LGPD - 13.709/2018

Começar. É Gratuito
ou inscrever-se com seu endereço de e-mail
LGPD - 13.709/2018 por Mind Map: LGPD - 13.709/2018

1. LGPD, acesso a informação e registros públicos;

1.1. Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:

1.1.1. I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;

1.1.2. III - seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei; e (Redação dada pela Lei nº 13.853, de 2019)

1.1.3. § 4º Os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas referidas no caput deste artigo, nos termos desta Lei.

1.1.4. § 5º Os órgãos notariais e de registro devem fornecer acesso aos dados por meio eletrônico para a administração pública, tendo em vista as finalidades de que trata o caput deste artigo.

1.2. Publicidade registral e a LGPD

1.2.1. Publicidade Registral

1.2.1.1. O princípio da publicidade é um dos norteadores do Direito Registral e Notarial, ele é um dos responsáveis por gerar a segurança jurídica e eficácia erga omnes que aqueles que buscam a salva guarda do registral buscam;

1.2.1.2. Lei 8.935/94, Art. 1º Serviços notariais e de registro são os de organização técnica e administrativa destinados a garantir a publicidade, autenticidade, segurança e eficácia dos atos jurídicos.

1.2.1.3. Lei 6.015/73, Art. 16. Os oficiais e os encarregados das repartições em que se façam os registros são obrigados:

1.2.1.3.1. 1º a lavrar certidão do que lhes for requerido;

1.2.1.3.2. 2º a fornecer às partes as informações solicitadas;

1.2.1.4. Lei 6015/73, Art. 194. O título de natureza particular apresentado em uma só via será arquivado em cartório, fornecendo o oficial, a pedido, certidão do mesmo.

1.2.2. Acesso a dados e informações de registro/certidões;

1.2.2.1. As informações prestadas enquanto direito de acesso aos dados alvo de tratamento não se confundem com informações de registro/certidões.

1.2.2.1.1. Certidões devem ser remuneradas enquanto as informações alvo de tratamento da LGPD são gratuitas.

1.2.2.1.2. A informação do dado pessoal tratada é restrita ao titular do dado, enquanto a certidão é pública.

2. Relatório de Impacto

2.1. Art. 5º, XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

2.2. Art. 38 da LGPD - A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

2.3. A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.

2.4. Identificar partes interessadas consultadas Partes interessadas relevantes, internas e externas, consultadas a fim de obter opiniões legais, técnicas ou administrativas sobre os dados pessoais que são objeto do tratamento. Nessa etapa, é importante identificar:

2.4.1. Quais partes foram consultadas, como, por exemplo: operador (LGPD, art. 5º, VII), encarregado (LGPD, art. 5º, VIII), gestores, especialistas em segurança da informação, consultores jurídicos, etc.

2.4.2. O que cada parte consultada indicou como importante de ser observado para o tratamento dos dados pessoais em relação aos possíveis riscos referentes às atividades de tratamento em análise. Também deve-se observar os riscos de não-conformidade ante a LGPD e os instrumentos internos de controle (políticas, processos e procedimentos voltados à proteção de dados e privacidade).

3. Partes interessadas

3.1. Titular de Dados

3.1.1. Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

3.1.1.1. Usuários externos;

3.1.1.2. Usuários internos;

3.1.1.3. Prestadores de serviço (se pessoa física)

3.1.2. A LGPD e os Direitos Fundamentais do Titular de Dados

3.1.2.1. Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:

3.1.2.1.1. I - finalidade específica do tratamento;

3.1.2.1.2. II - forma e duração do tratamento, observados os segredos comercial e industrial;

3.1.2.1.3. III - identificação do controlador;

3.1.2.1.4. IV - informações de contato do controlador;

3.1.2.1.5. V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;

3.1.2.1.6. VI - responsabilidades dos agentes que realizarão o tratamento; e

3.1.2.1.7. VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.

3.1.2.1.8. § 1º Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.

3.1.2.1.9. § 2º Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.

3.1.2.1.10. § 3º Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 18 desta Lei.

3.2. Controlador

3.2.1. Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

3.2.1.1. Naurican Ludovico Lacerda, delegatário do 1º PRTD de Goiânia.

3.2.1.1.1. Os colaboradores atuam com subordinação (em representação do agente)

3.2.1.2. Responsabilidades

3.2.1.2.1. Decisões gerais quanto ao tratamento de dados;

3.2.1.2.2. Relatório de Impacto;

3.3. Operador

3.3.1. Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; Atua de acordo com os interesses e finalidades definidos pelo controlador; - Obs da ANPD: O operador deve ser uma entidade distinta do controlador, isto é, que não atua como profissional subordinado a este ou como membro de seus órgãos.

3.3.1.1. Prestadores de Serviços (agente de tratamento autônomo), em regra os vinculados a Tecnologia da Informação e Recursos Humanos;

3.3.1.1.1. Manifestar a sua ciência, por escrito, mediante cláusula contratual ou termo autônomo de que receberam orientações acerca das informações e suas obrigações;

3.3.1.1.2. Engegraph Sistemas

3.3.1.1.3. 3DB

3.3.1.1.4. Contabilidade: PETRACON

3.3.1.1.5. Segurança do trabalho/laudos médicos: PROTEÇÃO, SEGURANÇA DO TRABALHO;

3.3.1.1.6. SULAMÉRICA

3.3.1.1.7. TXAI

3.3.1.1.8. CIEE

3.3.1.1.9. CORREIOS

3.3.1.1.10. MEGATELCOM

3.3.1.1.11. TECNOSEG

3.4. Encarregado

3.4.1. Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

3.4.1.1. Adriano Robson Vilela Leite

3.4.1.1.1. [email protected]

3.4.1.2. Responsabilidades:

3.4.1.2.1. Orientação e conscientização sobre o tratamento e as responsabilidades envolvidas;

3.4.1.2.2. Monitoramento a conformidade do tratamento;

3.4.1.2.3. Registro da orientação e do monitoramento;

4. Tratamento dos Dados

4.1. Definições de tratamento, coleta, anonimização e pseudonimização)

4.1.1. O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

4.1.1.1. I - mediante o fornecimento de consentimento pelo titular;

4.1.1.2. II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

4.1.1.3. III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

4.1.1.4. IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

4.1.1.5. V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

4.1.1.6. VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

4.1.1.7. VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

4.1.1.8. VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

4.1.1.9. IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

4.1.1.10. X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

4.1.2. Art. 5º, X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

4.1.3. Art. 5º, XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

4.1.4. Art. 13, § 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

4.2. Princípios das atividades de Tratamento de Dados (Art. 6º)

4.2.1. I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

4.2.2. II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

4.2.3. III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

4.2.4. IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

4.2.5. V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

4.2.6. VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

4.2.7. VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

4.2.8. VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

4.2.9. IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

4.2.10. X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

4.3. Dados tratados

4.3.1. Dados pessoais (Administrativos - Gerenciamento da Serventia)

4.3.1.1. Coletados durante a admissão do colaborador e atualizados conforme necessidade / modificações.

4.3.1.1.1. Uso de imagens dos colaboradores (consentimento do titular);

4.3.1.1.2. Dados vinculados ao Setor de Recursos Humanos: E-social, Trabalhista, Saúde ocupacional (cumprimento do dever legal);

4.3.2. Sites (consentimento):

4.3.2.1. Política de privacidade;

4.3.2.2. Consentimento para utilização de cookies e coleta de dados;

4.3.3. Dados vinculados a registros, averbações e certidões;

4.3.3.1. Coletados no próprio documento alvo do registro/averbação ou requerimento apresentado pelo requerente. (Regra: Cumprimento de obrigação legal e no caso do Protesto aplica-se a proteção de crédito);

4.3.3.1.1. Registros;

4.3.3.1.2. Averbações;

4.3.3.1.3. Certidões;

4.3.3.1.4. Provimento 88 CNJ - Prevenção a lavagem de Dinheiro e combate ao financiamento do terrorismo (COAF);

4.3.3.1.5. DOI - Declaração de Operações Imobiliárias (Receita Federal) - IN, RFB Nº 1112

4.3.3.1.6. Dados de registro para Receita Federal - SINTER.

4.4. Cuidados com os Dados tratados:

4.4.1. Procedimento para descarte/destruição de registros conforme Prov. 50/2015 do CNJ.

4.4.2. Políticas de Segurança da Informação conforme Prov. 74/2018 do CNJ.

4.4.3. Códigos de conduta, código de ética, manual de cumprimento da LGPD e outros.

4.4.3.1. M-ADM002-MANUAL DE CUMPRIMENTO LGPD;

4.4.3.2. Política de Privacidade;

4.4.3.3. RQ003-NI-NORMATIVA INTERNA

4.4.3.4. CAS 002 - CÓDIGO DE ÉTICA

5. Implementações/Necessidades

5.1. Para todos os procedimentos de cadastro e análise de documentos que contenham dados pessoais, fazer remissão ao DE106-Lei 13709 LGPD, uma vez que o responsável se coloca como preposto do delegatário, tratando os dados pessoais conforme as orientações deste.

5.1.1. Reforçar junto a coordenadores e analistas os cuidados com exigências para registro. Atentar-se aos princípios da legalidade do Direito Registral e Notarial e a necessidade e finalidade da LGPD.

5.2. Acrescentar o DE106-Lei 13709 LGPD ao item 7 do POP-TI012 e POP-TI006 uma vez que: a definição de níveis de permissão e acessos são fundamentais ao cumprimento da LGPD e que a manutenção de padrões mínimos de segurança da informação também são parte integrante do fiel cumprimento da legislação.

5.3. Para alguns doutrinadores e especialistas, imagens de vídeo e áudios, podem ser considerados dados pessoais, em razão disso, seu armazenamento é considerado como tratamento, logo deve ser observado a luz da LGPD.

5.3.1. Sugestões:

5.3.1.1. Colher consentimento de colaboradores;

5.3.1.2. Remissão ao Procedimento de monitoramento a LGPD reforçando que seu uso é exclusivo para fins de garantia de segurança dos usuários internos e externos e também dos dados tratados internamente.

5.4. Acrescentar ao POP-ADM011 informações sobre a necessidade de repassar e registrar as informações da LGPD ao novo colaborador.

5.5. Acrescentar ao Processo de Recrutamento e seleção - POP-ADM007, a necessidade de se colher autorização do candidato (formulário/autorização) para armazenar e tratar seus dados com o único e exclusivo fim de seleção.

5.6. Adequar as Políticas do TI (Drive_L\REVISÕES SGQ\TI\POLITICAS TI) aos padrões documentais do Cartório e transforma-lo em documento controlado de acesso a todos os colaboradores. Neles contém informações importantes a segurança da informação com impactos diretos ao cumpriemento da LGPD.

5.7. Criar mapa de permissões de acesso a drives e sistema. Melhorar políticas de restrição aos drives, limitando o acesso apenas ao necessário para cada usuário/colaborador.

5.7.1. Para acesso aos dados definir com controlador se tudo é liberado para todos e se não escalonamento de restrições.

5.7.1.1. Recomendação do Prov. 23 de SP.: Sistema escalas de permissões seccionados por função, associados a perfis individuais, cujo acesso deve ocorrer dupla autenticação: por usuário e senha e por certificação digital ou biometria (art. 4º)

5.8. Sistema de controle do fluxo abrangendo a coleta, tratamento, armazenamento e compartilhamento de dados pessoais, até a restrição de acesso futuro (Inventário de Dados Pessoais (IDP) ou inventário de dados;

5.8.1. Mapa de dados deve conter

5.8.1.1. – Setor/função responsável pelo tratamento.

5.8.1.2. – Categoria dos dados pessoais: quem é o titular da informação? – Colaborador, Cliente, Parceiro, Fornecedor ou Terceiro?

5.8.1.3. – Quais são os dados coletados?

5.8.1.4. – Onde os dados estão armazenados?

5.8.1.5. – Como os dados foram coletados?

5.8.1.6. – Quais as finalidades dessa informação para a Serventia?

5.8.1.7. – Quem tem acesso aos dados?

5.8.1.8. – Qual a base legal para cada finalidade de tratamento?

5.8.1.9. – São dados considerados sensíveis pela LGPD?

5.8.1.10. – Qual a base legal para o tratamento dos dados sensíveis?

5.8.1.11. – Há compartilhamento dessas informações? Com quem e porque?

5.8.1.12. – Qual o período de retenção desses dados?

5.8.1.13. – Qual o método de descarte do dado?

5.8.1.14. - Qual mecanismo de proteção deste dado?

5.9. Revisar M-ADM002 - definição de operador sofreu alterações em sua interpretação.

5.9.1. Definir política de descartes, se o documento se tratar de registro ou certidão, este deverá ser feito de maneira a impedir que a identificação de dados pessoais seja realizada.

5.10. Revisar senhas de acesso dos colaboradores. Criar padrão mínimo de segurança, evitando senhas simples.

6. Definições Importantes

6.1. Dados pessoais:

6.1.1. O que são dados pessoais? A LGPD adota um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável. Assim, além das informações básicas relativas ao nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros dados que estejam relacionados com uma pessoa natural, tais como seus hábitos de consumo, sua aparência e aspectos de sua personalidade. Segundo a LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

6.2. Dados sensíveis:

6.2.1. O que são dados pessoais sensíveis? Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionamentos aos aspectos mais íntimos da personalidade de um indivíduo. Assim, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.

6.3. Dados protegidos:

6.3.1. Quais dados são protegidos pela LGPD? A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da Lei.

6.4. Tratamento de dados:

6.4.1. O que é tratamento de dados pessoais, de acordo com a LGPD? Segundo a LGPD, tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

6.5. ANPD:

6.5.1. O que é a Autoridade Nacional de Proteção de Dados Pessoais - ANPD? A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.