Lei Geral de Proteção de Dados

  • Lei Geral de Proteção de Dados

    A Lei Geral de Proteção de Dados entrou em vigor. É um marco legal que regulamenta o uso, a proteção e a transferência de dados pessoais no Brasil. A LGPD (Lei 13.709, de 2018) garante maior controle dos cidadãos sobre suas informações pessoais, exigindo consentimento explícito para coleta e uso dos dados e obriga a oferta de opções para o usuário visualizar, corrigir e excluir esses dados.

    A LGPD teve origem no PLC 53/2018, aprovado por unanimidade e em regime de urgência pelo Plenário do Senado em julho de 2018. O texto é aplicável mesmo a empresas com sede no exterior, desde que a operação de tratamento de dados seja realizada no território nacional. A sanção foi feita pelo então presidente da República Michel Temer em agosto de 2018.

    Entre os artigos da LGPD, destacam-se alguns pontos principais:

    1. Fundamenta o tratamento de dados em princípios, como:
    * Respeito à privacidade;
    * Liberdade de expressão e de opinião;
    * Inviolabilidade da intimidade, da honra e da imagem;
    * Direitos humanos;
    * Livre iniciativa e concorrência;
    * Defesa do consumidor.

    2. Define quais conjuntos de dados pessoais devem ser usados para identificar alguém. No caso, a identificação precisa ser feita a partir de uma série de dados cruzados, como:
    * Nome;
    * Idade;
    * Data de nascimento;
    * Endereço.

    3. Cria o conceito de dados sensíveis, como:
    * Convicções religiosas;
    * Opiniões políticas;
    * Saúde;
    * Orientação sexual;
    * Origem racial e étnica.

    4. A forma como as informações podem ser coletadas, inclusive em redes sociais, passa a ser regulamentada.

    5. Define 10 possibilidades de legitimação do tratamento de dados, como o consentimento.

    6. Dá direitos amplos aos titulares dos dados, como:
    * Retificação;
    * Cancelamento;
    * Informação;
    * Acesso;
    * Oposição;
    * Portabilidade.

    7. Exige que atividades de tratamento de dados sejam registradas em relatório.

    8. Determina que toda empresa responsável por dados eleja um encarregado de proteção de dados pessoais.

    As companhias terão o período de 12 (doze) meses para se adequarem às normas da LGPD. As empresas que a infringirem poderão ser, dependendo da infração, advertidas ou receber multas até 2% do faturamento, limitada, no total, a R$ 50 milhões. Dessa forma, as punições às empresas que descumprirem o decreto só serão aplicadas a partir de agosto de 2021.

    PARTE 2

    A partir da nova legislação de LGPD, é importante deixar claras as informações sobre o porquê da coleta de dados, como serão utilizados e armazenados. Em caso de questionamento judicial, a empresa terá que confirmar por fontes seguras que o titular estava ciente da coleta de dados e do destino deles. Como se enquadrar na LGPD:

    1. NOMEIE UM ENCARREGADO:

    A LGPD determina que os Agentes de Tratamento de dados pessoais podem ser pessoas físicas ou jurídicas, de direito público ou privado. Um agente deve ser o controlador – responsável pelas decisões sobre o tratamento dos dados pessoais – e, o outro, o operador – responsável por efetuar o tratamento dos dados sob o comando do controlador.

    Portanto, é necessário nomear profissionais que ficarão responsáveis por estas funções, que devem adotar medidas de segurança de dados, zelar pela proteção das informações pessoais e barrar os acessos não autorizados, assim como prevenir qualquer uso inadequado, perda ou furto de dados.

    Qualquer problema grave que possa colocar em risco as informações pessoais dos usuários, tal como o furto de dados, deve ser comunicado à Autoridade Nacional de Proteção de Dados (ANPD) – órgão da administração pública, que será criado com a finalidade de fiscalizar e fazer cumprir a Lei Geral de proteção de dados.

    2. REALIZE UMA AUDITORIA DE DADOS:

    Os auditores ficam responsáveis por examinar o sistema, analisando as configurações de guarda dos dados, históricos, logs de acessos e compartilhamentos efetuados.
    A auditoria é importante para não deixar nada para trás servindo para verificar a segurança de dados do sistema quanto ao controle de acesso, backups e plano de recuperação, além de analisar o perfil dos dados armazenados quanto à sua qualidade, integração e tratamento.

    3. REVISE AS POLÍTICAS DE SEGURANÇA DE DADOS:

    Para estar de acordo com a lei geral de proteção de dados, é importante rever as políticas de segurança de dados da empresa, pois sempre existem ameaças de software mal-intencionados.

    Fortalecer a segurança dos sistemas e orientar colaboradores sobre os procedimentos de segurança de dados a serem adotados, é uma ótima estratégia.

    É recomendável redigir as políticas de segurança de dados da empresa contendo informações sobre as condições de instalação dos equipamentos, restrições de acesso, procedimentos adequados, controle, etc. e compartilhá-las com todas as pessoas da organização para maior engajamento na segurança da informação.

    4. REVISE OS CONTRATOS:

    A revisão de contrato é um dos itens mais importantes da LGPD. É necessário adequar este documento para que ele atenda às normas de confidencialidade, transparência e liberdade dos usuários.

    De acordo com a Lei geral de proteção de dados, o contrato deve deixar claro para quais finalidades os dados pessoais serão utilizados, assim como as informações sobre o tratamento de dados quanto à sua duração, uso compartilhado, identificação do controlador e responsabilidades dos agentes de tratamento.

    É necessário lembrar que o documento deve prever a retirada e portabilidade dos dados para outros servidores – tal como está garantido pela LGPD.

    Com a LGPD, muitas empresas terão que investir em segurança da informação para se adequar e fazer cumprir a legislação.

    Fonte: Dra. Mariana Tani advogada da empresa CAMPOI, TANI & GUIMARAES PEREIRA SOCIEDADE DE ADVOGADOS parceira da Paulicon