No dia 14 de agosto de 2018, foi sancionada a lei nº. 13.709 referente a Lei Geral de Proteção de Dados, popularmente conhecida como LGPD. Ela vem para alterar a Lei nº. 12.965 de 23 de abril de 2014, conhecida como Marco Civil da Internet, que regulava as transações até então.
A LGPD tem como base a GDPR(General Data Protection Regulation), regulamentação europeia aprovada em maio de 2018, e usa os direitos fundamentais de liberdade e de privacidade como norte para estabelecer regras a respeito da coleta e armazenamento, de dados pessoais e seu compartilhamento.
A intenção é proporcionar proteção dos dados das pessoas físicas contando com a penalidade de multas para motivar o seu cumprimento por parte das empresas.
Sendo assim, separamos algumas dicas valiosas para agilizar essa adequação:
- Entenda como a LGPD se aplica à sua empresa:
- A nova lei se aplica a qualquer pessoa física ou jurídica, empresa pública ou privada, que realiza processos de tratamento de dados pessoais, ou seja, exerça atividades em que se utilizem dados (coleta, armazenamento, compartilhamento, exclusão etc.).
- Semelhante à GDPR, versão europeia da lei, a LGPD tem escopo extraterritorial e será aplicada a qualquer negócio que atenda a esses critérios, independentemente de onde esteja sediado.
- Porém a Lei Geral de Proteção de Dados Pessoais (LGPD) não se aplica quando o processamento dos dados for realizado:
- Para fins estritamente pessoais;
- Exclusivamente para fins jornalísticos, artísticos, literários ou acadêmicos;
- Exclusivamente para segurança nacional, defesa nacional, segurança pública, investigação criminal ou punição.
- Certifique-se que a sua empresa faz coleta de dados pessoais:
- Pela definição da Lei Geral de Proteção de Dados Pessoais (LGPD), “dado pessoal” se refere a qualquer informação relacionada à uma pessoa natural identificada ou identificável (nome, sobrenome, idade, números de documentos, dados biométricos, endereço etc.).
- É importante verificar se a sua empresa capta os dados, de que forma, e para qual finalidade. Com base nesses levantamentos será necessário adequação os processos para atender a lei.
- Nomeie um colaborador como DPO (Data Protection Officer):
- É extremamente importante possuir um profissional que tenha conhecimento e embasamento na proteção de dados pessoais, que será o responsável pela comunicação entre os titulares dos dados pessoais e a autoridade nacional (que irá regular e fiscalizar a aplicação da lei).
- O DPO será o responsável por elaborar pareceres, avaliando riscos à segurança da informação e sugerindo medidas para eliminar vulnerabilidades, além de produzir relatórios de impacto (dentre outras atividades, como prevê o Artigo 41º, da LGPD).
- Estabelecer as bases legais para coletar e tratar dados:
- Para que o tratamento de dados possa ser realizado, é necessário que se tenha uma base legal, pois existem dados, que mesmo que o titular solicite a exclusão, são necessários para atender à necessidade de outra lei, por exemplo os dados pessoais de um ex-funcionário para a legislação referente ao INSS.
- O Artigo 7º da LGPD diz que as bases legais são as seguintes:
- Mediante fornecimento de consentimento;
- Para o cumprimento de obrigação legal ou regulatória;
- Para a execução de Políticas Públicas;
- Estudos por órgão de pesquisa;
- Execução de contratos/diligências pré-contratuais;
- Exercício regular dos direitos em processo judicial, administrativo ou arbitral;
- Para a proteção da vida;
- Para a tutela da saúde;
- Interesses legítimos do controlador/terceiro;
- Para a proteção ao crédito.
- Obter um mecanismo para coleta de consentimentos:
- Na Lei Geral de Proteção de Dados Pessoais (LGPD) o consentimento deve ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular, de maneira inequívoca.
- É importante que ao tomar o consentimento, esteja descrito de maneira muito clara qual a finalidade da captação do dado. A captação pode ser feita por meio físico ou eletrônico.
- É importante avaliar o formato que melhor se encaixa no seu negócio.
- Estabeleça processos na sua empresa para atender às solicitações do titular dos dados:
- Conforme o Artigo 9º da LGPD, o titular tem deverá ter acesso facilitado aos seus dados e segundo o Artigo 18º da LGPD, o titular tem direito a ações sobre os dados, tais como consulta dos dados que a empresa possui, finalidade e tratamento de dados executado, revogação do consentimento, atualização, anonimização, portabilidade para outro fornecedor, compartilhamento, exclusão, etc.
- No momento em que o titular acionar a sua empresa solicitando alguma ação sobre os dados, é necessário retorno de maneira resumida imediatamente ou por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
- Deste modo, é importante ter o mapeamento dos dados bem feito e possuir ferramentas que auxiliem o retorno para o cliente e garantam a segurança das informações e execução das solicitações.
- Não cumprir a lei pode multá-lo em até 2% do seu faturamento anual (limitado até 50 milhões de reais).
- Certifique-se que possui softwares e ferramentas que garantam os processos e proteção dos dados:
- Além de estabelecer processos, outra ação necessária é adequar as ferramentas utilizadas no armazenamento e tratamento dos dados para garantir os termos previstos na lei.
- É importante avaliar se o seu sistema está armazenando as informações corretamente, se o banco de dados possui níveis de proteção adequados, se os registros referentes ao tratamento estão sendo guardados, por onde caminham os dados dentro da empresa etc.
- Isso garante que caso seja feita alguma solicitação, a sua empresa esteja preparada para atendê-la nos termos da lei e dentro do prazo estabelecido. Além disso, quando houver algum vazamento, cabe ao DPO comunicar à autoridade nacional e ao titular sobre o vazamento do dado.
- A autoridade nacional também pode solicitar relatórios de impacto, que possuem todas as informações sobre a coleta e tratamento dos dados e garantia da segurança.
Para realizar as adequações necessárias, busque um parceiro que tenha domínio sobre a Lei Geral de Proteção de Dados Pessoais (LGPD) e auxilie sua empresa a cumprir as necessidades de tecnologias e processos para atender à lei.
A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor em 18 de setembro de 2020, não perca mais tempo para adequar o seu negócio.
A HD Soluções em Tecnologia auxilia empresas e profissionais que buscam essa conformidade, utilizando-se dos melhores e mais modernos softwares e processos de gestão, tudo para garantir a sua empresa uma transformação digital de forma segura e eficaz.
Autor: Hernany Demetrio