1. Conceitos Gerais:
A Lei Geral de Proteção de Dados (13.709/2018) dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Nesse sentido, a lei detém a finalidade de criar um cenário de segurança jurídica, utilizando uma padronização de regulamentos e práticas para efetiva proteção aos dados pessoais, com base, inclusive, em parâmetros internacionais já existentes.
Sendo assim, encontram-se envolvidas na LGPD as seguintes figuras:
- Autoridade Nacional de Proteção de Dados (ANPD): Órgão responsável pela fiscalização do cumprimento das disposições da LGPD no território brasileiro.
- Controlador: Parte a quem competem as decisões referentes ao Tratamento de Dados Pessoais, especialmente relativas às finalidades e aos meios de tratamento.
- Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o Controlador, os Titulares e a Autoridade Nacional de Proteção de Dados (ANPD).
- Operador: Parte que trata dados pessoais de acordo com as instruções do controlador.
- Titular: Pessoa natural cujos dados pessoais que são objeto de tratamento.
Adicionalmente, as informações passíveis de coleta se subdividem em dois grupos, sendo o primeiro deles os dados pessoais relacionados a pessoa natural, como, por exemplo, nome, CPF, RG, endereço residencial ou comercial, número de telefone fixo ou móvel, endereço de e-mail, dentre outros, e, em segundo, os dados pessoais sensíveis, como, por exemplo, origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
2. Adequação:
Para adequar-se a LGPD, as empresas devem seguir os seguintes itens, os quais encontram-se dispostos no site www.lgpdbrasil.com.br:
- Mapeamento de dados pessoais: Identificação dos dados (pessoal, sensível, criança, público, anonimizado), departamentos, meios (físico ou digital), operadores internos e externos para mensuração de exposição da empresa à LGPD.
- Plano de adequação: Aderência das 20 atividades de tratamento (art. 5º, X) de dados (coleta, controle, eliminação) aos princípios gerais previstos no art. 6º da LGPD, mediante revisão e criação de documentos (contratos, termos, políticas) para uso interno e externo.
- Gestão de consentimento e anonimização: Gestão do consentimento para os tratamentos feitos de acordo com essa base legal e da anonimização, em caso de solicitação de titulares e da ANPD.
- Gestão dos pedidos do titular: Gestão do consentimento para o tratamento e da anonimização, em caso de solicitação de titulares e da ANPD.
- Relatório de impacto: Atendimento à ANPD, que poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais.
- Segurança dos dados: Adoção das medidas de segurança da informação aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
- Governança do tratamento: Criação de regras de boas práticas e de governança que estabeleçam procedimentos, normas de segurança, ações educativas e mitigação de riscos no tratamento de dados pessoais.
- Plano de comunicação no caso de incidentes: Comunicação aos órgãos fiscalizatórios (ANPD, Procon, Senacon) e aos titulares de dados afetados pelo incidente de segurança que acarrete risco ou dano.
- Canal de atendimento: Determinar um canal de comunicação por onde os titulares de dados podem solicitar o exercício de seus direitos ao Controlador.
- Treinamentos: Treinar colaboradores para estarem cientes da importância da LGPD e os impactos no dia a dia das operações.
- Data Protection Office: Identificação do encarregado (Pessoa Física ou Jurídica) e sua capacitação para exercer as atividades previstas na LGPD.
- Revisão de contratos: Revisão de contratos para inclusão de cláusula de proteção de dados que formaliza o tratamento de dados entre as partes.
3. DPO (Data Protection Office):
Acerca da figura do DPO, trata-se de profissional ou empresa terceirizada, encarregado de todas as questões relativas à proteção dos dados, tanto da empresa quanto de seus clientes, apresentando, consequentemente, as seguintes funções:
(i) Auxiliar a empresa na adaptação dos seus processos internos para estruturar um programa de compliance voltado para a segurança dos dados que estão sob a sua guarda.
(ii) Ter conhecimento sobre a legislação atual de segurança da informação (nacional e internacional).
(iii) Determinar e monitorar a correta coleta e armazenamento dos dados, junto à área de TI da empresa.
(iv) Monitorar a retirada de dados, quando solicitadas pelo titular.
(v) Comunicar aos titulares qualquer situação de vazamento de dados, no menor tempo possível.
(vi) Divulgar e orientar a empresa e seus respectivos funcionários acerca dos recursos, riscos e providências necessárias para o cumprimento legal.
4. Conclusão:
Diante de todo o exposto, o ideal é que as empresas realizem a coleta somente dos dados essenciais para a sua atividade, sempre informando com clareza a finalidade do uso, bem como obtendo prévio e expresso consentimento do titular dos dados.
Isso porque as informações coletadas são sigilosas e de caráter sensível, de modo que, para o tratamento e armazenamento destes, as empresas devem adotar medidas técnicas e organizacionais de segurança que garantam a inviolabilidade, a confidencialidade, a disponibilidade e a integridade dos dados pessoais, dispondo de processos, controles e políticas de segurança e governança apropriados, conforme elencado acima.