LEI GERAL DE PROTEÇÃO DE DADOS

O que é a LGPD?

A LGPD é a sigla para Lei Geral de Proteção de Dados, uma lei que trouxe para as empresas algumas responsabilidades sobre a forma como coletam e usam dados pessoais. 

A LGPD busca estabelecer princípios, diretrizes e normas quanto ao tratamento de dados no Brasil. A lei determina, por exemplo, princípios que norteiam a realização desse tratamento, a responsabilidade dos que coletam e/ou operam dados pessoais e os direitos garantidos aos titulares de dados.

O que são dados pessoais ?

São aquelas informações que identificam ou podem vir a identificar uma pessoa. Isso quer dizer que informações que prontamente identificam alguém, como nome completo, CPF, RG são dados pessoais, assim como informações que, isoladas ou em conjunto, permitem identificar uma pessoa.

Mas o que, afinal, configura tratamento de dados?

Basicamente qualquer ato que se realiza com o dado pessoal é tratamento. O tratamento de dados compreende as operações realizadas por empresas que envolvem o manuseio de dados pessoais. 

Para ficar mais claro, dentre as ações que caracterizam o tratamento de dados estão: 

Coleta – virtual ou física – de dados, Utilização dos dados, Classificação dos dados, Armazenamento dos dados, Processamento dos dados, Correção dos dados, Compartilhamento dos dados, Transferência – nacional ou internacional – dos dados, Eliminação dos dados

E isso significa dizer que toda empresa que realiza qualquer tratamento de dados pessoais – ou seja, que realize alguma das ações listadas acima -, é afetada e abrangida pela LGPD.

O que são bases legais?

A LGPD autoriza o tratamento de dados pessoais em algumas hipóteses previstas em lei, essas hipóteses são as chamadas bases legais. Isso quer dizer que todo tratamento de dados pessoais deve ter como fundamento alguma hipótese ou base legal prevista na LGPD.

São 10 bases legais previstas, e entre essas bases legais não existe hierarquia ou predominância. 

Para determinar qual base legal é a mais indicada para cada tratamento realizado é preciso uma análise mais aprofundada que pode ser feita por uma consultoria ou profissional especializado.

O que são os princípios previstos na LGPD?

Os princípios previstos na LGPD servem para nortear toda a adequação de empresas e agentes de tratamento, servindo como orientação de boas práticas quanto à proteção de dados.

Destacamos, de maneira geral, cada um deles, pois permitem entender com maior clareza o que, afinal de contas, se altera com a legislação. 

  • Finalidade específica do tratamento de dados, que deve ser informada ao titular;
  • Adequação entre o propósito informado ao titular e o tratamento de dados na prática;
  • Necessidade da coleta e tratamento de dados, utilizando e coletando apenas aqueles que são essenciais para alcançar o objetivo previamente traçado;
  • Livre acesso do titular, por meio de consulta facilitada e gratuita, sobre a forma que seus dados são tratados;
  • Qualidade dos dados, mantendo-os atualizados e corretos, considerando a real necessidade do tratamento;
  • Transparência, em relação ao titular, informando de maneira clara e acessível sobre o tratamento e seus responsáveis;
  • Segurança para impedir vazamentos ou situações ilícitas como invasão, destruição, perda, alteração;
  • Prevenção para evitar danos, por meio de medidas prévias adotadas pela empresa
  • Não discriminação dos dados, garantindo que não hajam abusos contra seus titulares
  • Responsabilização do agente, que deve provar as medidas adotadas, para demonstrar sua boa-fé e diligência

LGPD E A LOGINFO

A Loginfo está adequada?

A Loginfo preocupa-se com a proteção dos dados pessoais com os quais tem contato e por isso passou por um projeto de implementação de um programa de adequação à LGPD, já implementou e continua implementando diversas medidas para promover maior proteção e segurança aos dados pessoais que trata.

Durante o projeto, foi formado o Comitê de Privacidade, indicado o encarregado de dados e instituídos demais papéis e responsabilidades para um cuidado apropriado com a proteção de dados e a segurança da informação, incluindo também colaboradores e lideranças. Além disso, foi construído o Registro das Atividades de Tratamento, foram realizadas análises de risco em relação às atividades de tratamento e elaboradas diversas políticas. Já possui, dentre outras: 

  • Política de Privacidade;
  • Plano de Gestão de Incidentes;
  • Política de Segurança da Informação;
  • Política de Privacidade Interna
  • Política de Retenção e Exclusão de Dados.

A partir disso, foram estabelecidas diversas determinações em relação a procedimentos, boas práticas e etc, a fim de que os processos da empresa sejam realizados de acordo com as legislações e boas práticas de mercado. 

Dentre as medidas estabelecidas pode-se citar, por exemplo:

  • Rotinas de exclusão de dados;
  • Procedimentos para o atendimento de demandas de titulares;
  • Procedimentos para a atualização das documentações;
  • Normas para a utilização dos equipamentos de informática disponibilizados pela empresa, como computadores, notebooks e celulares;
  • Normas para a utilização de e-mail, tanto corporativo quanto pessoal;
  • Normas para o acesso e utilização de sistemas, como:
  • Cuidados na extração e importação de informações;
    • Procedimentos para a gestão de acesso;
    • Criação de senhas fortes, com procedimentos para a sua atualização;
    • Utilização de acessos individuais;
    • Utilização do duplo fator de autenticação, quando disponível;
  • Normas para o cuidado com o ambiente de trabalho, como mesa e tela limpa.

Além das documentações citadas, são firmados compromissos de confidencialidade com os colaboradores, os quais tiveram acesso a diversos materiais, treinamentos e capacitações para o conhecimento das políticas e procedimentos. Com isso, objetivou-se a consolidação de uma cultura de proteção de dados e segurança da informação. 

Deve-se citar ainda que a Loginfo utiliza ativos de tecnologia que possuem funcionalidades voltadas à proteção e segurança dos dados, demonstrando sua preocupação com os mais diversos pontos de tratamento. 

Ademais, reitera-se que seguimos implementando políticas e mudanças organizacionais para que a proteção dos dados pessoais seja cada vez mais priorizada.

A Loginfo é Controladora ou Operadora dos dados pessoais?

Bom, depende da situação. Se estamos falando sobre as ações de marketing e vendas que a Loginfo realiza para divulgar seus serviços, ela atua como controladora dos dados pessoais.

Já no que se refere aos dados cadastrados em sua plataforma e os demais tratamentos de dados decorrentes da prestação de serviços contratada, a Loginfo enquadra-se como operadora, sendo o seu cliente o Controlador, pois é ele quem determina como serão utilizados os dados pessoais citados. A Loginfo trata os dados para cumprir o contrato estabelecido com o seu cliente e de acordo com as suas orientações. 

Qual é a base legal adotada pela Loginfo para o tratamento dos dados dos seus leads ou possíveis clientes?

A Loginfo tem como fundamento para o tratamento dos dados dos seus leads ou possíveis clientes o seu legítimo interesse em promover as suas atividades (Art. 7º, IX e Art. 10, I da LGPD). 

Você pode encontrar mais informações sobre esse tratamento de dados na nossa Política de Privacidade, na qual explicamos, por exemplo, quais dados estão sendo tratados. A Política está sempre disponível para fácil acesso no nosso site.

Quais são as responsabilidades do cliente Loginfo pensando em LGPD?

Determinação da Base LegalTendo em vista que o cliente Loginfo é Controlador em relação ao tratamento dos dados cadastrados na Plataforma Loginfo, é necessário observar as obrigações estabelecidas pela LGPD. Alguns exemplos importantes disso são:

É responsabilidade do Cliente Loginfo indicar qual a base legal que fundamenta o tratamento de dados pessoais.

  • Determinação do tempo de retenção dos dados dos Usuários

O Cliente Loginfo deve determinar por quanto tempo os dados cadastrados serão armazenados. Para isso, deve analisar o tempo necessário para o cumprimento da finalidade do tratamento de dados em questão.

Apesar disso, em determinados casos, a Loginfo pode reter alguns dados pessoais mesmo após o pedido de exclusão por parte do Cliente Loginfo. Isso acontece em função de obrigação legal ou regulatória, sendo o dado armazenado pelo tempo necessário para o cumprimento da mesma.

  • Atendimento de solicitações relativas ao exercício dos direitos dos titulares de dados 

A LGPD estabelece que o titular de dados tem o direito de obter do Controlador, mediante solicitação, questões como: 

  • confirmação da existência de tratamento;
  • acesso aos dados;
  • correção de dados incompletos, inexatos ou desatualizados;
  • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei;
  • portabilidade dos dados a outro fornecedor de serviço ou produto;
  • eliminação dos dados pessoais tratados com o consentimento do titular;
  • revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

Diante disso, o Cliente Loginfo é o responsável por atender demandas como essas advindas dos titulares de dados, no caso, os titulares dos dados cadastrados na Plataforma. A Loginfo, enquanto Operadora, deve auxiliar o Controlador a responder as solicitações dos titulares, no entanto, não é responsável por fazer a tratativa diretamente com os titulares.

Onde ficam armazenados os dados pessoais inseridos nas plataformas Loginfo?

De modo geral, as bases de dados das plataformas da Loginfo estão hospedadas nos servidores da Amazon Web Services, os quais se localizam na zona de disponibilidade de São Paulo. Por outro lado, em alguns casos, a solução fica instalada on-premise, localizando-se os dados, portanto, in loco.

Existe um Encarregado de Dados dentro da Loginfo?

Sim! As solicitações ao nosso Encarregado de Dados podem ser feitas por meio do e-mail lgpd@loginfo.com.br

Estaremos sempre à sua disposição para esclarecer quaisquer dúvidas e ajudar no que for necessário!

MEDIDAS TÉCNICAS DA PLATAFORMA LOGINFO

Ainda, no que se refere ao desenvolvimento do nosso produto, o qual ocorre no ambiente interno da Loginfo, buscamos constantemente e em todo o processo a atualização e a adoção das melhores práticas de mercado e especificamente de programação. Nesse sentido, pensamos nas mais diversas etapas, como teste de vulnerabilidades, controles de acesso e permissionamento, visando possuir um ambiente seguro para desenvolvimento e um sistema seguro. Nesse sentido, adotamos diversas medidas técnicas, como:

  • Acesso restrito aos servidores, principalmente no que se refere aos servidores de dados, havendo usuários e senhas individuais, com login protegido por autenticação de multifatores;
  • Controle de acesso ao código-fonte de programas, possuindo acesso aos códigos da empresa apenas pessoas autorizadas;  
  • Gestão contínua do controle de acesso;
  • Utilização de tecnologias que oferecem diversas ferramentas e mecanismos de segurança próprios;
  • Implementação de controles de segurança da informação para proteção dos dados, como firewall de bancos de dados, controle de acesso, gerenciamento e correlação de logs;
  • Aplicações e dados armazenados na nuvem em serviços específicos de acordo com a tecnologia;
  • Implementação de controles de segurança da Informação para proteção de perímetro, evitando acessos indevidos à rede de comunicação da organização, tais como Firewall de perímetro e WA;
  • Gerenciamento de cópias de segurança da informação, com uma rotina de backups automáticos;
  • Separação dos ambientes de desenvolvimento, teste e de produção;
  • Implementação de procedimentos para controle de mudanças de sistemas;
  • Segregação de dados por controles lógicos, de forma a separar os dados ou informações de diferentes clientes;
  • Controle de sessão, não permitindo sessões simultâneas.
  • Acesso à base de dados apenas por meio de IPs específicos autorizados ou ainda a partir da Virtual Private Cloud (VPC), o que permite a proteção dos dados utilizados para teste e inclusive o isolamento de eventuais ataques e a restrição de danos potenciais;
  • Implementação de processo de restrição de acesso a dados pessoais e sensíveis nos Sistemas Gerenciadores de Banco de Dados (SGBDs);
  • Adoção de controles criptográficos, sendo os dados encriptados por padrão. 
  • Adoção de ferramentas de monitoramento que informam ativamente sobre alterações de fluxo repentino, permitindo, por exemplo, a identificação da ocorrência de instabilidades com antecedência;