Você já deve ter reparado como, sempre que acessa um site novo, aparece uma aba informando sobre o uso de cookie, certo? Então, essa é apenas uma das muitas medidas que as empresas precisaram tomar desde 2018 para se adequar a LGPD.
A lei de número 13.709, de 2018, determina como será feito o tratamento de dados pessoais (de pessoas naturais). Ou seja, ela dispõe as diretrizes que informam quando terceiros podem legitimamente utilizar os dados e definindo os mecanismos que devem ser usados para proteger as pessoas contra o uso indevido de seus dados.
Isso significa que não é possível, por exemplo, que um site use cookies para melhorar a experiência do usuário sem informá-lo e ele aceitar. Por isso, a LGPD também se aplica para Sistemas como o Escudo, uma vez que lidamos com dados pessoais para o cadastro nos cursos e a geração de certificados, conforme exigido pela lei.
Sendo assim, preparamos esse artigo para explicar como a LGPD está sendo aplicada no Sistema Escudo. De forma a proteger nossos parceiros e seus clientes. Dá uma olhada:
Sobre os termos de aceite da LGPD
De acordo com a Lei Geral de Proteção de dados, ela é aplicável ao tratamento de dados realizado por pessoas naturais ou por pessoas jurídicas de direito público ou privado.
Além disso, conforme o art 1º, seu objetivo é o de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
O que são dados pessoais e dados pessoais sensíveis?
A LGPD adota, no art. 5º, inciso I, um conceito aberto de dado pessoal, definido como:
informação relacionada a uma pessoa natural identificada ou identificável.
Sendo assim, além de informações básicas de identificação, como nome, RG ou CPF e endereço residencial, são também considerados dados pessoais aqueles que estejam relacionados com uma pessoa natural. Por exemplo:
- Hábitos de consumo,
- Aparência física,
- Aspectos de sua personalidade, entre outros.
Segundo art. 12, § 2º, da LGPD, poderão ser considerados dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
Já os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionamentos aos aspectos mais íntimos da personalidade de um indivíduo. Assim, conforme o art 5º, II, são dados pessoais sensíveis aqueles relativos à:
- Origem racial ou étnica,
- Convicção religiosa,
- Opinião política,
- Filiação a sindicato ou a organização de caráter religioso, filosófico ou político,
- Dados referentes à saúde ou à vida sexual,
- Dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
O que é tratamento de dados pessoais, de acordo com a LGPD?
Segundo a LGPD, no art. 5º, tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Por que a empresa disponibilizou o Termo de uso?
O Sistema Escudo acredita em trabalhar de forma transparente e em completo respeito com nossos parceiros e seus clientes. Por isso, atuamos em concordância com o artigo 8º da LGPD, que diz ser necessário o consentimento do titular dos dados pessoais, seja por escrito ou por outro meio, que demonstre a manifestação de vontade do titular sobre o tratamento dos seus dados.
Desta forma, a empresa assegura que o consentimento foi obtido em conformidade com a lei, garantindo a segurança de todos.
Qual a importância do Termo de aceite?
Como o Sistema de Gestão da Aprendizagem é uma plataforma que armazena dados (sejam eles pessoais ou pessoais sensíveis), precisa garantir a seus parceiros um meio legal para realizar a operação de tratamento de dados dos titulares durante as interações/atendimento.
Portanto, todo titular de dados deve manifestar o seu consentimento, por escrito ou outro meio, quanto ao tratamento de seus dados, principalmente aqueles considerados pessoais sensíveis.
Assim, vale lembrar, que o art. 3º veda o tratamento de dados pessoais mediante vício de consentimento. Ou seja, toda vez que for alterado ou coletado um novo dado, é necessário solicitar consentimento.
Por que o Termo de uso está no nome da minha empresa?
Porque a sua empresa é a principal responsável pelo tratamento de dados presentes na base de atendimento. Assim, pelas determinações da LGPD, ela é considerada um Controlador, aquele que determina quais tipos de dados serão necessários, coleta e usa-os em finalidades determinadas.
Logo, é sua empresa quem precisa do consentimento de todos os usuários cadastrados e com livre acesso à base de atendimento. Desta forma, conseguirá controlar e operar os dados em conformidade com a LGPD.
Já o Sistema de Gestão de Aprendizagem, por ser uma base de atendimento, pelas determinações da LGPD, é considerado um Operador de dados. Isso porque não interfere nas diretrizes estabelecidas pela sua empresa (Controlador) no processo de tratamento de dados e apenas armazena os dados na sua infraestrutura.
Para quem vai aparecer o Termo de uso?
Para todo e qualquer usuário cadastrado na Plataforma de ensino com acesso direto a ela. Seja com perfil de aluno ou gestor/administrador. Isso porque são eles que tem dados tratados na base de atendimento, mesmo que sejam apenas dados cadastrais, como Nome (considerados pela LGPD como dados pessoais).
Disponibilizaremos o termo durante o primeiro acesso do usuário à plataforma de ensino. E também quando o seu Nome ou seu Código de referência do cadastro é atualizado.
E mais, conforme art. 3º a LGPD aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
- I – a operação de tratamento seja realizada no território nacional;
- II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
- III – os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional.
Dessa forma, pessoas que estão fora do Brasil, mas possuem dados com a sua empresa (que está em território nacional), também devem registrar consentimento aceitando o termo.
O usuário precisa preencher todas as informações/dados que constam no Termo de uso?
Não. O termo de uso apenas informa quais dados podem ser solicitados pelo Controlador, neste caso sua empresa. No entanto, ele se refere apenas a uma possibilidade e não a obrigatoriedade.
Isso é feito porque, conforme art. 8º, o consentimento deverá referir-se a finalidades determinadas. Sendo assim, as autorizações genéricas para o tratamento de dados pessoais serão nulas. Portanto, é importante detalhar os dados padrões da plataforma para evitar problemas no futuro.
O que acontece se o usuário não aceitar os Termos de uso?
O usuário que não aceitar os Termos de Uso não poderá acessar a base de atendimento, pois não concorda com que seus dados sejam tratados pelo sistema. Assim, caso o usuário, titular dos dados, realizar um novo login, será solicitada novamente a concordância com os Termos de Uso.
Quem terá acesso às informações relacionadas ao aceite do Termo de uso?
O usuário definido pela sua empresa que tenha permissão à LGPD em perfil de acesso. Por exemplo, você define que apenas o perfil Gesto XY terá acesso as informações. Sendo assim, só ele poderá tratá-las.
Sendo assim, ele terá a sua disposição uma lista com os usuários, a data e a hora em que o termo foi aceito. Além de todo o histórico de aceite que os usuários já deram em caso de atualizações de dados (que, como já explicamos, requer um novo consentimento), bem como a permissão sobre as demais atualizações relacionadas à temática.
Quais são os direitos e deveres da minha empresa em relação ao tratamento de dados na minha base de atendimento de acordo com a LGPD?
Conforme cap. VII sobre Segurança e boas práticas, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
De acordo com a LGPD, é obrigação dos agentes de tratamento (e qualquer outra pessoa que intervenha em uma das fases de tratamento) garantir a segurança da informação. Além disso, em caso de incidentes que possam trazer risco ou dano relevante aos titulares, é obrigação do Controlador informar ele e as autoridades nacionais.
Outro ponto em relação ao tratamento de dados é que os controladores e operadores, de forma individual ou em conjunto, podem formular regras de boas práticas e governança que estabeleçam condições de:
- Organização,
- Regime de funcionamento,
- Procedimentos (incluindo reclamações e petições de titulares)
- Normas de segurança,
- Padrões técnicos,
- Obrigações específicas para os diversos envolvidos no tratamento,
- Ações educativas,
- Mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Como o Sistema Escudo está em compliance com a LGPD?
O Sistema Escudo está trabalhando cada vez mais para garantir a segurança de uso da base de atendimento, bem como o tratamento de dados da sua empresa nos processos internos. Por isso, além das novas funcionalidades já entregues como Termo de Uso, teremos mais novidades em breve!
A fim de estabelecer de forma comprobatória as melhores práticas acerca do tema Segurança da Informação, o Sistema Escudo está reestruturando seus negócios. Além disso, investimos na contratação de assessorias especializadas e soluções, e revimos nossos procedimentos e sistemas, com especificidade e transparência, visando assegurar o cumprimento da lei.
A Lei Geral de Proteção de Dados marca uma nova fase na relação entre pessoas e organizações. Portanto, seguimos reafirmando o nosso compromisso com o respeito a privacidade e a proteção de dados pessoais.
Como faço solicitações ou peço mais informações sobre LGPD?
A transparência em nossas operações é um dos pilares do Sistema Escudo. Sendo assim, você pode solicitar informações sobre o tratamento de dados da sua base diretamente no nosso sistema de atendimento. Basta abrir um ticket junto ao nosso suporte técnico.
Por lá, você consegue solicitar a correção de qualquer dado, a revogação de consentimento, portabilidade e exclusão, por exemplo. Assim, você garante que seus dados estão atualizado e protegidos.
No entanto, para agir em conformidade com a LGPD, é importante que a solicitação tenha sido feita pelo titular do dado. Além disso, fique atento ao nosso SLA para respostas:
- Aditivos: 3 dias úteis.
- Diligência: 10 dias úteis – geração de evidências para auditoria.
- Questionários: prazo estipulado pela LGPD.
- Solicitação de Direito do Titular: prazo estipulado pela LGPD.