduzir custos. Essa eficiência é possível graças ao sistema de melhoria contínua que aplicamos há anos.

SIM, o time interno pode ser absorvido, com os profissionais se tornando colaboradores da Infonova.

SIM. Em conjunto com seu departamento, ou consultoria jurídica, ajudamos a implantar as ações de TI necessárias para adequação da LGPD.

A transição pode ocorrer com ou sem o apoio do fornecedor atual. A Infonova vai mapear todas as informações, identificar os itens críticos e realizar a transição de forma segura, sempre em alinhamento com o cliente.

Em geral é rápida. O tempo exato depende de cada situação. O prazo mais comum de transição em paralelo é entre 1 semana e 15 dias.

NÃO. Temos soluções para empresas de 10 a 2.500 colaboradores. Desenvolvemos uma metodologia para atender empresas em diversos segmentos, em situações de crescimento ou retenção.

Temos diversas soluções para proteger o acesso de usuários que ficam externos ou em home office.

SIM, trabalhamos com os principais provedores de nuvem e possuímos um datacenter próprio.

Já vai?

Receba conteúdos exclusivos e gratuitos direto no seu e-mail, para ler sem pressa ;)

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

FALE
COM UM
ESPECIALISTA