Assim como aconteceu com a GDPR (Regulamento Geral de Proteção de Dados da União Europeia, em inglês) na Europa, agora é a hora das empresas brasileiras prestarem atenção e também cuidarem dos dados pessoais de acordo com a LGPD (Lei Geral de Proteção de Dados).

Sejam de clientes ou de funcionários, a nova lei exige que qualquer tratamento de dados de pessoa física siga determinadas regras, sob pena de multas na ordem de 2% do faturamento da empresa (podendo chegar a 50 milhões de reais) e da possibilidade de obrigação de exclusão dos bancos de dados ou suspensão das atividades.

Está nesse grupo que vai precisar se adequar às novas regras do LGPD?

Então confira todos os itens que deve considerar para estar preparado!

Entenda Melhor a LGPD

Essas são as definições mais importantes que você precisa conhecer:

DADO PESSOAL: é toda e qualquer informação relacionada à pessoa natural (física) identificada ou identificável. Ou seja, o conceito abrange informações pessoais diretas, como nome, RG, CPF e endereço, bem como indiretas, como dados de geolocalização de dispositivo móvel, cookies, endereços IP e demais identificadores eletrônicos. Isso porque essas informações indiretas podem ser utilizadas para o monitoramento do comportamento, definição de perfis e, como resultado, identificação das pessoas a quem se referem.

DADOS SENSÍVEIS: são aqueles que envolvem informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político dos seus titulares. Também são sensíveis os dados referentes à saúde ou à vida sexual e os dados genéticos ou biométricos. Esses dados mereceram uma proteção mais rigorosa. Como resultado, o tratamento de dados sensíveis demanda, via de regra, o consentimento específico e destacado dos titulares de dados – separado das demais cláusulas contratuais, portanto. Há situações, todavia, em que os dados sensíveis podem ser tratados sem a necessidade do consentimento do titular.

É o caso, por exemplo, do cumprimento de obrigação legal ou regulatória pelo controlador (a pessoa física ou jurídica responsável pelas decisões sobre o tratamento de dados pessoais), da tutela da saúde por profissionais da área de saúde ou por entidades sanitárias, da proteção da vida ou da incolumidade física do titular e da realização de estudos por órgãos de pesquisa (desde que assegurem a anonimização dos dados pessoais, se isso for possível).

DADOS ANONIMIZADOS: são aqueles que não permitem a identificação, direta ou indireta, de seu titular e, portanto, estão fora do escopo de proteção da LGPD. Contudo, se o processo de anonimização de dados puder ser revertido, seja por meios próprios do controlador, ou mediante esforços razoáveis, a LGPD será sim aplicável.

TRATAMENTO DE DADOS: toda operação que utiliza informações pessoais, incluindo a coleta, classificação, reprodução, transmissão e armazenamento. Para efeitos legais, qualquer empresa ou pessoa física que faça tratamento de dados deve observar as orientações da Lei Geral de Proteção de Dados e se adequar a ela.

USO COMPARTILHADO DE DADOS:é o compartilhamento de informações pessoais por duas ou mais empresas, órgãos ou pessoas.

É legal se tiver como finalidade o cumprimento de suas competências legais e se houver autorização específica. Caso o compartilhamento de dados sensíveis esteja ligado a vantagens econômicas, poderá ser objeto de vedação e sanções legais. E isso deve valer para entidades públicas e privadas.

O titular tem o direito de saber se os dados pessoais que compartilhou com uma empresa estão sendo compartilhados com outras companhias e qual a finalidade da partilha.

Informação e Transparência: o centro da LGPD

A LGPD concede ao titular de dados pessoais o direito de obter informações claras, adequadas e ostensivas a respeito do tratamento de seus dados. A lei dispõe, por exemplo, que deverão ser comunicados ao titular:

» A finalidade específica do tratamento de seus dados; » A forma e a duração do tratamento;

» A identificação e as informações de contato do controlador;

» As finalidades e os destinatários do compartilhamento de dados pelo controlador;

» As responsabilidades das pessoas físicas e jurídicas responsáveis pelo tratamento;

» Os direitos dos titulares; e

» Quando aplicável, a possibilidade de o titular não fornecer o consentimento para o tratamento de seus dados e as consequências de sua recusa.

Ponto Sensível:As informações sobre o tratamento de dados pessoais devem ser claras, objetivas, facilmente compreensíveis e acessíveis ao titular durante todo o período em que o tratamento ocorre. Cláusulas de autorização genéricas para tratamento de dados pessoais serão consideradas nulas!

Passo-a-Passo para implementar a LGPD

» MAPEAMENTO DA ORGANIZAÇÃO;

» ENTENDIMENTO DA LGPD;

» DEFINIÇÃO DA EQUIPE DE PROTEÇÃO DE DADOS;

» CRIAÇÃO DO PROGRAMA DE COMPLIANCE DE PROTEÇÃO DE DADOS (PCPD);

» IMPLEMENTAÇÃO DO PCPD;

» FISCALIZAÇÃO E MONITORAMENTO.

É importante manter-se sempre atualizado com relação às atuais e futuras exigências legais e procurar sempre o suporte de profissionais habilitados para usar uma metodologia eficiente, focada em segurança e credibilidade, para que sua empresa não somente evite as penalidades legais, mas permaneça atualizada e protegida.

Dada à extensão do tema, é importante ainda que você, empresário, dê atenção não apenas às questões jurídico-documentais, mas também às questões tecnológicas e a conformidade à norma internacional para Gerenciamento de Segurança da Informação (ISO/IEC 27001).

Quer saber mais sobre como proteger sua empresa e implementar um Sistema de Gestão da Segurança da Informação? Deixe um comentário abaixo, entre em contato comigo por email. ou pelo Whatsapp.