1 - LEI GERAL DE PROTEÇÃO DE DADOS
1.1 - O QUE É A LGPD?
A LGPD (Lei Geral de Proteção de Dados), promulgada em agosto de 2018, é a primeira legislação do Brasil que trata especificamente do uso de dados pessoais. A nova lei estipula uma série de obrigações para empresas, organizações e órgãos do governo sobre a coleta, armazenamento, compartilhamento e tratamento dos dados pessoais, tanto online quanto offline. A lei prevê multas e penalidades consideráveis no caso de não cumprimento dos requisitos impostos.
1.2 - QUANDO A LEI ENTROU EM VIGOR?
Com exceção da aplicação das penalidades administrativas, a LGPD (Lei Geral de Proteção de Dados) entrou em vigor em setembro de 2020. Isso significa que a partir daquela data, empresas e órgãos públicos devem ter procedimentos bem definidos e informações claras para os usuários de que forma será feita a coleta, o armazenamento, o uso de seus dados pessoais, entre outros aspectos.
1.3 - QUAIS AS SANÇÕES PARA QUEM NÃO SE ADEQUAR A LEGISLAÇÃO?
A LGPD prevê aplicação de multas que variam de 2% do faturamento bruto do grupo empresarial até R$ 50 milhões (por infração). No entanto, além das multas há uma série de outras sanções, como advertência, publicização da infração, bloqueio, eliminação e suspensão parcial e total do uso dos dados, impactando diretamente no modelo de negócios e no aspecto reputacional da empresa. As sanções administrativas previstas na LGPD começarão a ser aplicadas a partir de agosto de 2021.
1.4 - A LGPD SE APLICA A FORTICS?
A legislação, em seu art. 3.º dispõe sobre sua aplicação material, deixando claro que não importa a tecnologia empregada no tratamento dos dados, se digital ou analógico. Ela também tem uma aplicação extraterritorial, que significa dizer que a lei se aplica independentemente da localização da sede da empresa onde os dados são processados. Se a empresa ou organização processa dados pessoais de cidadãos brasileiros, se os dados pertencem a indivíduos localizados em Brasil ou se os dados foram coletados no momento que o titular dos dados estava no Brasil, a LGPD se aplica.
1.5 - QUAIS SÃO OS AGENTES DE TRATAMENTO?
Existem dois principais agentes de tratamento previstos pela LGPD: o Controlador e o Operador.
Controlador:
O Controlador é a empresa/organização que toma as decisões em relação aos dados pessoais. É o responsável por definir quando e como os dados serão coletados, para quais finalidades serão utilizados, onde e por quanto tempo serão armazenados etc.
Operador:
É a empresa/organização que realiza o processamento de dados pessoais sob as ordens do Controlador. O Operador não toma decisões em relação ao uso dos dados.
1.6 - O QUE É UM DADO PESSOAL?
O conceito de dado pessoal adotado é bastante amplo: qualquer dado, isolado ou em conjunto com outros dados, que possa ou tenha o potencial de tornar a pessoa identificável. Portanto a LGPD não é sobre qualquer tipo de dados, mas tão somente os “dados pessoais” o que implica que o dado esteja intrinsicamente vinculado a uma pessoa natural identificada ou identificável.
1.7 - O QUE É UM DADO PESSOAL “SENSÍVEL”?
Uma das categorias de dados presente na lei são os dados pessoais sensíveis. A LGPD indica uma lista dos dados pessoais considerados sensíveis: aqueles sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”. Como regra geral, toda informação que possa levar o titular a algum tipo de pré-conceito ou discriminação pode ser considerada dado sensível e ser passível de proteção legal mais rigorosa.
1.8 - O QUE PODE SER CONSIDERADO UM TRATAMENTO DE DADOS?
Tratamento é qualquer operação realizada com um dado — da coleta ao descarte. A LGPD estipula normas para qualquer ação de tratamento de dados pessoais. O art. 5.º da legislação traz uma extensa lista de ações que podem ser consideradas como tratamento. São exemplos: coleta, classificação, utilização, compartilhamento, reprodução, processamento, arquivamento, armazenamento etc.
2 - BASES LEGAIS
2.1 - O QUE SÃO BASES LEGAIS?
Você sabe como e em quais casos a LGPD autoriza a sua empresa a utilizar os dados pessoais de um contato? Para responder a essa pergunta, é necessário entender o conceito de bases legais.
As bases legais são hipóteses da LGPD que autorizam o tratamento de dados pessoais. Importante destacar que a relação de bases legais que a LGPD cita são taxativas – isso significa dizer que não existe nenhuma outra hipótese, além das expressamente descritas ali. A lei prevê que para uma pessoa (física ou jurídica) realizar qualquer operação com um dado pessoal – seja coletar, transmitir ou processar — é necessário ter, pelo menos uma base legal que legitime o tratamento desses dados.
A LGPD prevê dez bases legais que autorizam o tratamento de dados pessoais. As bases legais não têm dependência ou predominância entre si, e para todo caso de tratamento de dados, existe uma base legal mais apropriada.
2.2 - O QUE É CONSENTIMENTO?
Consentimento é uma manifestação livre, informada e inequívoca de uma pessoa que concorda com o uso dos seus dados para as finalidades propostas pela empresa. No entanto, o consentimento, como previsto na LGPD, precisa de alguns requisitos para que possa ser considerado válido:
O consentimento precisa ser livre. O titular não pode ser forçado a fornecer consentimento — deve ser uma escolha sem qualquer tipo de pressão se uma empresa insere um campo de consentimento em um formulário, mas exige que o preenchimento seja obrigatório, o titular não terá escolha sobre fornecer ou não o consentimento, sendo, portanto, este consentimento ilícito, uma vez que não foi obtido livremente
O consentimento precisa ser informado. Antes da coleta dos dados, o titular deve entender com o que está consentindo, quais dados serão coletados e o ciclo de vida destas informações pessoais. As organizações devem certificar-se que explicam de forma clara com o que a pessoa está concordando. Incluir informações em uma política de privacidade densa ou ocultas em letras pequenas, difíceis de encontrar, difíceis de entender ou raramente lidas, não será suficiente para estabelecer o consentimento informado.
O consentimento precisa ser inequívoco. Depende de manifestação por meio de um ato positivo do usuário. Em outras palavras, deve haver uma ação do usuário indicando sua aceitação, seja pelo envio de um e-mail, assinatura eletrônica, ou até mesmo por um clique em um local determinado. Não pode haver dúvidas acerca de o consentimento ter sido fornecido ou não. Opções pré-selecionadas ou o mero silencio passivo do titular não podem ser considerados manifestações do consentimento inequívoco.
O consentimento precisa ser fornecido para fins específicos e determinados. O consentimento deve ser fornecido para uma finalidade específica e determinada. Faz parte de toda a lógica da LGPD especificar o motivo pelo qual um dado pessoal é utilizado. A empresa não pode utilizar os dados para uma finalidade diferente daquela que o contato forneceu consentimento. Atento a estes conceitos a empresa cumpre com os princípios da finalidade, da necessidade e da transparência.
2.3 - O QUE É LEGÍTIMO INTERESSE?
Outra base legal que autoriza o uso dos dados é o legítimo interesse.
Para sua utilização é importante observar dois pontos que devem ser obrigatoriamente sempre respeitados, quando se pretender realizar o tratamento com essa base legal. O primeiro é a finalidade legitima, ou seja, somente com propósitos legítimos, específicos e devidamente informados ao titular. O segundo, por sua vez, é a existência da situação concreta, ou seja, o titular deve ter a efetiva expectativa de que seus dados serão tratados em decorrência de relação previa que existente entre ele e o controlador.
2.4 - O QUE É BASE LEGAL DE EXECUÇÃO DE CONTRATOS?
No caso da base legal de execução de contratos, os dados de uma pessoa podem ser processados em dois casos: o primeiro é para que seja cumprida uma obrigação prevista em contrato, e o segundo quando o tratamento de dados serve para a validação e início de vigência de um acordo.
Para contratar os serviços da um novo colaborador, a Empresa X, você precisa fornecer de uma série de informações pessoais necessárias para formalizar o contrato (dados do contratante, dados para faturamento etc.) que farão parte do futuro contrato de emprego do titular dos dados.
2.5 - QUAIS SÃO AS OUTRAS BASES LEGAIS?
Obrigação Legal ou Regulatória
Nesse caso, o tratamento de dados pessoais é justificado por exigências de outras leis ou normas setoriais. Situações nas quais a empresa precisa utilizar, compartilhar ou armazenar dados pessoais para cumprir obrigações legais ou atos normativos como, por exemplo determinações do Banco Central, Agências reguladoras entre outros.
Execução de Políticas Públicas
Quando o tratamento de dados pessoais é resguardado pelo interesse público ou por necessidade de uma autoridade oficial, exercendo o papel de controlador daquele dado.
Estudos por órgãos de pesquisa
Dados pessoais podem ser tratados para fins de estudos de órgãos oficialmente credenciados como de pesquisa. Nesse caso, sempre que possível o dado deve ser anonimizado garantindo ao máximo a privacidade dos titulares.
Processo Judicial
Dados pessoais ainda podem ser tratados para exercício de direito em processos em geral, podendo ser administrativos, judiciais ou arbitrais.
Proteção da Vida
É possível justificar o tratamento de dados pessoais quando o seu uso é de interesse vital seja do titular do dado ou ainda de outra pessoa.
Tutela da Saúde
Quando profissionais de saúde, serviços de saúde ou autoridade sanitária precisam tratar dados pessoais.
Proteção de Crédito
É possível que dados pessoais sejam consultados avaliando o perfil de pagador do cidadão para a aprovação de crédito e redução dos riscos da transação.
3 - PRINCÍPIOS
3.1 - O QUE SÃO PRINCÍPIOS?
Os princípios são orientações gerais, decorrentes das exigências de equidade, de justiça ou de moralidade. No campo da proteção dos dados pessoais, são padrões de boas práticas que sua empresa deve aplicar em todos os fluxos e práticas envolvendo dados pessoais.
3.2 - O QUE É O PRINCÍPIO DA FINALIDADE?
Contanto com grande relevância prática, o princípio da finalidade busca acabar com a utilização de dados pessoais para fins genéricos ou indeterminados. O tratamento de cada informação pessoal deve ser feito para fins específicos, legítimos, explícitos e previamente informados. Ou seja, as empresas devem explicar ao usuário para que usarão cada um dos dados pessoais coletados.
3.3 - O QUE É O PRINCÍPIO DA ADEQUAÇÃO?
Este princípio está amplamente vinculado ao da finalidade, pois prevê o tratamento dos dados somente pode ocorrer quando houver compatibilidade com as finalidades informadas ao titular, de acordo com o contexto do tratamento, ou seja, dados devem ser tratados apenas para a finalidade que foi informada ao usuário.
3.4 - O QUE É O PRINCÍPIO DA NECESSIDADE?
Este princípio guarda relação direta com a finalidade e a adequação, visto que enfatiza que a delimitação da licitude do tratamento de acordo com a sua finalidade, ou seja, a coleta e utilização de dados pessoais deve se restringir ao mínimo necessário para a realização das finalidades pretendidas pela empresa. O questionamento da empresa sempre deve ser: Este dado é realmente necessário?
3.5 - O QUE É O PRINCÍPIO DA TRANSPARÊNCIA?
Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial. Para fins de redução dos riscos, é importante que os controladores considerem os titulares sempre vulneráveis quanto ao entendimento do tratamento dos dados. Por isso, quanto mais informações, quando mais transparente for todo o processo, mais a empresa estará em conformidade com a legislação.
3.6. O QUE É O PRINCÍPIO DO LIVRE ACESSO?
Para que a lei possa ser efetiva os titulares devem ter a possibilidade de controlar o uso de seus dados pessoais (fundamento da autodeterminação afirmativa), para isso é necessário ser garantido a ele o livre acesso aos seus dados bem como sobre a sua integridade.
3.7. O QUE É O PRINCÍPIO DA QUALIDADE DOS DADOS?
Os dados pessoais coletados, se isoladamente vistos inicialmente dificilmente afetariam o titular, mas quando colocados em conjunto e processados por mecanismos qualificados formam um compilado da personalidade de cada pessoa. Por esta razão os dados devem ser precisos, exatos e relevantes.
3.8. O QUE É O PRINCÍPIO DA SEGURANÇA?
Visando impedir acessos dados e ocorrências acidentais ou propositais de destruição, perda, alteração, comunicação ou difusão dos dados pessoais ALGPD traz como princípio de que as empresas adotem medidas técnicas e administrativas para proteção dos dados pessoais.
3.9 O QUE É O PRINCÍPIO DA PREVENÇÃO?
O princípio da prevenção determina a adoção de posturas preventivas e medidas proativas e não reativas de modo a evitar incidentes de violação à privacidade.
3.10. O QUE É O PRINCÍPIO DA NÃO DISCRIMINAÇÃO?
Por este princípio a proteção dos dados pessoais supera na privacidade, abarcando também os direitos de personalidade diante da possibilidade de estigmatização do ser humano em razão da sua classificação e segmentação baseada no tratamento de seus dados.
3.11. O QUE É O PRINCÍPIO DA RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS?
Prever a responsabilização e a prestação de contas como princípios demonstra a intenção da lei em alertar de que os agentes de proteção de dados são os responsáveis pelo fiel cumprimento de todas as exigências legais. Importante destacar que por este princípio é necessário que os agentes mantenham registro de operações de tratamento de tratamento de dados e cumprimento da legislação.
4 - DIREITOS
4.1 - O QUE SÃO DIREITOS?
Os direitos são espécies de garantias que a lei fornece ao titular. O objetivo é dar às pessoas o controle sobre as suas próprias informações. Por isso, o titular tem direito de, por exemplo, requerer que uma empresa disponibilize acesso/alteração/exclusão dos dados que possui sobre essa pessoa, dentre outros direitos e garantias.
4.2 - O QUE É DIREITO DE ACESSO?
O titular de dados pode solicitar à empresa/organização o acesso a todos os dados pessoais que a empresa possui sobre ele, além de outras informações entre as quais a finalidade, categorias, destinatários, os prazos de conservação, entre outros
4.3 - O QUE É DIREITO DE CORREÇÃO?
O titular de dados tem o direito de solicitar a correção dos dados incompletos, inexatos ou desatualizados armazenados pela empresa.
4.4 - O QUE É DIREITO DE ANONIMIZAÇÃO, BLOQUEIO OU ELIMINAÇÃO?
Neste item a legislação elenca 3 direitos de natureza diversas. Direito de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD.
4.5 O QUE É DIREITO DE REVOGAÇÃO DO CONSENTIMENTO E INFORMAÇÃO SOBRE A POSSIBILIDADE DE NÃO FORNECER CONSENTIMENTO?
Nestes dois direitos vinculados ao consentimento a legislação determina com base no princípio da transparência que o titular tem direito a ser informado sobre as consequências de não fornecer o consentimento para tratamento dos seus dados pessoais. Da mesma forma também possui direito de revogar o consentimento previamente concedido para determinado tratamento.
4.6 O QUE É DIREITO A INFORMAÇÃO SOBRE COMPARTILHAMENTO DE DADOS?
Uma vez que a lei permite o compartilhamento dos dados pessoais ela garante ao titular buscar informação sobre com quais entidades públicas e privadas que estes dados foram compartilhados.
5 - PRODUTO (SZ. CHAT)
5.1 - OS PRODUTOS DA FORTICS SÃO SEGUROS?
Sim. Nosso time de desenvolvimento segue o conceito de privacidade by design, tendo como padrão à privacidade e proteção dos dados. Com atitude proativa, nossos desenvolvedores inserem os elementos de privacidade desde a concepção do produto. Além do conjunto de práticas e políticas de compliance adotadas rigorosamente no desenvolvimento dos produtos da Fortics, em virtude da utilização e integração das tecnologias de alguns de nossos parceiros, herdamos também o conjunto de conformidades preconizados nas políticas de segurança e privacidade deles.
5.2 - ONDE ESTÁ HOSPEDADO?
Nossa plataforma funciona no modelo SaaS (Software as a Service). Tanto em relação a hospedagem quanto os serviços utilizam o Google Cloud Platform e MS Azure. Ambos os clouds estão hospedados nos Estados Unidos.
5.3 - EXISTE POLÍTICA DE SENHAS?
Sim. Nossa política de senhas preconiza a utilização senhas fortes que contenham números e letras, sem possibilidade de repetição, e um caractere especial está disponível no (i) do campo Complexidade de senha.
Por padrão as configurações de Segurança de Senha são:
- Tamanho mínimo de caracteres: 8
- Tempo de expiração: 90 dias
- Complexidade de senha: ativada
- Histórico de senha: 6
5.4 - OS DADOS SÃO CRIPTOGRAFADOS?
Sim. O armazenamento dos dados utiliza o conceito de Data Lake (repositório de armazenamento e engine para processamento de grandes volumes de dados) criptografado onde o cliente tem autonomia sobre a chave sem a necessidade de ser reconhecido pela Fortics.
5.5 - EXISTEM LOGS DA APLICAÇÃO?
Sim. Nossa plataforma permite uma auditoria de acessos e gestão dos log's do sistema e possuem as seguintes informações de registro:
- IP;
- Login;
- Data / Horário;
- Sucesso / Falha;
5.6 - QUAL O PERÍODO DE RETENÇÃO DOS DADOS?
O prazo de retenção de dados utilizado pela Fortics é de 05 Anos.
5.7 - A FORTICS POSSUI ALGUM PROCESSO DE GESTÃO DE INCIDENTES?
Sim. A gestão de incidentes e acompanhamento das não conformidades são realizadas de acordo com as boas práticas e temos com referência as normas ISO/IEC 27001:2013 e ISO/IEC 27.701:2019.
5.8 - EXISTE ALGUM FIREWALL?
Sim, trabalhamos com um firewall de aplicação altamente escalonável (WAF - Web Application Firewall), que minimiza riscos de ataques e protege contra ameaças e vulnerabilidades.
5.9 - A APLICAÇÃO TRABALHA COM ALGUM PROTOCOLO DE AUTENTICAÇÃO REMOTA?
Sim, utilizamos a Integração de Autenticação através do protocolo SAML 2.0. Ela é registrada no Cadastro de Servidores de Autenticação Remota.
5.10 - A FORTICS REALIZA TESTES DE INTRUSÃO E ANÁLISE DE VULNERABILIDADES?
Sim. A Fortics realiza semestralmente a contratação de empresa terceirizada para execução independente de Pentest.
Além disso adotamos um pipeline de desenvolvimento que sempre passa por análise estática de código. Com esta ferramenta são avaliadas categorias de defeitos de software, entre eles: Code Smells, Vulnerabilidades, e Security Hotspots.
São realizados testes de segurança a cada versão, sendo possível avaliar vulnerabilidades em aplicações, redes e serviços frente aos diferentes tipos de ataques de segurança: ataques de negação de serviço (DOS), SQL Injection, ataque man-in-the-middle (MITM) entre outros, e descobrir novas vulnerabilidades antes que sejam exploradas por atacantes.
5.11 - QUAL O EMAIL/CONTATO DO DPO OU RESPONSÁVEL DA FORTICS?
A Encarregada de Proteção de Dados Pessoais da Fortics é Laura Carvalhal, advogada, Mestre em Direito, Especialista em Direito Digital e Compliance, Certificada DPO/EXIN.
A comunicação com o DPO pode ser realizada através do e-mail dpo@fortics.com.br