A Lei Geral de Proteção de Dados e a sua empresa

O objetivo da Lei Geral de Proteção de Dados, que entrou em vigor em setembro deste ano, é gerar mais proteção e transparência no tratamento de dados por pessoas físicas e jurídicas.

Desse modo, a Lei também abrange empresas de todos os portes e é preciso estar atento aos novos protocolos e algumas definições acerca dos dados e da sua utilização.

Primeiro é preciso entender quem são os agentes que fazem parte dos processos de tratamento de dados.

  1. Dados: informação ou conjunto de informações pertencentes ao titular
  2. Titular dos dados: pessoa a qual o dado se refere
  3. Controlador dos dados: pessoa que irá tomar a decisão de como e para qual finalidade os dados serão utilizados
  4. Operador: pessoa que irá atuar na prática no tratamento dos dados da forma como o controlador decidiu

A seguir, é importante refletir sobre o ciclo de vida dos dados:

  1. os dados são coletados
  2. os dados são processados, armazenados, analisados e transformados em informações
  3. os dados são descartados ou reciclados

A LGPD indica que a empresa deve elaborar um relatório antes de utilizar os dados pessoais, chamado de RIPD (Relatório de Impacto à Proteção de Dados Pessoais). O documento deve apresentar medidas para reduzir o risco de violação dos dados, assim como classificar os níveis de risco.

Abaixo se encontram listados exemplos de alguns elementos que são considerados dados pessoais:

  • Nome
  • Data de nascimento
  • Documentos pessoais (RG, CPF, Passaporte, CNH, etc.)
  • Dados referentes à saúde do indivíduo
  • Endereço residencial, comercial e eletrônico (e-mail)
  • Telefones
  • Hábito de consumo

A LGPD ainda considera alguns tipos informações como dados sensíveis e recebem proteção ainda maior, como:

  • Dados ligados a saúde
  • Orientação sexual
  • Religião
  • Origem racial ou etnia
  • Opinião política
  • Biometria
  • Dados genéticos
  • Filiação a sindicado ou organizações

Dentro de uma empresa, vários dados são utilizados em diversos processos nos departamentos a ela pertencentes. Sendo assim, é preciso estarmos atentos as peculiaridades de cada departamento e os riscos que existem no tratamento de dados, principalmente em relação aos dados sensíveis.

Alguns departamentos tendem a apresentar mais contato com dados pessoais e precisam de um cuidado maior, são eles: Comercial, Departamento Pessoal, Marketing, Fornecedores, Financeiro, TI, Jurídico e Contabilidade.

É importante comentar que segundo a Lei, o titular dos dados, seja ele um cliente ou um funcionário, precisa estar ciente e de acordo com a coleta e utilização dos dados por parte da Pessoa Física ou Jurídica. Desse modo, o primeiro passo para garantir que a utilização seja segura para a empresa, é necessário o desenvolvimento de um termo de consentimento com informações completas, para que o cliente/funcionário confirme o consentimento referente ao tratamento dos dados e sua finalidade.

Também é necessário o desenvolvimento de um regimento interno para que a empresa e os colaboradores definam os processos de operacionalização e controle da utilização dos dados, visando diminuir os riscos e definindo medidas a serem tomadas caso algum dado seja violado. É importante ressaltar que o titular do dado deve ser informado caso haja alguma falha no tratamento dos dados, assim como as ações que serão tomadas para rever o ocorrido.

A entidade que irá realizar a fiscalização do tratamento de dados é a AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD), que poderá atuar desde a apresentação de advertências, até a aplicação de multas de até cinquenta milhões por infração.

O que a ANPD pode fazer em caso de falha na segurança?
Advertência, indicando o prazo para corrigir o problema;
Multa de até 2% do faturamento da empresa no seu último exercício (deduzidos os impostos), alcançando no máximo 50 milhões de Reais por cada infração;
Multa diária, respeitando o limite total do valor (50 milhões por infração);
Trazer a público a infração, depois de confirmada e apurada a sua ocorrência.

Em relação aos departamentos da empresa, é preciso fazer um estudo dos dados que o setor utiliza, onde eles estão armazenados e a necessidade de manter os dados armazenados. Caso não seja necessária sua utilização, o dado deve ser descartado corretamente. Além disso, deve-se pensar em maneiras de proteger os dados, que devem ser acessados somente por pessoal autorizado.

O que fazer em caso de incidente com os dados, de acordo com a LGPD
Descrever a natureza dos dados pessoais afetados
Informar os titulares sobre o acontecido
Indicar as medidas técnicas e de segurança utilizadas para proteção dos dados – respeitando os segredos comerciais e industriais
Comunicar os motivos da demora – caso a comunicação não tenha sido imediata
Listar as medidas que foram ou serão tomadas para corrigir ou eliminar os efeitos do prejuízo ao titular

Por fim, é importante instruir os colaboradores da empresa acerca dos cuidados na coleta, utilização e descarte de dados, principalmente os mais sensíveis.

Para saber mais sobre a Lei Geral de Proteção de Dados acesse: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

0 respostas

Deixe uma resposta

Want to join the discussion?
Feel free to contribute!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *