Discutir sobre proteção dados pessoais têm sido uma pauta frequente entre as mais diversas corporações ao redor do mundo. E o Brasil já conta com seu regulamento próprio acerca deste tema, no qual entrará em vigor em agosto de 2020.
De um modo geral, o principal objetivo da nova legislação é a proteção de dados pessoais e seus titulares, bem como regular este tema, trazendo diretrizes a todos aqueles que realizam o tratamento de dados em razão de seu negócio.
Em muitos aspectos, a Lei Geral de Proteção de Dados – LGPD nº 13.709/2018, muda a forma como lidamos com os dados e, mais importante, concede novos poderes aos titulares destes dados. Na prática, significa que todas as empresas que coletam e ou armazenem dados pessoais, devem cumprir as obrigatoriedades determinadas pela Lei, pois as penalidades esperadas para aqueles que não estiverem em conformidade são bastante expressivas.
Em tais circunstâncias, toda empresa deve desenvolver uma estratégia coesa de gerenciamento de riscos e, o mais importante, um plano para estar “compliant” em relação à Lei. Elaborar um plano de compliance é uma parte essencial para uma transição que permita abordar todos os aspectos da transformação de acordo com os requisitos e obrigatoriedades propostas pela Lei. Isso minimiza o risco de equívocos e organiza o processo em um cronograma abrangente e viável.
Entretanto, vejamos alguns dos principais pontos que podem preparar uma empresa em atender ao que determina a Lei:
Entenda a terminologia
A LGPD é um instrumento legal, o que significa que ele é escrito usando uma terminologia específica. Para facilitar o entendimento, aqui estão alguns dos principais termos. Os demais estão todos classificados no artigo 5º da Lei.
Termo “dados pessoais” refere-se a qualquer informação relativa a uma pessoa identificada ou identificável. Um indivíduo pode ser identificado por nome, número de identificação, dados de localização ou mais fatores específicos da identidade, como Identificadores por via eletrônica: IP, Cookies.
Termo “dados sensíveis” refere-se a dados relacionados às informações genéticas, biométricas, raciais ou étnicas, orientação sexual, opiniões políticas.
Termo “controlador” descreve qualquer ator que determine os propósitos e meios do processamento de dados pessoais.
O termo “processador” simboliza um terceiro (fornecedor ou colaborador) que trata os dados aprovados pelo controlador.
Peça consentimento de seus clientes e usuários
A LGPD considera seriamente quão bem informados seus clientes e usuários (titulares de dados) são sobre o que suas informações devem ser usadas. As empresas são obrigadas a declarar claramente os propósitos da coleta de dados, quando e como serão usados e quando serão destruídos. O desejo da empresa de coletar e processar dados deve ser explicitamente declarado, o que significa que a vontade de coletar dados não pode ser ocultada nos moldes da política de privacidade.
Para garantir que o processamento de dados é legal, os titulares de dados devem ser convidados a dar o consentimento para o uso de suas informações pessoais.
Crie um ‘mapa dos dados coletados’
De acordo com a legislação, todos os controladores devem cumprir a estratégia de minimização de dados, que determina que as empresas devem coletar apenas dados necessários para executar seus serviços e chegar a um acordo com o processador para destruir dados assim que a tarefa específica for executada.
As empresas têm que demonstrar as formas conscientes com que lidam com dados. Mais importante ainda, uma empresa deve ser capaz de apresentar métodos de proteção de dados que são usados para garantir a segurança dos dados. Esses incluem criptografia de dados, uso de serviços de armazenamento seguro e assim por diante.
A criação de um mapa é uma maneira fácil de manter o registro de atividades de tratamento. O mapeamento de dados também ajuda a classificá-lo como sensível, ou não e rastrear seus fluxos.
Comece o quanto antes
A Lei entrará em vigor em agosto de 2020, e o tempo é curto! É sempre melhor iniciar o processo de conformidade de forma simples. A melhor ideia é transformar e melhorar as políticas atuais de proteção de dados da sua empresa do que inventar novas do zero. Assim, comece por auditar o processo atual de coleta de dados e revise-o de acordo com a nova Lei. Todas as unidades da empresa devem estar envolvidas na transição e a execução de treinamentos de conscientização por especialistas que prestarão orientação à equipe de funcionários, tais como reconhecer as falhas de proteção de dados e reagir a elas.
A LGPD não é uma lei simples e seria difícil garantir que todos os seus critérios fossem cumpridos sem o devido aconselhamento legal. Assim, contar com especialistas com conhecimento de proteção de dados no campo em que sua empresa trabalha, será útil para equilibrar o processo e estar preparado para tal.
Mas atenção, esta Lei não deve ser tratada apenas por advogados! Muitos dos novos conceitos e diretrizes irão impactar todos os departamentos e estruturas dos negócios.
Adriano Mendes, Advogado especializado em Direito Digital, Tecnologia e Empresarial. Sócio do ASSIS E MENDES Advogados, atua em questões que envolvam Proteção de Dados Pessoais e os desdobramentos jurídicos da tecnologia, bem como suas aplicações no direito brasileiro. Foi professor de Ética, Direito e Legislação e atualmente palestra sobre assuntos empresariais e de tecnologia jurídica.