Lei Geral de Proteção de Dados – Lei 13.709 de agosto de 2018

Em 65 artigos divididos em 10 capítulos, a redação da lei determina a maneira como as informações disponibilizadas por indivíduos, e caracterizadas como dados pessoais, devem ser tratadas por companhias.

As principais mudanças dizem respeito à necessidade de adaptação da estrutura funcional e operacional da empresa, que terá de rever seus processos internos que tenham o fluxo de informações pessoais e gerar as adaptações necessárias, uma vez que a lei estabelece que a obtenção de dados pessoais deve ser expressamente autorizada pelos respectivos titulares.

O cidadão que estiver sendo cadastrado com informações pessoais, em qualquer sistema, deve ter plena ciência da finalidade do uso dos dados, precisa saber claramente quem é o controlador, como entrar em contato com o controlador, por quanto tempo os dados serão usados, quais as responsabilidades dos agentes que estão usando esses dados e para quem o controlador irá compartilhar as informações. Se esses pontos não ficarem claros no momento da autorização, poderá acarretar denúncia.

Para isso é necessário que a empresa organize um sistema de mapeamento com base de dados para conseguir armazená-los corretamente. O titular dos dados poderá solicitar, a qualquer momento, o acesso a suas informações ou, até mesmo, pedir para que elas sejam excluídas.

Além do mais, os titulares dos dados poderão corrigir erros, inexatidão ou desatualizações que possam lhes gerar prejuízos. O responsável pelo tratamento deverá informar a correção imediatamente aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados. Também, prevê o direito de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.

Quanto à portabilidade dos dados para outro fornecedor de serviço ou produto, só poderá ocorrer mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comerciais e industriais.

Todos os dados da pessoa natural estão protegidos, tais como RG, estado civil, CPF, endereço, e-mail, entre outros. A norma, ainda, cria os chamados dados pessoais sensíveis, merecedores de uma maior proteção por aqueles que os colhem,  armazenam, tratam e excluem, consistentes nas convicções religiosa, política e filosófica, opção sexual, origens racial e étnica, dados relativos à saúde e à vida, dados genéticos ou biomédicos, bem como a filiação a sindicatos.

O monitoramento dos riscos e da fragilidade do sistema deve ser constante para evitar possíveis vazamentos de dados pessoais, sendo necessário um plano de comunicação e um plano de contingência para conter possíveis incidentes. Essas medidas poderão ajudar a minimizar a pesada multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50 milhões por infração.

Quando ficar caracterizado o desrespeito às diretrizes estabelecidas, primeiramente será enviada uma advertência, para que a empresa fique ciente da situação e tenha tempo de corrigir os problemas, podendo o banco de dados ficar suspenso, como também o exercício de atividades relacionadas a tratamento de dados, pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador. Nesse prazo, as medidas corretivas devem ser adotadas, para evitar que mais processos judiciais sejam aplicados. Caso as medidas indicadas não sejam realizadas, será aplicada multa. Se, ainda, o valor não for pago, será cobrada uma taxa diária que irá se somar à multa.

Após a denúncia de vazamento ser investigada e confirmada, haverá a publicização da infração, o que pode ser muito danoso, em razão da quebra da confiança nos mecanismos de segurança. Depois disso, os dados pessoais dos envolvidos serão bloqueados até a sua regularização. Em último estágio é possível a eliminação completa dos dados pessoais envolvidos na infração.

A lei prevê três profissionais diretamente responsáveis pelo processamento de dados e sua proteção: controlador, operador e encarregado. O controlador será responsável pelas instruções e orientações operacionais, por tomar as decisões sobre a atividade de tratamento e por definir processos e dados necessários a serem coletados e tratados. A ele também cabe a função de gerar o relatório de impacto à proteção de dados pessoais, que será exigido pela ANPD. Já o operador processará o tratamento de dados segundo as instruções do controlador. E o encarregado terá o vínculo com os proprietários dos dados e com a ANPD, além da atribuição da relação com os colaboradores da empresa no sentido de orientá-los na condução operacional dos dados.

Deixe um comentário

O seu endereço de e-mail não será publicado.