PERGUNTAS E RESPOSTAS
Em 2020, a ANCORD desenvolveu um amplo Plano de Ação para apoiar suas Associadas a se adequarem à Lei Geral de Proteção de Dados Além de promover Webinários, Debates e Cursos sobre o assunto, a ANCORD buscou no mercado fornecedores de variados segmentos como Consultorias, Escritórios de Advocacia e Auditoria, Seguros Cibernéticos, Soluções em TI e Governança, e que pudessem, por meio dos seus produtos e serviços ajudá-las nesse processo de adequação. Também foi criado o Grupo de Trabalho GT-LGPD, composto por representantes das Associadas ANCORD que discutiram e alinharam as necessidades e as soluções relacionados à Lei. Entre vários trabalhos gerados, o GT desenvolveu esse FAQ com o intuito de apresentar, de forma simples e didática, as orientações para Instituições e Investidores referentes à Proteção de Dados.
O que são dados pessoais?
Dado pessoal: é a informação relacionada a uma pessoa física identificada ou identificável, ou seja, qualquer informação que identifique ou possa identificar uma pessoa natural, tal como nome números e códigos de identificação, endereços, perfil de consumo, histórico de transação, etc.
O que são dados pessoais sensíveis?
Dado pessoal sensível: é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física. Por serem dados ligados à intimidade da pessoa, com potencial discriminatório, a lei traz um maior grau de proteção e exigências específicas para o tratamento de dados pessoais sensíveis.
Quem é o titular de dados pessoais?
O titular é a pessoa natural a quem os dados pessoais se referem.
O que são dados anonimizados?
São dados relativos ao titular sem que este possa ser identificado. Considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Dados que, por meio de uso meios técnicos, impedem a identificação do titular.
Quem é agente de tratamento de dados?
O agente de tratamento é o controlador e o operador.
Quem é operador de dados?
O operador é pessoa natural ou jurídica que realiza tratamento de dados pessoais em nome do controlador.
Quem é o controlador de dados pessoais?
O controlador é a pessoa natural ou jurídica a quem competem decisões referentes ao tratamento de dados pessoais.
Dados de operações financeiras são dados pessoais? Se sim, são sensíveis?
Sim, dados de operações financeiras são dados pessoais pois permitem identificação do indivíduo, mas não são dados classificados como dados pessoais sensíveis. O fato dos dados de operações financeiras e bancários serem protegidos por sigilo, não os torna sensíveis.
O que é tratamento de dados pessoais?
Tratamento é coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, avaliação, extração, eliminação etc. Ou seja, tratamento pode ser todo e qualquer uso que se faça de um dado pessoal desde sua obtenção, até o seu descarte.
Quem é e qual é a função do encarregado para o tratamento de dados pessoais?
A função do encarregado, também conhecido como Data Protection Officer ou DPO, é atuar como canal de comunicação entre o controlador, titulares e a ANPD.
Quais os direitos dos titulares de dados?
Direitos previstos na LGPD | Explicação |
Confirmação e Acesso | O titular pode solicitar ao agente de tratamento a confirmação sobre a existência de tratamento dos seus dados pessoais para que, em caso positivo, possa acessá-los, inclusive por meio de solicitação de cópias dos registros que exista sobre ele. |
Correção | O titular pode solicitar a correção dos seus dados pessoais caso estes estejam incompletos, inexatos ou desatualizados. |
Anonimização, bloqueio ou eliminação | O titular pode solicitar (a) a anonimização dos seus dados pessoais, de forma que eles não possam mais ser relacionados a ele e, portanto, deixem de ser dados pessoais; (b) o bloqueio dos seus dados pessoais, suspendendo temporariamente a possibilidade de tratamento para certas finalidades; e (c) a eliminação dos seus dados pessoais, caso em que os agentes deverão apagar todos os dados pessoais sem possibilidade de reversão. |
Portabilidade | O titular pode solicitar que o agente de tratamento forneça os seus Dados Pessoais a outro prestador de serviços, nos termos da legislação e regulamentação aplicáveis. |
Informação sobre a possibilidade de não consentir | O titular tem o direito de receber informações claras e completas sobre a possibilidade e as consequências de não fornecer consentimento, quando ele for solicitado pelo agente de tratamento. O seu consentimento, quando necessário, deve ser livre, inequívoco e informado. Portanto, sempre que for pedido consentimento, o titular será livre para negá-lo – nesses casos, é possível que alguns serviços não possam ser prestados. |
Informação sobre compartilhamento | O titular deve ser informado claramente sobre o compartilhamento de seus dados pessoais com terceiros de maneira transparente e tem o direito de saber com quem seus dados estão sendo compartilhados. |
Revogação do consentimento | Caso o titular tenha consentido com alguma finalidade de tratamento dos seus dados pessoais, o titular pode sempre optar por retirar o seu consentimento. No entanto, isso não afetará a legalidade de qualquer Tratamento realizado anteriormente à revogação. Se o titular retirar o seu consentimento, é possível que o agente de tratamento fique impossibilitado de lhe prestar certos serviços. |
Oposição | A lei autoriza o tratamento de Dados Pessoais mesmo sem o consentimento ou um contrato. Nessas situações, somente se tratam Dados Pessoais se houver motivos legítimos para tanto, como, por exemplo, quando for necessário para garantir a segurança, para fins de marketing e divulgação de seus produtos e serviços, etc. Caso o titular não concorde com alguma finalidade de tratamento dos seus dados pessoais, o titular poderá apresentar oposição, solicitando a sua interrupção. |
O que é e qual é a função da Autoridade Nacional de Proteção de Dados (ANPD)?
A função da ANPD é, resumidamente, zelar pela proteção dos dados pessoais e interpreta e fiscalizar a observância da LGPD, disseminar conhecimento em proteção de dados, implementar normas necessárias para efetividade da LGPD e punir sua não observância.
As corretoras e distribuidoras estão sujeitas à LGPD?
Sim, as corretoras e distribuidoras estão sujeitas à LGPD.
O consentimento é sempre necessário para o tratamento de dados pessoais?
Não, o consentimento é uma das dez bases legais previstas na LGPD. Assim, pode haver tratamento lícito de dados pessoais sem consentimento, desde que com fundamento em outra base legal prevista na LGPD.
O que se entende por consentimento na LGPD?
Consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
O uso de dados pessoais de acesso público é livre?
Não, o uso de dados pessoais de acesso público deve considerar a finalidade e interesse público que justificam sua disponibilização e ser de boa-fé.
Clientes estrangeiros (INR) estão sujeitos à proteção da LGPD?
Sim, INR tem todos os direitos previstos na LGPD. A LGPD não discrimina nacionalidade, se houver tratamento de dados no Brasil, os titulares são protegidos independentemente de sua nacionalidade ou localização.
O que é o incidente de segurança envolvendo dados pessoais?
Incidente de segurança com dados pessoais é qualquer evento, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, como: acesso não autorizado acidental ou ilícito, vazamento, tratamento inadequado etc.
É obrigatório que as empresas tenham política de privacidade e proteção de dados?
Não, mas é uma boa prática e um elemento importante de boa governança de dados e privacidade, sendo que a adoção de políticas e boas práticas de governança é um fator atenuante em caso de imposição de penalidade ela ANPD com base na LGPD.
Quais as sanções pelo não cumprimento da LGPD?
As sanções são advertência, multa (2% faturamento no Brasil limitado a 50 milhões de reais), multa diária, publicização da infração, bloqueio de dados e eliminação de dados.
As corretoras e distribuidoras usam qual base legal para o tratamento de dados pessoais na sua relação com os investidores?
As bases legais mais recorrentes são cumprimento de obrigação legal/regulatória e cumprimento de contrato.
As corretoras e distribuidoras compartilham dados pessoais de seus clientes?
Sim, no exercício de suas atividades as corretoras e distribuidoras devem compartilhar dados pessoais dos clientes com a B3, CVM, BACEN e, eventualmente, COAF. Sendo que este compartilhamento não pode ser obstado pelo investidor, já que decorre de obrigação legal/regulatória ou de cumprimento do contrato e, neste, caso sem compartilhar o contrato não pode ser concluído.
Os direitos dos investidores como titulares de dados são absolutos?
Não, o pedido de exercício de direito por titular não é absoluto. O agente de tratamento, no caso a corretora/distribuidora, a ANCORD ou a bolsa, conforme o caso, pode ter motivos legítimos para deixar de atender a uma solicitação de exercício de direitos. Essas situações incluem, por exemplo, casos em que uma revelação de informações específicas poderia violar direitos de terceiros, direitos de propriedade intelectual ou segredos de negócio do agente ou de terceiros, bem como casos em que pedidos de exclusão de dados não possam ser atendidos em razão da existência de obrigação do agente de reter dados, seja para cumprir obrigações legais, regulatórias ou para possibilitar a defesa do agente ou de terceiros em disputas de qualquer natureza.
Os investidores inadimplentes podem, com base na LGPD, solicitar que seus dados não sejam compartilhados com a bolsa ou entidades de proteção ao crédito?
Não, porque a divulgação de comitentes inadimplentes à bolsa e, conforme o caso, a bancos de dados de devedores inadimplentes tem amparo na LGPD na base legal de proteção ao crédito. Neste caso, o interesse coletivo de proteção ao crédito por meio da informação prevalece sobre o interesse individual do investidor.
O investidor pode exercer seus direitos como titular de dados perante a B3 por meio da sua corretora ou distribuidora?
Não, apesar da corretora/distribuidora atuar como intermediário entre o investidor e a B3 para suas operações e acesso a central depositária, no exercício de direitos previstos na LGPD, cabe ao investidor procurar a B3 diretamente.
As corretoras/distribuidoras exigem muitos dados para o cadastro no início do relacionamento com o investidor, há excesso nos dados solicitados pelas instituições?
Não, porque os dados solicitados seguem normas da CVM e Banco Central. Assim, não há excessos, há cumprimento de obrigação por parte das instituições para o adequado cadastro que é pressuposto para as operações.