O que a sua empresa precisa saber sobre a LGPD?
A Lei nº 13.709/2018 é uma legislação brasileira que regula atividades de tratamento de dados pessoais e que também altera os artigos 7º e 16º do Marco Civil da Internet. Chamada de LGPD (Lei Geral de Proteção de Dados Pessoais), ela tornou o Brasil um dos países que contam com legislação específica para proteção de dados e privacidade de seus cidadãos.
Mas, o que você e sua empresa precisam saber a respeito da LGPD?
Para explicar alguns conceitos, a Comunicação Teorema Sistemas conversou com um especialista, o integrante da equipe Tahech Advogados, de Guarapuava (PR), o advogado Rodrigo Borges de Lis (OAB/PR 53.700). Ele é membro da ANPPD (Associação Nacional dos Profissionais de Proteção de Dados).
De acordo com o Dr. Rodrigo, a legislação se fundamenta em diversos valores, como o respeito à privacidade; à autodeterminação informativa; à liberdade de expressão, de informação, comunicação e de opinião; à inviolabilidade da intimidade, da honra e da imagem; ao desenvolvimento econômico e tecnológico e a inovação; à livre iniciativa, livre concorrência e defesa do consumidor e aos direitos humanos de liberdade e dignidade das pessoas.
“A LGPD cria um conjunto de novos conceitos jurídicos que estabelece as condições nas quais os dados pessoais podem ser tratados, define um conjunto de direitos para os titulares dos dados, gera obrigações específicas para os controladores dos dados e cria uma série de procedimentos e normas para que haja maior cuidado com o tratamento de dados pessoais e compartilhamento com terceiros”, explicou o advogado.
Confira a seguir tópicos importantes da entrevista.
Agentes de Tratamento de Dados Pessoais
De acordo com o artigo 5º, IX, da LGPD, os agentes de tratamento são o controlador e o operador. A diferença que há entre ambos é que o controlador recepciona os dados pessoais dos titulares de dados por meio do consentimento ou por hipóteses de exceção, e a ele competem as decisões quanto ao processamento de dados.
Por sua vez, o operador fará o tratamento em nome do controlador, isto é, vai realizar tratamento em virtude de contrato, segundo as instruções fornecidas pelo controlador, por exemplo, ou de obrigação legal. Consequentemente, a figura do responsável pelo tratamento de dados pessoais pode não ser representada por um único agente, já que ambos podem estar envolvidos no processamento, em conjunto. Considera-se que, desse modo, a Lei Geral de Proteção de Dados Pessoais adotou conceitos amplos para a designação do agente de tratamento, ao mesmo tempo em que impõe o maior peso jurídico ao controlador.
Dados on-line X dados off-line
Não somente os dados eletrônicos são objeto da Lei, os demais dados de forma física (em papel) estão sob a égide da legislação. A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenha como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente destes dados pessoais terem sido coletados off-line ou on-line, em meios físicos ou digitais.
Adequações necessárias às empresas
A primeira adequação passa pela sensibilização e treinamento dos colaboradores, a realização de diagnóstico por equipe ou pessoa especializada, a implementação do compliance por meio de uma comissão de implementação para adequação da TI (Tecnologia da Informação) e da questão jurídica e a contratação de um DPO (guardião dos dados), que poderá ser interno ou contratado de forma terceirizada.
Papel do controlador diante de vazamentos
Controlador é toda pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Sendo o controlador o responsável pelas decisões a respeito do tratamento de dados, um dos seus deveres é a elaboração de relatório de impacto à proteção de dados pessoais, que é documentação que deverá conter a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
A LGPD determina que o controlador deverá comunicar tanto ao titular quanto à ANPD (Autoridade Nacional de Proteção de Dados) sobre a ocorrência de algum incidente de segurança, que venha a resultar em um risco ao titular. Assim, caberá ao controlador implementar procedimentos ou práticas para gerir incidentes materializados e notificar brechas de segurança e vazamentos de dados.
Comentários