Notícias locais
24 de setembro de 2018Empresas devem se preparar para atender às normas da nova Lei Geral de Proteção de Dados
As empresas brasileiras terão até fevereiro de 2020 para ajustar seus procedimentos e se adaptar às normas previstas pela Lei Geral de Proteção de Dados (LGPD). Para atender à legislação que define as normas sobre o tratamento de dados pessoais e estabelece obrigações para garantir a privacidade e segurança dos cidadãos, é preciso que os empresários revejam seus procedimentos internos e rotinas de trabalho e avaliem todo o fluxo de dados tratados – desde a identificação dos canais de coleta até a forma de tratamento, armazenamento e registro do banco de dados.
De acordo com a Lei n.º 13.709/2018, para coletar e tratar um dado de natureza pessoal, é preciso haver o consentimento do titular, de forma clara, expressa e para uma finalidade específica que a justifique. A assessoria jurídica da Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP) recomenda a revisão dos termos de uso e políticas de privacidade das empresas. Alerta, ainda, que tais documentos devem conter de forma clara, adequada e ostensiva informações sobre a finalidade específica do tratamento, forma, duração e armazenamento de dados. É preciso esclarecer, também, quais as medidas de proteção adotadas pela empresa para garantir a privacidade aos titulares, identificação dos agentes de tratamento, regras sobre compartilhamento de dados, informações sobre os direitos do titular, inclusive sobre a possibilidade de não conceder ou revogar o consentimento e as consequências desses atos.
Outra exigência da nova legislação é o consentimento específico e destacado para determinadas ações de tratamento, como a coleta de dados de crianças e dos chamados dados sensíveis, tais como religião, orientação sexual, origem racial ou étnica, convicção religiosa e opinião política.
É importante estabelecer medidas técnicas e administrativas que garantam a segurança dos dados a fim de evitar a perda, destruição e vazamento de informações.
Vale lembrar ainda que, com a nova lei, os clientes terão direito de requerer a qualquer momento acesso às informações sobre os seus dados pessoais, bem como correção de dados incompletos, inexatos ou desatualizados, requerer a portabilidade, anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei.
A nova lei criou também a figura dos agentes de tratamento – o controlador e o operador, sendo o primeiro responsável pelas decisões referentes ao tratamento de dados pessoais, enquanto o segundo ficará incumbido de realizar o tratamento de dados em nome do controlador. O controlador deverá indicar um encarregado pelo tratamento, que vai atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados, órgão da administração pública que possivelmente ainda será criado pelo Governo Federal para fiscalizar o cumprimento da lei. Recomenda-se que as definições dos responsáveis e as atribuições de cada um sejam inseridas nos termos de uso e políticas de privacidade das empresas.
Caso a empresa identifique alguma ocorrência de vazamento ou potencial dano aos seus clientes, deverá comunicar imediatamente ao titular e à autoridade nacional, adotando as medidas possíveis para minimizar os prejuízos.
Visando conter os riscos, as empresas podem implementar programas de compliance/governança para estabelecer política de boas práticas relacionadas ao tratamento de dados e sistematicamente a atividade e os registros de tratamento de dados com relatórios que possam demonstrar possíveis impactos.
