Published using Google Docs
Membran-i_LGPD_Perguntas e Respostas
Updated automatically every 5 minutes

LGPD - Perguntas e Respostas


Perguntas e Respostas sobre o

Tratamento de Dados Pessoais pela Membran-i

        

        

  1. O que são dados pessoais?

O conceito de “dado pessoal” encontra-se no artigo 5º, inciso I, da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), também chamada de “LGPD”. Trata-se de “informação relacionada a pessoa natural identificada ou identificável”

Ou seja, os dados referentes a pessoas jurídicas coletados pela Membran-i não se enquadram nessa definição prevista na lei. Cabe destacar que a LGPD considera dado pessoal não apenas a informação relacionada a uma pessoa natural identificada, mas também identificável. Isto é, nome, CPF e RG não são as únicas informações consideradas dados pessoais. E-mails, dados de geolocalização e dados de navegação na web, por exemplo, também podem ser dados pessoais, caso seus titulares sejam identificáveis.

Em contrapartida, os dados anonimizados não são considerados dados pessoais, por ser

muito difícil ou praticamente impossível a associação, direta ou indireta, a indivíduos, levando-se em consideração os meios técnicos disponíveis na época do tratamento.

        

        

  1. O que é tratamento de dados pessoais?

        

        O conceito de “tratamento de dados pessoais” é bastante amplo. De acordo com o artigo

5º, inciso X, da LGPD, trata-se de “toda operação realizada com dados pessoais, como as

que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Esse conceito é fundamental, visto que, sempre que houver uma operação de tratamento de dados pessoais, aplicam-se as regras da LGPD.

        

        

  1. Quais princípios devem ser respeitados no tratamento de dados pessoais?

        

        O artigo 6º da LGPD estabelece que as atividades de tratamento de dados pessoais

devem observar a boa-fé, além de dez princípios.

        

O primeiro dos princípios é a finalidade. Qualquer atividade de tratamento de dados pessoais deve ter propósitos legítimos, específicos, explícitos e informados ao titular. Em seguida, a lei estabelece o princípio da adequação, segundo o qual o tratamento deve ser

compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento. Complementando os dois primeiros princípios, o terceiro é o da necessidade, ou seja, o tratamento deve se limitar ao mínimo necessário para a realização das finalidades previstas.

        

O quarto princípio é o do livre acesso, que garante aos titulares de dados a consulta facilitada e gratuita sobre a forma e a duração do tratamento. Em seguida, a LGPD prevê o princípio da qualidade dos dados, o qual garante a exatidão, a clareza, a relevância e a atualização dos dados, e o princípio da transparência, segundo o qual os titulares devem receber informações claras, precisas e facilmente acessíveis sobre as operações de tratamento e sobre os agentes de tratamento.

O sétimo princípio é o da segurança, o qual estabelece que os agentes de tratamento devem utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. Já o princípio da prevenção prevê que sejam adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

        

Por fim, os últimos dois princípios previstos na lei são os de não discriminação e de responsabilização e prestação de contas. Enquanto aquele estabelece a impossibilidade de realização de tratamento para fins discriminatórios ou abusivos, este determina que o agente demonstre a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e da eficácia dessas medidas.

        

        

  1. Quais são os direitos dos titulares de dados pessoais?

Como posso exercer esses direitos?

        

O artigo 17 da LGPD prevê que os agentes de tratamento devem assegurar os direitos

fundamentais de liberdade, intimidade e privacidade.

        

Além disso, o artigo 18 da LGPD apresenta uma lista de direitos dos titulares de dados,

que podem ser exercidos a qualquer momento, mediante requisição. São eles:

  1. confirmação da existência de tratamento: obtenção de informações sobre as atividades de tratamento de dados realizadas;
  2. acesso aos dados: o direito de acesso aos dados pessoais deve ser exercido mediante requisição do titular. Em resposta, o agente de tratamento deve responder (a.) imediatamente, em formato simplificado; ou (b.) por meio de declaração clara e completa, em até 15 (quinze) dias do requerimento (art. 19, I e II). O acesso a tais dados deve observar os segredos comercial e industrial do agente;
  3. correção de dados incompletos, inexatos e desatualizados;
  4. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  5. portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  6. eliminação dos dados pessoais tratados com o consentimento do titular: apenas não se aplica às hipóteses do art. 16 da LGPD, quais sejam: (i) cumprimento de obrigação

legal ou regulatória pelo controlador; (ii) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; (iii) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; ou (iv) uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados;

  1. informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  2. informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  3. revogação do consentimento previamente concedido; e
  4. possibilidade de revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem os interesses do titular: apesar de Membran-i utilizar inteligência artificial, as decisões tomadas dizem respeito apenas às negociações realizadas por meio da plataforma. Ainda que uma interpretação muito ampla do conceito de dado pessoal considere que algumas das opções realizadas pelos usuários relacionadas à negociação sejam dados pessoais, a Membran-i leva em conta fatores que claramente não são dados pessoais, como preço, condições de pagamento, prazo, dentre outros. Além disso, as decisões automatizadas não afetam interesses das pessoas físicas, mas apenas das empresas. Portanto, não se aplica o direito de revisão das decisões tomadas.

        

        A Membran-i disponibiliza um endereço eletrônico por meio do qual o titular dos dados

pode exercer os direitos mencionados acima: (lgpd@membran-i.com).

        

        

  1. A Membran-i realiza operações de tratamento de dados pessoais?

        

Sim. Apesar de o modelo de negócio da Membran-i não ser voltado para a

exploração comercial dos dados pessoais dos usuários, a empresa realiza algumas

operações de tratamento de dados pessoais.

Por isso, a Membran-i se enquadra nas definições de “controlador” (“pessoa natural ou

jurídica, de direito público ou privado, a quem competem as decisões referentes ao

tratamento de dados pessoais”) e “agente de tratamento” (“o controlador e o operador”).

        

        

  1. O que são bases legais para o tratamento de dados pessoais?

        

        Cada operação de tratamento de dados pessoais deve ocorrer com base em uma

         justificativa legítima prevista na LGPD. O consentimento do titular de dados é uma dessas

bases legais, mas não é a única.

        

O artigo 7º da LGPD apresenta dez bases legais que podem ser usadas pelos agentes de tratamento de dados. Assim, o tratamento somente pode ser realizado nas seguintes hipóteses:

  1. mediante o fornecimento de consentimento pelo titular;
  2. para o cumprimento de obrigação legal ou regulatória pelo controlador;
  3. pela administração pública, para o tratamento e uso compartilhado de dados

necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

  1. para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  2. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  3. para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  4. para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  5. para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  6. quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  7. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Deve-se ressaltar que o fato de alguns dados serem de acesso público, ou terem

se tornado públicos por vontade do próprio titular, não exclui completamente a proteção da LGPD.

Ao tratar de dados de acesso público, como nome e CPF, por exemplo, o parágrafo 3º do artigo 7º da LGPD estabelece o seguinte: “O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização”.

Já ao tratar de dados tornados manifestamente públicos pelo titular, como aqueles inseridos em redes sociais utilizadas para fins profissionais, como LinkedIn, por exemplo, o parágrafo 4º do artigo 7º prevê o seguinte: “O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização”.

        

        

  1. A Membran-i realiza tratamento de dados pessoais para fins de marketing?

Quais são as bases legais desse tratamento?

        

Sim. Para fins de marketing com conteúdo direcionado, a Membran-i solicitará o consentimento dos titulares de dados ao se inscreverem nos formulários do site. Nesse caso, o consentimento será obtido por meio de opção opt in em formulário. No mais, para envios de newsletters e e-mails marketing a Membran-I se pautará também na base legal do legítimo interesse, podendo coletar e-mails de leads qualificados para enviar suas informações.

        

Caso o titular de dados opte por não receber mais esse conteúdo, será simples revogar o seu consentimento. Em cada e-mail, a Membran-i disponibilizará a opção de exclusão da lista.

        

        

  1. A Membran-i realiza tratamento de dados pessoais para fins de prospecção de clientes? Quais são as bases legais desse tratamento?

        

Sim. A Membran-i realiza tratamento de dados para prospecção passiva e ativa de

clientes.

        

Em relação à prospecção ativa, a Membran-i coleta dados de potenciais clientes por meio de perfis presentes em redes sociais públicas, como o LinkedIn. Caso o usuário disponibilize publicamente seu nome e e-mail, há uma expectativa legítima de que interessados em realizar negócios entrem em contato. Por isso, a base legal utilizada neste caso é a do legítimo interesse. Além disso, pode-se aplicar neste caso o parágrafo 4º do artigo 7º, que dispensa a exigência de consentimento caso os dados tenham se tornado manifestamente públicos pelo próprio titular.

        

Quanto à prospecção passiva, a Membran-i coleta dados de pessoas que se mostrem interessadas nos serviços prestados pela empresa, seja durante eventos, formulários e até mesmo pelo site da Membran-i. Nesse caso, a situação é mais simples do que a prospecção ativa, podendo-se aplicar tanto a base legal do legítimo interesse quanto a do consentimento.

        

Além disso, em situações nas quais o próprio titular entra em contato com a Membran-i, seja por telefone, e-mail ou por outro meio de contato, presume-se o interesse em conhecer os serviços prestados pela empresa, de modo que o consentimento está presente.

        

Deve-se ressaltar que, a qualquer momento, o titular de dados poderá requerer que a Membran-i não entre mais em contato.

        

        

  1. A Membran-i realiza tratamento de dados pessoais de usuários cadastrados na plataforma? Quais são as bases legais desse tratamento?

        

Sim. Para as atividades de cadastramento e liberação de acesso aos usuários, o titular poderá fornecer dados como nome completo, e-mail, CPF e cargo na empresa. Eventualmente, a Membran-i pode exigir outros dados, por motivos de segurança ou de operacionalidade dos serviços prestados pela empresa.

        

Como esses dados são indispensáveis para que a Membran-i possa prestar os serviços contratados e emitir notas fiscais, a base legal é da execução de contrato. Nesse sentido, a coleta e o tratamento desses dados respeitarão as finalidades estabelecidas nos termos de uso e na proposta comercial, sendo que o acesso dessas informações, até para os colaboradores da Membran-i, será controlado.

        

        

  1. A Membran-i utiliza dados de navegação dos usuários para aprimorar a plataforma?

Sim. Os dados de navegação, as páginas ou outro conteúdo que os usuários acessam ou criam, suas buscas, participações em pesquisas ou fóruns e outras ações relativas ao

desempenho de suas negociações na plataforma são utilizados com o fim de aprimorar o sistema de inteligência artificial da plataforma. Nesse caso, a base legal que fundamenta esse tratamento é a do legítimo interesse.

  1. A Membran-i criar perfis comportamentais com base em dados pessoais?

Sim, mas esses perfis são das empresas, não das pessoas físicas. Os dados utilizados são as opções dos usuários ao realizar negociações e dados de navegação na plataforma. A Membran-i reúne os dados dos usuários e representantes de determinada empresa, bem como outros dados não-pessoais, para formar perfis comportamentais dessas empresas. Com base nesses perfis, a Membran-i poderá personalizar e aprimorar a plataforma, bem como melhorar o resultado das negociações. Nesse caso, a base legal que fundamenta esse tratamento é a do legítimo interesse.

        

        

  1. A Membran-i compartilha dados pessoais com terceiros?

Quais são as bases legais desse tratamento?

Sim. A Membran-i compartilha dados pessoais com servidores de armazenamento em nuvem sediados nos Estados Unidos da América. Nesse caso, a base legal que fundamenta esse uso é o da execução de contrato, visto que a Membran-i depende dos serviços prestados por esses servidores para garantir o funcionamento da empresa e da própria plataforma.

        

Além disso, há uma outra situação em que a Membran-i recebe dados pessoais de terceiros. A Membran-i estabelece contratos com integrados tecnológicos que utilizam a plataforma desenvolvida pela empresa no formato white label. Nesse caso, a Membran-i tem acesso aos dados cadastrais dos usuários que se cadastram por meio dessa plataforma white label, bem como tem acesso às atividades desses usuários dentro da plataforma. A base legal que fundamenta esse tratamento de dados é a de execução de contrato, já que a Membran-i precisa acessá-los para manter a plataforma em operação.

        

Por fim, os planos ou propostas comerciais de alguns clientes da plataforma podem prever a possibilidade de requerer a expedição de um relatório de auditoria com detalhes da rodada de negociações, como os nomes das empresas que participaram da rodada, as condições de oferta e de demanda apresentadas e os nomes dos colaboradores das empresas compradoras na rodada. A base legal que fundamenta esse tratamento de dados é a de execução de contrato.

        

Cabe ressaltar que a Membran-i não comercializa dados pessoais, nem os utiliza para fins de publicidade ou para a criação de perfis comportamentais dos usuários em si, mas apenas para criar perfis das empresas a que eles estão vinculados.

        

        

  1. A Membran-i adota medidas de segurança da informação e boas práticas no contexto do tratamento de dados pessoais?

        

        

Sim. Em conformidade com as regras previstas nos artigos 46 e seguintes da LGPD, a Membran-i adota medidas de segurança, técnicas e administrativas para proteger os dados pessoais tratados.

        

A Membran-i estabelece níveis de acesso diferentes a esses dados pessoais, dependendo do cargo que seus funcionários e prestadores de serviço ocupam. Isto é, aqueles que trabalham na área comercial acessam os dados necessários para o exercício de sua atuação, que são diferentes daqueles acessados pelos que compõem a área operacional, por exemplo.

        

Além disso, a Membran-i adota como política a exclusão de dados após 5 (cinco) anos inutilizados, caso não haja justificativa para mantê-los.

        

Apesar de adotar medidas razoáveis de proteção, levando-se em consideração um balanceamento entre riscos e objetivos de uso dos dados, a Membran-i também está preparada para reagir de forma célere a eventuais incidentes de segurança que possam acarretar riscos ou danos relevantes aos titulares. Assim, há uma orientação interna no sentido de que, havendo a constatação de algum incidente de segurança, a Membran-i comunicará em prazo razoável os titulares dos dados e buscará minimizar os danos, nos termos do artigo 48 da LGPD.

        

Por fim, a Membran-i realiza medidas educativas para conscientizar todos os seus funcionários e prestadores de serviço quanto às regras previstas na LGPD e quanto aos cuidados que devem ser tomados para a proteção de dados dos titulares.

        

Além disso, cabe ressaltar novamente que a Membran-i coleta uma quantidade pequena e pouco diversa de dados pessoais, de modo que os riscos de prejuízo aos titulares de dados caso ocorra algum incidente de segurança são baixos.

        

        

  1. A Membran-i possui um encarregado (DPO)?

Qual a sua função?

        

Sim. De acordo com o artigo 5º, inciso VIII, da LGPD, encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.

        

De acordo com o artigo 41 da LGPD, todo controlador deve indicar um encarregado, disponibilizando seus dados de contato, de forma pública, clara e objetiva, preferencialmente no sítio eletrônico do controlador. No caso da Membran-i, o encarregado é Florent Charles Desidério, que pode ser contatado pelo seguinte e-mail: lgpd@membran-i.com.

        

O encarregado da Membran-i está preparado para exercer todas as atividades previstas no parágrafo 2º do artigo 41, isto é: I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II - receber comunicações da autoridade nacional e adotar providências; III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas

complementares.

        

        

  1. Conclusão

Por fim, deve-se ressaltar que a Membran-i sempre se preocupou com a proteção dos dados pessoais de seus usuários, limitando a coleta apenas ao mínimo necessário, antes mesmo de a LGPD entrar em vigor. Como foi explicado acima, o baixo número e a pouca diversidade de dados coletados são fatores que diminuem os riscos de prejuízos caso ocorra algum incidente de segurança.

De todo modo, após a LGPD entrar em vigor, a Membran-i buscou formalizar ainda mais suas práticas , especificando claramente as finalidades dos tratamentos de dados e as bases legais que as justificam. Além disso, a empresa garante aos titulares de dados o exercício de todos os direitos previstos na LGPD, disponibilizando meios de contato facilitado com o encarregado.


Todos os direitos reservados ©2021 Membran-i