Uma pessoa usando um computados. Sobre a imagem há vários ícones de segurança sobrepostos.Uma pessoa usando um computados. Sobre a imagem há vários ícones de segurança sobrepostos.
Sobre a PRhosper / Proteção de Dados

Lei Geral de Proteção de Dados Pessoais

O que é?

A LGPD (Lei Geral de Proteção de Dados) é uma lei criada para proteger os direitos fundamentais de liberdade e privacidade dos titulares de dados pessoais ao estabelecer regras para tratamento destes dados (coleta, produção, armazenamento, utilização, acesso etc.), e limitar a ação e impor penalidades às empresas que trabalham com essas informações.

A LGPD tem como finalidade regular o tratamento de dados pessoais, nos meios digitais ou físicos, realizado por pessoas naturais ou pessoas jurídicas, de direito público ou privado. A lei, portanto, é aplicável às Entidades Fechadas de Previdência Complementar (EFPC), que, em razão de suas atividades próprias, efetuam coleta, acesso e tratamentos diversos de dados pessoais de seus participantes, assistidos, beneficiários e dependentes. A lei também se aplica aos colaboradores, dirigentes e fornecedores da Entidade.

A lei refere-se a:

  • Dados coletados no Brasil;
  • Dados relacionados a indivíduos localizados no território brasileiro;
  • Oferta de produtos e/ou serviços ao público brasileiro.

Leia as perguntas frequentes e mitos e saiba mais.

Perguntas Frequentes

Qual é a finalidade dessa lei?

A finalidade da lei é dar mais transparência aos titulares dos dados sobre a utilização destas informações e definir as obrigações das empresas que tratam desses dados. Para tanto, a lei se baseia em dez pontos relacionados ao tratamento de dados pessoais, como finalidade, adequação, necessidade, qualidade dos dados, livre acesso do titular, transparência, responsabilização e prestação de contas, segurança, prevenção e não discriminação.

Qual é o principal conceito da lei?

Os dados pertencem ao titular e não à empresa (definida por lei como o “controlador”) que o coleta, armazena ou trata. A lei também destaca a necessidade de transparência no tratamento destes dados.

O que são dados pessoais?

Toda e qualquer informação que permita identificar ou torne uma pessoa física identificável é considerada um dado pessoal. Como exemplos temos: nome, RG, CPF, hábitos, dados de localização, características físicas, dados profissionais, dados de crédito e financeiros, endereço de IP, perfis e endereços eletrônicos, permissão para cookies, entre outros.

A lei também estabelece maiores restrições ao tratamento de dados pessoais considerados sensíveis e que podem fazer com que o titular se sujeite a práticas discriminatórias. São dados referentes à origem étnica ou racial do titular; suas convicções políticas e religiosas; filiação a sindicatos ou organizações políticas, filosóficas ou religiosas; dados genéticos e dados ligados à saúde e à vida sexual. Os dados biométricos da pessoa também são considerados como sensíveis pela lei.

Quais são os direitos dos titulares dos dados?

  1. Confirmar a existência de tratamento de dados pessoais seus por uma ou mais empresas e ter acesso a estes dados.
  2. Corrigir dados incompletos, inexatos ou desatualizados.
  3. Restringir o tratamento de dados pessoais.
  4. Solicitar a exclusão, anonimato e bloqueio dos dados pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  5. Pedir portabilidade dos dados a outro fornecedor de serviço ou produto, observados os segredos comercial e industrial.
  6. Revogar o consentimento, a qualquer momento, em casos em que o titular tiver autorizado previamente o tratamento dos seus dados pessoais.
  7. Receber explicações claras e adequadas sobre quais os critérios e procedimentos utilizados para a tomada de decisão em tratamentos automatizados.
  8. Receber informações sobre o compartilhamento de dados com entidades públicas e privadas.
  9. Opor-se ao tratamento nos casos em que houver dispensa de consentimento prévio, se houver descumprimento ao disposto na LGPD.
  10. Reclamar contra o controlador de dados perante à autoridade nacional.

Quais são as obrigações das entidades controladoras de dados?

  1. Provar que o consentimento dos dados foi obtido em conformidade com a LGPD.
  2. Orientar os colaboradores e os contratados da organização a respeito das práticas a serem observadas.
  3. Manter o registro das operações de tratamento de dados pessoais que realize elaborar relatórios de impacto à proteção de dados.
  4. Confirmar a existência ou providenciar o acesso a dados pessoais, mediante requisição do titular.
  5. Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.
  6. Descrever os tipos de dados coletados, a metodologia utilizada para a coleta destes dados e a metodologia utilizada para garantir a segurança das informações.
  7. Informar o titular dos dados, caso haja alguma alteração na validade para a coleta de dados.
  8. Responder solidariamente, em conjunto com o operador (pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador), se causar danos a terceiros por violação.
  9. Avaliar de forma permanente as salvaguardas e mecanismos de mitigação de riscos adotados.
  10. Indicar e divulgar as informações de contato do DPO (Data Protection Officer), canal de comunicação entre a empresa, os titulares de dados pessoais (participantes, assistidos, beneficiários, colaboradores, fornecedores, dirigentes e prepostos), partes interessadas e a ANPD (Autoridade Nacional de Proteção de Dados).
  11. Executar as demais atribuições estabelecidas em normas complementares emitidas pela autoridade nacional.

O que é NPD e quais são suas responsabilidades?

NPD (Autoridade Nacional de Proteção de Dados) é o órgão subordinado pela Presidência da República responsável por zelar pela proteção de dados pessoais. Atua na elaboração de regulamentos e procedimentos sobre privacidade e proteção de dados pessoais, fiscaliza a atuação dos agentes de tratamento de dados, além de promover a cultura de proteção de dados no Brasil.

O que é DPO (Data Protection Officer) e qual é a sua atuação?

O Encarregado de dados (DPO) é o canal de comunicação entre nós, os titulares de dados pessoais e a ANPD (Autoridade Nacional de Proteção de Dados). Atua no recebimento das comunicações dos titulares de dados pessoais e da ANPD, na prestação de esclarecimentos, na adoção de providências e na orientação dos nossos colaboradores e fornecedores a respeito das práticas relacionadas à proteção de dados pessoais.

Quando devo acionar o DPO/ Encarregado de dados?

Quando você quiser esclarecer dúvidas e encaminhar sugestões ou solicitações em relação ao tratamento de dados pessoais. Para isso, basta encaminhar sua mensagem para o e-mail dpo.prhosper@solvay.com.

Mitos sobre a LGPD

A LGPD é a “lei do consentimento”.

O consentimento do titular é apenas uma das dez bases legais que as empresas podem usar para realizar o tratamento de dados pessoais.

Se a pessoa consentir, pode-se fazer tudo com seus dados.

Não é bem assim. Qualquer tratamento deve ter uma finalidade adequada ao consentimento dado pelo titular e ao objetivo pretendido pela empresa.

A PRhosper é uma Entidade de Previdência Privada e todo tratamento de dados pessoais deverá ser para a execução do contrato previdenciário.

A LGPD traz dez bases legais para tratamento de dados, sendo todas igualmente relevantes. Os dados também podem ser coletados e tratados para o cumprimento de obrigações legais ou de legítimo interesse.

Documentar que a Entidade está em compliance com a LGPD é suficiente para afastar qualquer penalidade decorrente da sua violação.

Elaborar relatórios e documentos acerca da proteção de dados pessoais é apenas uma das fases a serem adotadas para a Entidade se adequar as normas de proteção de dados.

Os dados serão, obrigatoriamente, excluídos se assim solicitar o titular.

Alguns dados são armazenados e tratados para cumprir demandas legais e regulatórias ou são imprescindíveis para a prestação do serviço ao Participante/Assistido. Desta forma, nem todo dado poderá ser excluído após solicitação do titular. Os pedidos deverão ser analisados e o resultado (a exclusão ou não dos dados) repassado com a maior transparência ao titular.

Não se pode mais enviar dados para fora do Brasil.

A transferência internacional de dados é permitida na LGPD sob condições específicas (terem sido coletados no Brasil ou passado por uma das fases do processo de tratamento de dados em território nacional).

Os dados pessoais armazenados pela Entidade não poderão ser compartilhados de nenhuma forma com parceiros, tampouco se pode ter acesso aos dados armazenados por estes parceiros.

Caso haja transparência em relação à origem dos dados e com quem eles estão sendo compartilhados não há nenhum empecilho para que o compartilhamento de dados continue, mas sempre respeitando as disposições da LGPD.

É permitido usar dados sensíveis a favor de minorias, como em ações afirmativas.

Neste caso, o titular deve dar seu consentimento. O uso de dados sensíveis é extremamente restrito, e só é permitido quando o titular consentir ou quando for indispensável para o cumprimento de obrigação legal, exercício regular de direitos e em determinadas situações para prevenção à fraude, conforme definido pela lei.