Desafios da Lei Geral de Proteção de Dados

Por Milene Facioli | Ricardo Imamura | Wilson Costa | Northon Blair | Paulo Sanchez | Roberto Berkes

A LGPD (Lei Geral de Proteção de Dados – Lei 13.709/18, em vigor desde agosto 2020) regulamenta o uso, coleta,  tratamento e armazenamento de dados pessoais por organizações públicas ou privadas. A obtenção, trato e guarda de dados pessoais tem que seguir o que é preconizado pela lei, sob pena de sofrer inúmeras sanções dentre as quais uma multa que pode ser de até 2% do faturamento (líquido de tributos) e limitado a R$ 50 milhões.

Agente de Tratamento de Dados

Os agentes de tratamento de dados são as entidades que realizam o tratamento de dados, sendo definidos dois papeis específicos:

  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Tratamento de Dados

Tratamento de dados consiste em toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Titular dos Dados e Dados Pessoais

As informações protegidas pela lei são aquelas que permitem a identificação  de uma pessoa, considerada como o titular dos dados pessoais.

São considerados “dados pessoais”: nome, número de documentos, endereços, dados bancários, etc. –  e as informações que se vazadas ou expostas podem causar discriminações – chamados de “dados pessoais sensíveis”: etnia, gênero, religião, convicção política, filiação a sindicatos,  referentes à saúde ou a vida sexual, genético ou biomédico.

O titular dos dados pessoais tem direito a obter do controlador:

  • confirmação da existência de tratamento;
  • acesso aos dados;
  • correção de dados;
  • anonimização, bloqueio ou eliminação de dados;
  • informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • revogação do consentimento.Encarregado de Tratamento de Dados As organizações deverão indicarão uma pessoa para ser o encarregado pelo tratamento de dados pessoais.

    O encarregado atuará como canal de comunicação entre o controlador, os titulares dos dados, os demais colaboradores da organização e a Autoridade Nacional de Proteção de Dados

    “§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

    • 2º As atividades do encarregado consistem em:

    I – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

    II – Receber comunicações da autoridade nacional e adotar providências;

    III – Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

    IV – Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.”

    Este profissional deve ter conhecimento sobre segurança da informação e sobre as legislações Federal e Estadual de Proteção de Dados, devendo estar vinculado as áreas de Tecnologia de Informação, de Conformidade, Gestão de Riscos e Controle Interno.

    Não é obrigatório a criação de um cargo exclusivo de DPO (Data Protection Officer), apenas em casos bem específicos de organizações que possuam um volume muito grande de dados pessoais sob sua responsabilidade.

    Responsabilidade

    Todas as organizações, independente do seu porte, deverão atender a LGPD,  deixando claro qual será o uso do dado coletado e obtendo o consentimento explícito pelo titular dos dados.

    Todos os dados pessoais de posse de qualquer organização devem ser protegidos, as organizações precisam possuir ferramentas de proteção sistêmica, bem como, possuir um protocolo e uma conscientização e treinamento dos seus colaboradores quanto ao trato e armazenamento de dados pessoais

    A proteção de dados é uma parte do compliance da organização e é de responsabilidade de todos, pois além das ferramentas eletrônicas, sistêmicas a conscientização, treinamento e conhecimento da necessidade de salvaguardar estes dados tem que ser  de todos, gerando a necessidade de se disseminar esta mudança que da mesma forma no compliance é cultural.

______________________________________________________________________

Milene Facioli | Ricardo Imamura | Wilson Costa | Northon Blair | Paulo Sanchez | Roberto Berkes 
*Os artigos publicados com assinatura, não traduzem necessariamente a opinião do Instituto de Engenharia. Sua publicação obedece ao propósito de estimular o debate dos problemas brasileiros e de refletir as diversas tendências do pensamento contemporâneo