1. Objetivo
O objetivo do Manual Prático de Proteção de Dados Pessoais (“Manual”) é fornecer aos funcionários da AGROPERMUTA CONSULTORIA EMPRESARIAL S.A (“AGROPERMUTA”) informações práticas sobre os procedimentos necessários a serem seguidos em situações que podem e irão ocorrer no âmbito do tratamento de dados pessoais.
Assim, o Manual busca esclarecer à AGROPERMUTA a quem direcionar casos relacionados à proteção de dados pessoais, como solucionar as requisições de titulares dos dados, como proceder no caso de introdução de um novo processo que tenha impacto sobre a proteção de dados pessoais, ou em caso de violação de dados pessoais. Os dois últimos capítulos tratam de respostas e procedimentos a serem observados caso AGROPERMUTA esteja sujeita à fiscalização pela Agência Nacional de Proteção de Dados (“ANPD”) ou pretenda transferir dados pessoais para um país terceiro fora do Brasil.
1.1 Casos típicos de tratamento de dados pessoais
Como uma empresa de tecnologia voltada à estruturação de operações de crédito no setor agrícola, a AGROPERMUTA enfrentará questões relativas aos dados pessoais e a necessidade de protegê-los adequadamente, especialmente em relação às suas atividades de recursos humanos (recrutamento de novos funcionários, processamento de dados pessoais dos funcionários existentes e antigos), ações publicitárias (veiculação de anúncios, distribuição de newsletters com novidades) ou para atividades de vendas (garantindo a segurança da operação, e a realização de contatos com parceiros comerciais e clientes).
Estes processos incluem diversas formas de tratamento de dados pessoais relacionadas a várias entidades, que poderão estar fundamentados em bases legais, a depender da finalidade do tratamento. Em alguns casos, contudo, a AGROPERMUTA deverá agir proativamente para assegurar a legalidade do tratamento de dados pessoais realizado ou pretendido (isto é, deverá buscar consentimento do titular dos dados, ou notificá-lo a respeito de tal tratamento).
Um resumo dos procedimentos individuais de tratamento de dados pessoais deve fazer parte dos registros que a AGROPERMUTA é obrigada a manter. Os relatórios das atividades de tratamento constituem um inventário que contém um resumo das finalidades para as quais determinados dados pessoais estão sendo tratados na AGROPERMUTA, e que poderão ser inspecionados em caso de dúvida quanto aos tratamentos efetivamente realizados. Este sumário representará um importante meio de prova em favor da empresa, principalmente na demonstração de que o direito de acesso do titular dos dados pessoais foi observado.
1.2 Leis aplicáveis e regulamentos internos
A Lei Federal nº 13.709/18 (“LGDP”), que trata sobre proteção de dados pessoais, está vigente em todo o território da República Federativa do Brasil, sendo aplicável às empresas que têm estabelecimento no Brasil, e/ou oferecem produtos e serviços ao mercado brasileiro, e/ou coletam e tratam dados pessoais de indivíduos localizados no Brasil.
Em um segundo nível, o tema proteção de dados pessoais está também inserido nos regulamentos internos, políticas e/ou demais documentos publicados pela AGROPERMUTA, que estabelecem regras para o tratamento de dados pessoais dentro da empresa em questão, prazos programados para a remoção ou descarte de documentos que contenham dados pessoais, entre outros. Os regulamentos internos atualmente vigentes que dizem respeito ao tratamento de dados pessoais são os seguintes:
os registros das atividades de tratamento da AGROPERMUTA;
os documentos padrão que regulamentam o tratamento de dados pessoais;
outros documentos relacionados ao tratamento de dados (como os regulamentos internos da AGROPERMUTA – normalmente diretrizes sobre o tratamento de dados pessoais ou regras de descarte e o acordo de tratamento dos dados pessoais).
Todos os funcionários da AGROPERMUTA devem conhecer e se familiarizar com esses regulamentos internos, estando obrigados a cumpri-los sistematicamente.
1.3 Pessoa de contato para o tratamento de dados pessoais
Uma das obrigações de empresas controladoras de dados pessoais, incluindo-se AGROPERMUTA, é adotar medidas técnicas e organizacionais adequadas para garantir o nível de segurança correspondente aos dados pessoais tratados. A LGPD não define medidas técnicas e organizacionais específicas que devam ser adotadas pelos controladores e operadores de dados pessoais, pois tais medidas devem sempre corresponder à extensão do risco das atividades de tratamento realizadas. Por conta disso, constitui boa prática e dever legal no Brasil a nomeação de uma pessoa que atuará como contato principal em todos os casos relacionados com o tratamento de dados pessoais.
A pessoa de contato para a proteção de dados pessoais da AGROPERMUTA é o Encarregado de Dados Pessoais nomeado:
E-mail: dpo@agropermuta.com.br
O Encarregado de Dados Pessoais realiza, em particular, as seguintes atividades:a) Acompanhamento (pelo menos geral) da evolução da legislação aplicável de proteção de dados pessoais;
b) Resolução de pedidos através dos quais os titulares dos dados exercem os seus direitos no âmbito da LGPD
c) Aumento da conscientização e realização de treinamento profissional dos funcionários da AGROPERMUTA envolvidos no tratamento de dados pessoais (por exemplo, organizando o treinamento e a educação dos funcionários)
d) Prestação de informação e consultoria aos colaboradores da AGROPERMUTA;
e) Atuação como pessoa de contato junto à ANPD, com a qual irá cooperar e consultar em questões relativas ao tratamento de dados pessoais;
f) Avaliação do risco relacionado com a proteção e tratamento de dados pessoais, bem como eventuais inconformidades, violações e/ou descumprimentos de regulamentos internos em matéria de proteção e tratamento de dados pessoais;
g) Controle permanentemente da atualização dos registros das atividades de tratamento e dos regulamentos internos da AGROPERMUTA.
2. Como resolver uma solicitação do titular dos dados pessoais
Os titulares dos dados pessoais, incluindo-se funcionários, clientes e parceiros de negócios (ou seus representantes, se for uma pessoa jurídica), podem reivindicar junto à AGROPERMUTA uma série de direitos que lhes são assegurados pela LGPD
Alguns direitos podem ser exercidos diretamente pelo titular dos dados (independentemente da base legal do tratamento – como, por exemplo, o direito de acesso ou de retificação de dados). Outros, contudo, somente poderão ser exercidos na ocorrência de determinadas circunstâncias previstas na LGPD (por exemplo, o direito de eliminação de dados, portabilidade ou restrição do tratamento).
2.1 Direitos dos titulares dos dados pessoais
Os seguintes direitos são legalmente assegurados aos titulares dos dados pessoais:
a) direito à informação (Art. 18, II da LGPD)
A empresa, na qualidade de controladora, deve fornecer ao seu titular informações sobre a existência de atividades de tratamento de dados pessoais que realizar. Essas informações devem ser prestadas de forma sucinta, transparente,
compreensível e de fácil acesso. Essas informações, cujo alcance é definido no art. 19 da LGPD, devem ser comprovadamente comunicadas aos titulares dos dados, como, por exemplo, por meio de declaração ou memorando a respeito dos tratamentos de dados realizados no site da AGROPERMUTA.
O direito de acesso aos dados pessoais (Art. 18, I da LGPD)
Cada titular dos dados pessoais tem o direito de obter do controlador as informações a respeito da existência de tratamento de seus dados pessoais. Se o tratamento ocorrer, o titular dos dados tem direito à prestação das informações conforme definido no art. 19 da LGPD, bem como ao fornecimento de sua cópia. O procedimento a ser adotado no atendimento a solicitação de acesso a dados pessoais está descrito no subcapítulo 2.2.1 do Manual.
O direito à retificação (Art. 18, III da LGPD)
O titular dos dados tem direito à retificação dos seus dados pessoais, se inexatos. O controlador não precisa identificar ativamente tais imprecisões; contudo, caso seja alertado de quaisquer dados incorretos, desatualizados ou imprecisos, o controlador deve atender tal comunicação ou solicitação e corrigir os dados. Além do direito de retificação, o titular dos dados terá direito ao preenchimento dos dados pessoais incompletos, inclusive por meio da apresentação de uma declaração complementar.
O direito de eliminação (Art. 18, VI da LGPD)
Ressalvadas situações de exceção previamente definidas na LGPD, todo titular de dados tem o direito de ter seus dados pessoais eliminados. O exercício de tal direito corresponde à obrigação do responsável pelo tratamento apagar prontamente os dados pessoais desse titular de dados. O procedimento a ser observado para a eliminação de dados pessoais está descrito no subcapítulo 2.2.2 do Manual.
O direito de bloqueio (Art. 18, IV da LGPD)
Em certos casos, o titular dos dados tem o direito de solicitar à AGROPERMUTA o bloqueio do tratamento dos seus dados pessoais, especialmente nos casos em que não seja certo se e quando os dados pessoais do titular dos dados deverão ser eliminados. O titular dos dados pessoais pode contestar a exatidão dos seus dados pessoais que estão sendo tratados pela AGROPERMUTA. Nesse caso, a AGROPERMUTA suspenderá o tratamento de tais dados pessoais (ou seja, não os usará ativamente, mas apenas os manterá armazenados), verificará a suposta inexatidão e, posteriormente, decidirá sobre as etapas adicionais (correção dos dados ou continuação do tratamento).
Na prática, um pedido de bloqueio do tratamento poderá ser solicitado por um titular de dados cujos dados pessoais são tratados com fundamento em base legal que consiste em um interesse legítimo do controlador e no desempenho de uma tarefa de interesse público. Se o titular dos dados se opuser a tal forma de tratamento, a AGROPERMUTA deixará de tratar seus dados pessoais (exceto se houver consentimento do titular dos dados ou se tal tratamento for necessário para a determinação, exercício ou defesa de direitos da AGROPERMUTA), e avaliará se o interesse da AGROPERMUTA na continuidade do tratamento prevalece sobre os interesses ou direitos e liberdades do titular dos dados. Com base no resultado dessa avaliação, a AGROPERMUTA poderá retomar o tratamento desses dados ou os eliminará.
O direito à portabilidade dos dados (Art. 18, V da LGPD)
O titular dos dados tem o direito de solicitar que os seus dados pessoais sejam transmitidos diretamente de um responsável pelo tratamento para outro. O exercício de tal direito também não deve afetar adversamente os direitos e liberdades de outras pessoas naturais, devendo também ser preservados os segredos comerciais e industriais da AGROPERMUTA.
O direito de oposição (Art. 18, § 2º da LGPD)
O direito de oposição pode ser exercido se a base legal do tratamento não estiver fundada no consentimento. Em tal situação, os dados pessoais devem ser apagados e não devem ser tratados posteriormente, a menos que a AGROPERMUTA demonstre a existência de motivos legítimos que se sobreponham aos interesses ou direitos e liberdades fundamentais do titular dos dados. Uma oposição também pode ser apresentada contra o tratamento para fins de marketing direto; nesse caso, a avaliação acima mencionada deve ser dispensada e esta finalidade de tratamento deve ser imediatamente interrompida. Em caso de oposição do titular de dados em relação ao tratamento de suas informações para fins de pesquisa científica ou estatística, a AGROPERMUTA via de regra interromperá o tratamento, a menos que considere o tratamento relevante devido a um interesse público envolvido, que deverá ser justificado.
O direito a revisão de decisão baseada exclusivamente em tratamento automatizado de dados (Art. 20 da LGPD)
Se o titular dos dados exercer este direito, a controladora está obrigada a fornecer informações relativas aos critérios e procedimentos adotados para o processo automático de tomada de decisões, inclusive aquelas relacionadas ao seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. A AGROPERMUTA poderá auditar tais procedimentos para averiguar a existência de parâmetros potencialmente discriminatórios. Como a AGROPERMUTA atualmente não realiza a tomada de decisão de forma automatizada, tal direito é mencionado neste documento para assegurar a integralidade das informações relativas aos direitos do titular dos dados.
2.2 Procedimento geral aplicado em caso de exercício dos direitos do titular dos dados
Assim que o titular dos dados submeter à AGROPERMUTA um requerimento relativo ao exercício de qualquer um dos direitos acima mencionados, a resolução de tal pedido deve ser direcionada para consulta junto ao Encarregado de Dados Pessoais (ver subcapítulo 1.3 do Manual), que avaliará se a reivindicação é admissível na situação em questão. O funcionário que receber tal solicitação se dirigirá ao Encarregado de Dados Pessoais (ou, se indisponível, ao Diretor Executivo da AGROPERMUTA), em prazo não superior a 48 (quarenta e oito) horas após a data em que tiver recebido tal pedido.
O pedido de cada titular dos dados pessoais deve ser concluído no prazo máximo de 48 (quarenta e oito) horas após o seu recebimento. Se a AGROPERMUTA decidir não acatar as medidas solicitadas pelo titular dos dados, notificará o solicitante desse fato e das razões para o não atendimento do pedido no mesmo prazo. Nesse caso, o titular dos dados pessoais deve ser sempre informado da possibilidade de recorrer à ANPD ou de tomar as medidas judiciais que entender pertinentes, caso não concorde com a postura da AGROPERMUTA.
Todas as solicitações enviadas serão processadas pela AGROPERMUTA sem qualquer custo ao titular dos dados. Se, no entanto, o pedido for manifestamente infundado ou excessivo, especialmente no caso de pedidos reiterados de um mesmo titular dos dados, a AGROPERMUTA poderá justificadamente recusar-se a dar seguimento ao pedido.
Todos os pedidos de titulares de dados serão respondidos da mesma forma em que foram formulados, preferencialmente em formato eletrônico. Caso solicitado pelo titular dos dados, os pedidos serão resolvidos por meio eletrônico ou formato impresso.
A solicitação de cada titular dos dados pessoais é avaliada de acordo com seu conteúdo efetivo. Na prática, solicitações incoerentes ou inconsistentes podem ser encontradas com regularidade. Em caso de ambiguidade, o titular dos dados deve ser solicitado a detalhar seu requerimento; na maioria dos casos, contudo, qualquer insuficiência no pedido pode ser superada pela interpretação, a fim de que o pedido do titular dos dados seja atendido (geralmente como um pedido de acesso aos dados pessoais ou o exercício do direito de exclusão)
A AGROPERMUTA deve afastar quaisquer dúvidas sobre a identidade do titular de dados pessoais que exerce seus direitos em relação a ela. A AGROPERMUTA solicitará ao titular de dados, sempre que julgar conveniente, informações adicionais para identificar claramente o solicitante. Se este direito for exercido através do endereço de e-mail já conhecido da AGROPERMUTA, o solicitante será considerado como identificado em todos os casos, exceto nos casos identificados nos itens 2.1(b) e (f), acima. Se o titular dos dados solicitar verbalmente o exercício do seu direito (e isso for adequado às circunstâncias em que o pedido foi realizado), poderão ser solicitadas ao titular dos dados informações adicionais para verificação de sua identidade (por exemplo, através do exame do seu documento de identidade, que deve ser apresentado voluntariamente pelo titular dos dados pessoais). Para o exercício do direito de acesso aos dados previsto no item 2.1(b) e do direito à portabilidade (item 2.1(f)), é necessário provar a identidade do requerente durante a sua visita pessoal (pela forma acima mencionada) ou por meio de uma assinatura cuja autenticidade seja oficialmente reconhecida em solicitação escrita, ou por meio de instrumento de procuração concedido a um terceiro.
Muito embora a LGPD confira ao titular dos dados uma série de direitos especiais (cf. acima), a AGROPERMUTA deverá encontrar de forma mais recorrente, na prática, reivindicações relativas ao exercício do direito de acesso aos dados pessoais e o direito à eliminação de referidas informações. Estas hipóteses deverão constituir a grande maioria das solicitações endereçadas à AGROPERMUTA pelos titulares dos dados.
2.2.1 Direito de acesso aos dados pessoais
O direito de acesso aos dados pessoais pode ser exercido por qualquer pessoa; portanto, seu exercício não está sujeito a nenhuma condição.
No caso de exercício deste direito, deve ser verificado em primeiro lugar se existem dados pessoais desse titular sendo efetivamente tratados. Nesse caso, o titular dos dados terá direito ao fornecimento das seguintes informações:
a finalidade do tratamento;
as categorias dos dados pessoais em questão;
destinatários ou categorias de destinatários aos quais esses dados pessoais foram ou serão divulgados, em particular destinatários em países terceiros ou organizações internacionais;
o período previsto de armazenamento dos dados pessoais (ou, se não for possível, os critérios para a sua determinação);
existência do direito de solicitar ao responsável pelo tratamento a retificação ou eliminação de dados pessoais, ou de restrição do tratamento de dados pessoais relativos ao titular dos dados ou de se opor a esse tratamento;
o direito de apresentar queixa à ANPD;
caso os dados pessoais não tenham sido coletados diretamente junto ao titular dos dados, qualquer informação disponível quanto à sua fonte;
a existência de tomadas de decisão automatizadas, incluindo perfis, e as informações sobre a lógica envolvida.
Em caso de dúvidas quanto ao conteúdo da resolução de um pedido de acesso a dados pessoais, é sempre necessário inspecionar os registros das atividades de processamento da AGROPERMUTA, os quais contêm as informações relevantes (mas sempre em relação às categorias gerais dos titulares dos dados).
2.2.2 Direito de eliminação
Se o titular dos dados pessoais exercer o direito de eliminação, deve ser verificado em primeiro lugar se o titular dos dados pessoais possui o direito de exercer esse direito, ou seja, se o exercício do direito de apagamento não está sujeito às exceções previstas no art. 16 da LGPD.
Na prática da AGROPERMUTA, tal exceção pode ser normalmente representada pelo dever de tratamento dos dados pessoais relevantes por determinação legal, ou nas situações em que o tratamento de dados pessoais a serem apagados é necessário para determinar, exercer ou defender os interesses da AGROPERMUTA em ações judiciais. Nesses casos, o pedido de apagamento não será atendido e os dados pessoais não serão apagados.
A AGROPERMUTA concederá o direito de eliminação e apagará os dados pessoais nos seguintes casos:
Exaurimento da finalidade do tratamento (AGROPERMUTA não precisa mais desses dados);
revogação do consentimento do titular dos dados (enquanto não houver outra base legal para o tratamento dos dados pessoais);
aceitação de oposição ao tratamento apresentada pelo titular dos dados nos casos em que a AGROPERMUTA não possua fundamento legítimo prevalecente para o tratamento, ou na ocorrência de tratamento dos dados para fins publicitários;
tratamento dos dados pessoais em desconformidade com a legislação aplicável;
dados pessoais sensíveis tenham sido coletados no âmbito de uma oferta de serviços digital, nos termos do art. 14 da LGPD.
Nos casos mencionados nas alíneas (a) e (d) acima, a AGROPERMUTA deve eliminar os dados pessoais independentemente da apresentação de pedido de eliminação. Se a finalidade do tratamento estiver concluída, o controlador não mais terá o direito de tratar os dados pessoais, a menos que haja mais de uma finalidade e essas outras finalidades sejam legítimas e o tratamento possua uma base legal válida (normalmente, o desempenho de um dever, um contrato ou um interesse legítimo). A ilegalidade do tratamento é baseada no fato de que o controlador processa dados pessoais sem uma finalidade legítima e/ou base legal (apenas uma dessas instâncias é suficiente para tal ilegalidade) – portanto, o dever de apagar os dados é evidente e o titular dos dados não precisa de apresentar um pedido para tal.
Os dados pessoais utilizados pela AGROPERMUTA por exigências de conformidade com determinada lei não podem ser apagados. Nesse caso, o titular dos dados será informado de que o seu pedido não pode ser atendido (ou pode ser parcialmente concedido se a AGROPERMUTA também processar outros dados pessoais albergados em tal solicitação que possam ser apagados) e sobre os motivos para tal indeferimento (parcial) do pedido. Neste caso, a resposta deverá informar ao titular dos dados a respeito da possibilidade de reclamação junto à ANPD ou da tomada de medidas judiciais que julgar pertinentes.
As situações descritas nas alíneas (b), (c) e (e) (muito embora esta última hipótese não se aplique à AGROPERMUTA) exigem que o titular dos dados manifeste expressamente seu interesse em ter determinados dados apagados. Se o titular dos dados revogar seu consentimento com relação a determinado tratamento, a AGROPERMUTA deve avaliar se pode continuar o tratamento desses dados sob outra base legal. Tal situação ocorrerá apenas em casos excepcionais, pois o tratamento mediante consentimento somente é considerado nos casos em que não haja base legal para o tratamento. No entanto, os mesmos dados pessoais podem ser tratados para finalidades distintas, com diferenciadas bases legais. É possível, por exemplo, que a AGROPERMUTA realize o tratamento do nome, sobrenome e data de nascimento de um titular para uma finalidade que esteja baseada no seu consentimento presumido, e, ao mesmo tempo, poderá tratar estes mesmos dados para uma finalidade distinta, baseada no cumprimento de deveres legalmente estabelecidos. Nesse caso, se o titular dos dados exercer o seu direito de eliminação de dados, a AGROPERMUTA irá notificá-lo de que a remoção não pode ser realizada e o motivo, bem como informá-lo-á de que deixará de tratar os dados para a finalidade à qual o titular dos dados outorgou seu consentimento. Se, no entanto, o titular dos dados revogar o consentimento para o tratamento de seus dados pessoais e a AGROPERMUTA tratar esses dados exclusivamente para a finalidade para a qual o consentimento foi concedido, normalmente não será possível justificar legalmente o tratamento posterior de referidos dados (salvo se ocorrer, no momento do exercício desse direito, alteração das circunstâncias do tratamento).
Os dados também devem ser apagados caso o tratamento esteja fundado no legítimo interesse, por oposição do titular dos dados, se a AGROPERMUTA concluir que inexistem motivos legítimos para o tratamento posterior de tais dados pessoais. O apagamento deve ser feito em todos os casos em que a AGROPERMUTA realiza marketing direto, se o titular dos dados se opuser a tal tratamento, e inexista qualquer outra base legal que autorize outra forma de tratamento de referidos dados.
Se a AGROPERMUTA consentir com direito de eliminação de dados pessoais porventura exercido por algum titular, também notificará esse fato aos operadores de dados com quem tais informações tenham sido compartilhadas (por exemplo, as empresas do grupo ou de parceiros comerciais, a agência de marketing etc.).
Como proceder em caso de alterações que afetem o tratamento de dados pessoais
A AGROPERMUTA impõe ao controlador e ao operador de dados pessoais uma série de obrigações. A AGROPERMUTA é obrigada a tratar exclusivamente dados pessoais exatos e atuais, os quais devem ser salvaguardados por meio de medidas técnicas e organizacionais adequadas. A AGROPERMUTA também está obrigada a considerar todas as regras de tratamento de dados pessoais no momento de determinar os meios e a forma para se realizar determinado tratamento.
Todo operador de dados pessoais é obrigado a considerar todas as regras de tratamento no momento de determinar os meios a serem utilizados para um determinado tratamento. Em outras palavras, todo projeto que incluir tratamento de dados pessoais deverá considerar previamente os mecanismos e procedimentos a serem adotados para sua execução.
Quando a AGROPERMUTA pretender iniciar um novo processo que tenha impacto no tratamento de dados pessoais, e o projeto em referência já dispuser de parâmetros suficientemente específicos, deve-se avaliar o seguinte:
O novo projeto exigirá uma atualização dos relatórios de atividades de tratamento?
O novo procedimento de tratamento exigirá a preparação de novos documentos relacionados com o tratamento (uma declaração sobre o tratamento de dados pessoais, consentimento para o tratamento de dados pessoais, um contrato/acordo sobre o tratamento de dados pessoais)?
O tratamento previsto está sujeito à obrigação de preparar uma avaliação do impacto da proteção de dados (ver subcapítulo 3.4)?
Todo novo projeto/procedimento que afete o tratamento de dados pessoais deve ser sempre previamente consultado com o Encarregado de Dados Pessoais.
3.1 Atualização dos registros das atividades de tratamento
Os registros das atividades de tratamento de dados pessoais funcionam como um inventário de todas as operações de tratamento que ocorrerem na AGROPERMUTA. As informações constantes dos registros das atividades de tratamento constituem a base para a resolução das solicitações dos titulares dos dados. Para garantir que os registros das atividades de tratamento cumpram sua finalidade, as informações neles contidas devem estar sempre atualizadas.
A responsabilidade pela manutenção e atualização dos registros das atividades de tratamento é do Encarregado de Dados Pessoais. Os registros das atividades de tratamento devem ser atualizados conforme necessário, sempre que as circunstâncias fáticas assim exigirem. Tal situação pode ocorrer, por exemplo, com a introdução de um novo processo na AGROPERMUTA que tenha impacto na proteção de dados pessoais. Tal processo pode ser, por exemplo, a introdução do monitoramento da atividade de seus funcionários nos sites por eles visitados. Nesse caso, os registros das atividades de tratamento devem ser complementados por um processo/registro totalmente novo, conforme exigido pelo art. 37 da LGPD (finalidades do tratamento, categorias dos titulares dos dados e dos dados pessoais, categorias de destinatários, períodos de retenção etc.). Os registros das atividades de tratamento também devem ser atualizados em caso de alteração de qualquer aspecto de um processo ou registro já existente (por exemplo, uma extensão ou redução do período de retenção, uma alteração da quantidade de destinatários a quem os dados pessoais são transferidos).
Cada funcionário da AGROPERMUTA é obrigado a fornecer ao Encarregado de Dados Pessoais toda a assistência em caso de atualização dos registros das atividades de tratamento.
O Encarregado de Dados Pessoais verificará a atualização dos registros pelo menos uma vez por ano.
3.2 Celebração de um contrato de tratamento de dados pessoais
Se a AGROPERMUTA estabelecer cooperação com uma nova pessoa (seja física ou jurídica) para a qual transfere dados pessoais, deve-se avaliar se tal entidade assumirá a posição de operador de dados pessoais, ou seja, se ela deverá tratar os dados pessoais transferidos de acordo com as instruções do responsável pelo tratamento, que determina a sua finalidade e meios de tratamento.
Os operadores típicos de dados pessoais incluem agências de folha de pagamento ou de marketing, provedores de benefícios para funcionários ou serviços de TI, a menos que estes tenham apenas acesso aleatório aos dados pessoais.
Todo controlador de dados pessoais é obrigado a celebrar com o operador a quem transfere os dados pessoais um contrato/acordo que irá regulamentar sua forma de tratamento. Referido acordo deverá conter, ao menos, as seguintes informações:
o objeto, a natureza e a finalidade do tratamento (que normalmente é definido por um “contrato principal” executado entre o controlador e o operador – como um contrato de prestação de serviços);
o período do tratamento realizado, normalmente limitado ao prazo de vigência do “contrato principal”;
categorias dos dados pessoais tratados (não é necessário referir-se individualmente aos dados, mas apenas às suas categorias, como “dados de identificação” e “dados de contato”);
categorias de titulares de dados (não é necessário nomear indivíduos cujos dados pessoais estão sendo transferidos, apenas categorias são suficientes, como “funcionários”);
obrigações e direitos do controlador e do operador.
Não obstante o escopo do tratamento e a natureza do operador, o acordo que regulará o tratamento de dados pessoais deve obrigar o operador nos seguintes termos:
para cumprir as instruções do controlador;
não usar os dados pessoais transferidos para finalidades diversas daquelas definidas no acordo;
todas as pessoas vinculadas ao operador que manuseiam os dados pessoais transferidos deverão ter assumido um compromisso de confidencialidade e não utilização de dados pessoais para outros fins;
não divulgar os dados pessoais recebidos a outros destinatários, a menos que o operador seja ordenado a fazê-lo por exigência legal;
não envolver outros operadores no tratamento (o contrato deve definir as condições exatas de tal restrição, ou, caso estabeleça de modo contrário, deve prever quem será o operador responsável pela utilização de outros operadores, que serão apenas notificados ao controlador, ou que referida utilização estará condicionada ao consentimento expresso do controlador);
prestar ao controlador do tratamento toda a assistência no tratamento de dados pessoais, incluindo o fornecimento de todas as informações necessárias para demonstração de que todas as obrigações previstas na LGPD foram compridas no curso das operações de tratamento;
dispor de medidas técnicas e organizacionais apropriadas para salvaguardar as informações pessoais a serem tratadas e imediatamente comunicar ao controlador qualquer violação aos dados pessoais;
excluir ou devolver os dados pessoais transferidos ao controlador após exaurido o escopo do negócio jurídico especificado no “contrato principal”.
O acordo de tratamento de dados pode conter outras obrigações do operador (por exemplo, uma obrigação de permitir que o controlador faça uma auditoria das condições do tratamento). As medidas técnicas e organizacionais específicas que o operador se compromete a cumprir devem sempre ser compatíveis com o risco potencial de determinada violação aos dados pessoais, bem como à sensibilidade, âmbito e método de processamento dos dados pessoais transferidos (por exemplo, pseudonimização, criptografia, vários métodos de segurança física dos dados).
O contrato/acordo de tratamento de dados pessoais deve ser sempre escrito.
Cada caso que exija a celebração de um acordo de tratamento de dados pessoais, bem como seu conteúdo, deverá ser consultado previamente com o Encarregado de Proteção de Dados Pessoais.
3.3 A avaliação do impacto da proteção de dados (AIPD)
Alguns tratamentos de dados pessoais podem ser especialmente arriscados para os titulares dos dados. A avaliação do impacto da proteção de dados (“AIPD”) consiste na descrição do tratamento dos dados pessoais e avaliação da sua adequação e necessidade. Portanto, os objetivos da AIPD são a detecção oportuna de eventuais riscos do tratamento e a busca de sua conformidade legal.
O principal objetivo da AIPD é avaliar o impacto do tratamento de dados pessoais, incluindo quaisquer possíveis riscos daí decorrentes. A AIPD é uma análise que considera todos os aspectos do tratamento planejado ou executado de dados pessoais.
A AIPD não precisa estar preparada para todos os tipos de tratamento de dados pessoais. Apesar de inexistir no Brasil atualmente uma obrigação legal de elaborar uma AIPD, é recomendada sua aplicação ao tratamento que possa representar, no que diz respeito à sua natureza, âmbito, contexto e finalidades, um risco elevado para os direitos e liberdades dos titulares dos dados pessoais.
Os métodos de tratamento descritos abaixo representam situações típicas que são mais propensas a exigir uma AIPD, servindo como referenciais no caso brasileiro:
a) Avaliação, incluindo perfis e prognósticos, particularmente aqueles decorrentes de aspectos relacionados ao desempenho no trabalho, situação econômica ou condição médica dos titulares dos dados;
b) Tomada de decisão automatizada com impacto jurídico ou outro impacto igualmente sério, como o estabelecimento de uma relação jurídica com o titular dos dados mediante a celebração de um contrato. Esse tratamento é normalmente usado por instituições financeiras no exame da situação econômica do titular dos dados antes de decidir conceder um empréstimo;
c) Monitoramento sistemático, como, por exemplo, o monitoramento de áreas comuns por um sistema de câmeras, rastreamento do titular dos dados por meio de um dispositivo GPS ou verificação sistemática de e-mails para busca de palavras “questionáveis”;
d) O tratamento de “categorias especiais”, que contenham dados pessoais de natureza muito íntima ou de dados pessoais relativos a matéria penal;
e) Casos em que grandes volumes de dados pessoais são tratados, ou seja, que dizem respeito a um grande número de titulares de dados ou incluem uma grande escala de dados pessoais relativos a cada pessoa específica;
f) Classificação ou fusão de arquivos de dados (por exemplo, o uso de vários bancos de dados de clientes existentes para fins de marketing em departamentos individuais da empresa);
g) Os dados pessoais dizem respeito a possível situação de vulnerabilidade dos titulares dos dados (por exemplo, crianças, funcionários, pessoas que sofrem de doenças ou pessoas com deficiência);
h) Uso inovador de novas tecnologias ou soluções organizacionais (por exemplo, o tratamento de impressões digitais ou rostos distintos dos titulares dos dados);
i) O tratamento poderá impedir que os titulares dos dados exerçam os seus direitos, utilizem os serviços ou cumpram os contratos (por exemplo, em bancos ou instituições de crédito).
4. Incidentes de segurança: prevenção e subsequentes soluções
Certos casos de violação de dados pessoais impõem obrigações adicionais aos controladores, incluindo a comunicação dessa violação à ANPD ou aos próprios titulares dos dados. Em caso de violação de dados pessoais, todos os funcionários da AGROPERMUTA estão obrigados a cumprir as regras abaixo especificadas.
4.1 Recomendações para a prevenção de violações de dados pessoais
O método mais eficaz para evitar a ocorrência de casos de violação de dados pessoais é a sua prevenção, o que se dá através da introdução de medidas técnicas e organizacionais adequadas.
No âmbito da AGROPERMUTA, as seguintes medidas técnicas devem ser observadas:
Não coletar dados pessoais redundantes, e aplicar o princípio da minimização do tratamento dos dados pessoais (que deve ser proporcional, pertinente e limitado ao necessário para os fins do tratamento);
Aplicar o princípio da “política de mesa limpa” – cada colaborador é obrigado a verificar o seu local de trabalho antes de o deixar, retirando e armazenando apropriadamente quaisquer documentos que contenham informações sensíveis, não os deixando expostos ou à vista de pessoas não autorizadas;
Aplicar o princípio do “need to know” – os dados pessoais só podem ser divulgados a pessoas que realmente precisam de tais informações para o desempenho de seu trabalho. Neste caso, a medida técnica preventiva consiste na proteção física dos dados (por exemplo, seu armazenamento em arquivos com chave e controle de acesso) e apenas o uso de aplicativos e programas que permitem a definição dos níveis de acesso que sejam adequados às necessidades de cada usuário (incluindo, por exemplo, mera inspeção de certos dados e possibilidade de alterações), que terá um login de acesso específico que o identifica;
Configurar adequadamente os direitos do usuário em bancos de dados, aplicativos e software. Todo colaborador deve ter direitos de acesso que sejam relacionados ao seu cargo, e que lhe permitam acesso apenas aos dados de que realmente necessita para o desempenho de suas funções;
Aplicar a política de senha forte – todos os funcionários da AGROPERMUTA são obrigados a cumprir as regras relativas à configuração e ao tratamento de senhas descritas a seguir:
usar uma senha diferente para cada conta separada;
não escrever suas senhas em outros suportes (por exemplo, para anotações no telefone ou em folha de papel que fique disponível em sua mesa de trabalho);
configurar uma senha com pelo menos 8 caracteres, que não contenha quaisquer dados pessoais (o nome real, nome de usuário, data de nascimento), difira das senhas usadas anteriormente e contenha pelo menos um caractere das três categorias básicas, incluindo letras maiúsculas e minúsculas, dígitos e caracteres especiais.
4.2 Avaliação de um incidente ocorrido e o processo de resolução de tal situação
Cada funcionário da AGROPERMUTA está obrigado a relatar qualquer caso de violação de dados pessoais, ou fundada suspeita de violação, ao Encarregado de Dados Pessoais, que avaliará, com a ajuda de outros funcionários da AGROPERMUTA que entender pertinentes, se é necessário relatar o incidente à ANPD ou mesmo ao titular dos dados.
Cada (suspeita de) violação de dados pessoais (incluindo casos que não são considerados suficientemente graves para ser notificados) deverão ser anotados na documentação que contém registros de todas as violações de dados pessoais. A pessoa responsável por esta documentação é o Encarregado de Dados Pessoais, que também é responsável pela coordenação dos eventuais processos de comunicação de uma violação de dados pessoais que sejam considerados necessários, atuando como o principal ponto de contato na solução de tal violação.
Apenas os casos que possam causar danos relevantes ou colocar em risco os direitos e liberdades das pessoas naturais devem ser comunicados à ANPD. É também considerado um incidente de segurança a perda/extravio de documentos físicos que contenham dados pessoais relativos a registros de pessoas físicas (como os arquivos pessoais dos funcionários) e a perda de tais dados representa riscos para os sujeitos envolvidos. No âmbito brasileiro, as disposições que irão regulamentar mais detalhadamente a respeito das obrigações de comunicação estão ainda em elaboração pela ANPD.
A atual orientação da ANPD é no sentido de que tal notificação deverá ser submetida em prazo razoável, porém, em não mais do que 48 horas após a AGROPERMUTA tomar conhecimento da violação; este prazo é apenas recomendado. Contudo, se o incidente for relatado posteriormente, a AGROPERMUTA deverá fornecerá os motivos do atraso. Para identificar a forma pela qual tais violações devem ser reportadas, visite o site da ANPD.
O conteúdo da notificação de violação de dados apresentada à autoridade de supervisão deve incluir os seguintes dados:
a) uma descrição da natureza da violação de dados pessoais, incluindo, sempre que possível, as categorias de dados, o número aproximado de titulares de dados envolvidos e o número aproximado de registos de dados pessoais em causa;
b) indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;
c) o nome e informações de contato do Encarregado de Dados Pessoais, que poderá fornecer informações
d) detalhadas; uma descrição das prováveis consequências da violação de dados pessoais;
e) uma descrição das medidas tomadas ou propostas para o controlador lidar com a violação de dados pessoais, incluindo, quando apropriado, medidas para mitigar seus possíveis efeitos adversos.
Quando for provável que a violação de dados pessoais resulte em um alto risco para os direitos e liberdades das pessoas naturais, a AGROPERMUTA informará tal situação ao titular dos dados. Não é esperado que tal situação ocorra na AGROPERMUTA em razão de suas atividades ordinárias de tratamento de dados
5. Controle pela ANPD
Foi criada uma agência governamental independente que será responsável pelo acompanhamento da aplicação da LGPD. Dentre suas atribuições, compete à ANPD a realização de fiscalização a respeito do cumprimento da LGPD e a solução de reclamações apresentadas por titulares de dados pessoais.
Para desempenhar suas tarefas, a ANPD é dotada de uma série de poderes, dentre os quais importa mencionar os seguintes:
a) determinar ao controlador e ao operador e, quando aplicável, aos seus respectivos representantes, que forneça as informações necessárias para o desempenho de suas tarefas;
b) realizar investigações sob a forma de auditorias de proteção de dados;
c) obter, do controlador e do operador, acesso a todos os dados pessoais e a todas as informações necessárias ao desempenho de suas tarefas;
d) obter acesso a quaisquer instalações do controlador e do operador, incluindo equipamentos e meios de tratamento de dados utilizados.
Os poderes acima mencionados da ANPD correspondem às obrigações relevantes de cada controlador, incluindo a AGROPERMUTA. Se a ANPD iniciar uma fiscalização na AGROPERMUTA, as seguintes etapas devem ser seguidas:
a) entrar imediatamente em contato com o Encarregado de Dados Pessoais e com o consultor jurídico da AGROPERMUTA;
b) se a AGROPERMUTA tiver sido notificada com antecedência pela ANPD sobre a realização da fiscalização, bem como o seu escopo e respectivos documentos, programas e sistemas objeto da auditoria, é necessário preparar devidamente e atender às solicitações da autoridade supervisora;
c) prestar à ANPD todo o auxílio na condução da fiscalização.
A realização efetiva do processo fiscalizatório estará sujeita a regulamentação específica editada pela ANPD. Tal regulamento especificará o que precede a fiscalização a ser conduzida pela ANPD, como ela deverá ser conduzida e seus resultados, bem como será possível contestar os resultados da fiscalização e possíveis consequências e sanções que possam daí se originar. A ANPD possui poderes de aplicar sanções, entre as quais se incluem:
emitir uma advertência;
ordenar o cumprimento da solicitação do titular dos dados;
ordenar ao controlador ou operador que adequem as operações de tratamento em conformidade com as disposições da LGPD;
ordenar ao controlador que comunique o incidente de segurança ao titular dos dados;
impor limitação temporária ou definitiva do tratamento dos dados pessoais;
ordenar a suspensão dos fluxos de dados para um destinatário em um país terceiro;
aplicação de multa administrativa.
6. Transferência de dados pessoais para países terceiros
Qualquer transferência de dados pessoais para países terceiros (fora do Brasil) ou para organizações internacionais somente pode ser realizada em determinadas situações e deve ser assegurada a proteção legais de tais dados pelo controlador. Os dados pessoais não podem ser transferidos para países que não garantem proteção legal que seja, no mínimo, equivalente àquelas previstas na LGPD, ou que não tenham adotado instrumentos que garantam essa proteção durante a transferência.
6.1 Nível de proteção de dados do país estrangeiro ou do organismo internacional
A avaliação sobre o nível da proteção de dados pessoais será realizada pela ANPD, com base em determinados critérios pré-estabelecidos em lei. A ANPD poderá publicar no diário oficial ou em seu website uma lista de países terceiros, territórios e setores específicos em países terceiros e organizações internacionais em relação aos quais decidiu que asseguram ou não garantem um nível de proteção adequado.
6.2 Transferência com base em salvaguardas adequadas
Se não houver uma decisão da ANPD referente ao conteúdo explicado no subcapítulo 6.1, os dados pessoais podem ser transferidos para um país terceiro, desde que existam salvaguardas adequadas e se a exequibilidade dos direitos do titular dos dados tiver sido preservada. Neste caso, o meio mais adequado é a celebração de instrumentos jurídicos que regulamentem tal situação. O conteúdo de referidos documentos será ainda definido pela ANPD em regulamentação específica.
6.3 Exceções para situações específicas
Os dados pessoais também podem ser transferidos para países terceiros se pelo menos existir uma das seguintes bases legais:
o titular dos dados concorda expressamente com a transferência para o exterior;
a transferência for necessária por razões de interesse público;
a transferência for necessária em virtude da execução de um contrato celebrado com o titular dos dados ou para a execução de medidas adotadas antes da celebração do contrato;
a transferência for necessária em virtude da celebração ou execução de um contrato celebrado no interesse do titular dos dados com um terceiro;
a transferência for necessária para a apuração, exercício de defesa de demandas judiciais; ou
a transferência for feita a partir de um cadastro designado para informação e fiscalização pública ou para pessoa que demonstre interesse jurídico.
Esta política foi elaborada para fornecer diretrizes em relação ao tratamento de dados pessoais.
A AGROPERMUTA se reserva o direito de alterar, suspender ou cancelar esta política a qualquer momento e por qualquer motivo.