No dia 14 de agosto de 2018, foi sancionada a lei nº 13.709, também conhecida como Lei Geral de Proteção de Dados (LGPD). Com esse passo, o Brasil segue a tendência de países europeus e demais nações mundiais que estão regulamentando o uso, tratamento e transferência de dados pessoais.

Um dos maiores objetivos da LGPD é regular o tratamento de dados pessoais, processo que envolve uma série de operações, sejam elas automáticas ou manuais. Essas operações abrangem desde a coleta até a organização e destruição das informações levantadas.

A lei brasileira regulamenta o tratamento realizado no Brasil, por pessoa natural ou jurídica (pública ou privada), inclusive nos meios digitais. Se os dados pessoais forem coletados em território brasileiro, ou forem tratados com o fim de ofertar bens e serviços para pessoas localizadas no país, também estarão sujeitos à lei.

Dessa forma, garante-se que sejam resguardados direitos fundamentais do indivíduo, como livre desenvolvimento, liberdade e privacidade.

A lei também é regida por princípios e condutas que devem ser seguidos para a proteção de dados pessoais. Alguns desses fundamentos são o respeito à privacidade, liberdade de expressão e autodeterminação informativa, que seria o direito que o cidadão tem de controlar seus dados (assim como as demais informações que eles possam gerar).

O que são dados pessoais e quais informações são reguladas pela lei?

Qualquer informação relacionada a uma pessoa viva, identificada e identificável, é considerada um dado pessoal. Também são regulados pela LGPD:

1. Dados pessoais sensíveis: dados relacionados a raça, religião, opinião política e sobre saúde (dados genéticos ou biométricos).

2. Dados anonimizados: informações relacionadas a um titular, sem identificá-lo

3. Banco de dados: dados estruturados, centralizados em um lugar ou distribuídos em vários lugares.

Como o tratamento de dados deve ser realizado e as partes envolvidas no processo

O tratamento de dados pessoais deve ser realizado tendo em vista a autonomia do titular e o legítimo interesse do controlador.

Além disso, o tratamento deve ter fins legítimos específicos, ocorrendo de acordo com a sua finalidade, e não sendo utilizado para fins discriminatórios ilícitos ou abusivos.

Existem diversas partes envolvidas nesse processo, a quem são atribuídas uma série de responsabilidades:

1. O titular: pessoa física a quem se referem os dados pessoais;

2. Controlador: pessoa física ou jurídica que toma decisões referentes ao tratamento de dados pessoais;

3. Encarregado: indicado pelo controlador, é responsável por fazer a ponte entre titular, controlador e autoridade nacional;

4. Agentes de tratamento: controlador e operador;

5. Autoridade nacional: órgão responsável por aplicar sanções administrativas em questões relacionadas à lei (e ao tratamento de dados pessoais). A criação dessa instituição foi vetada em um primeiro momento, com promessa de que receberá uma legislação específica mais à frente.

Os impactos da lei de proteção de dados para empresas

Até o início da vigência plena da lei nº 13.709, em 2020, as empresas que lidam com dados têm um período de adaptação. Por isso, é necessário que elas entendam em que parte do processo de tratamento de dados se encontram, para identificar se serão ou não impactadas pela LGPD.

Nesse período de adaptação, alguns mapeamentos internos que podem ser realizados são o estudo dos termos de uso e estrutura tecnológica utilizados atualmente.

Outros pontos que devem ser observados são as finalidades para as quais a empresa coleta dados pessoais, além do fluxo que essas informações seguem internamente e quais são as instituições com quem elas são compartilhadas.

As empresas que são identificadas como controladoras de dados, por exemplo, têm uma série de responsabilidades para cumprir. São elas:

1. Ter um termo de uso claro, que deixe explícito quais dados serão tratados e utilizados, além de suas finalidades;
2. Caso o titular peça que seus dados sejam corrigidos, eliminados, anonimizados e/ou bloqueados, o controlador deve informar aos demais agentes de tratamento com os quais os dados tenham sido compartilhados, para que a solicitação seja replicada para todos;
3. Enviar relatório completo ao titular sobre o tratamento, armazenamento e uso dos dados, em até 15 dias após a solicitação;
4. Montar um equipe com profissionais qualificados para atender aos titulares de dados pessoais;
5. Ter profissionais qualificados também para fazer eventuais checagens manuais, caso o titular solicite uma checagem adicional além da automatizada.

Empresas devem ter atuação transparente

Todas as instituições que lidam com dados também devem ter em mente a implementação de políticas internas de governança.

Essas práticas devem garantir o comprometimento do controlador em cumprir a nova regulamentação, sendo aplicável para todos os dados pessoais que estejam sob seu controle, independente da forma como foram coletados.

Além disso, as empresas devem ter uma atuação transparente, elaborando planos de resposta e remediação de incidentes, estabelecendo assim uma relação de confiança com os titulares dos dados.

Para saber mais sobre a lei de proteção de dados, como quais são as sanções aplicáveis em caso de não cumprimento da regulamentação, baixe o eBook que escrevemos sobre o assunto.

Aproveite para entrar em contato com nossos especialistas e saber como a idwall pode ajudar sua empresa a se preparar para a LGPD!