Outubro/2021
A Lei nº 13.979/2020 – Lei Geral de Proteção de Dados (LGPD) em vigor desde agosto de 2020 e com sanções previstas a partir de agosto/2021, dispõe sobre o tratamento de dados pessoais, inclusive por meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, e tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade bem como o livre desenvolvimento da personalidade da pessoa natural.
Considera-se como Titular do dado a pessoa natural a quem se referem os dados pessoais identificados ou identificáveis que são objeto de tratamento.
Mas o que é considerado tratamento de dados pela LGPD?
É considerado tratamento de dados, no âmbito da LGPD, todas as operações realizadas com dados pessoais como: Coleta, Produção, Recepção, Classificação, Utilização, Acesso, Reprodução, Transmissão, Distribuição, Processamento, Arquivamento, Armazenamento, Eliminação, Avaliação ou controle da informação, Modificação, Comunicação, Transferência, Difusão, Extração.
Ainda segundo a LGPD, as atividades de tratamento de dados pessoais deverão observar a boa-fé em atendimento aos seguintes princípios:
Finalidade na realização do tratamento do dado com propósitos legítimos, específicos, explícitos e informados ao titular;
Adequação, ou seja, a compatibilidade do tratamento com as finalidades informadas ao titular e em consonância com o contexto;
Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos;
Livre acesso do titular que poderá consultar, alterar de forma gratuita e acompanhar a duração do tratamento e integridade dos seus dados;
Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados;
Transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes;
Segurança, garantia de utilização de medidas pertinentes que protejam os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Para fins de entendimento, a LGPD define os seguintes atores:
Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Encarregado: Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Por ser um tema multidisciplinar: Legal, Técnico e Organizacional os seguintes aspectos devem ser considerados para a efetiva implantação do Programa de Privacidade de Dados: cultura organizacional, comunicação, treinamentos contínuos, Tecnologia (Sistemas, Infraestrutura, Segurança), revisões de processos, entendimento legal, revisões contratuais.
A utilização de ferramentas como o RoPA (Record of Data Processing Activities) que auxiliará no mapeamento de todos os dados pessoais e seu respectivo ciclo de vida, ou seja, desde a sua coleta até a sua eliminação bem como a base legal para o seu tratamento juntamente com o LIA (Legitimate Interest Assessment) que abordará de maneira detalhada as justificativas legais que sustentam a necessidade do tratamento do dado, serão a base para a construção do DPIA (Data Protection Impact Assessment), um guia prático que abordará os riscos de impacto à proteção dos dados pessoais bem como o plano de ação para mitigá-los a ser priorizado e executado.
Importante considerar ainda que as ações relacionadas ao tema não são estanques, ao contrário, são contínuas demandando revisões constantes além da implantação da cultura Privacy by Designer, ou seja, o Programa de Privacidade de Dados deverá ser considerado desde a concepção de novos serviços e produtos, promovendo de maneira prioritária todos os preceitos previstos na LGPD, sempre que algum produto ou serviço for lançado ou alterado.
A LGPD deve ser vista como uma grande oportunidade de obter vantagem competitiva, revisitar processos, promover melhorias contínuas tendo como principal e nobre objetivo a proteção dos direitos fundamentais de liberdade e de privacidade das pessoas.
Fonte: L13709 (planalto.gov.br)
Luciene Peraro Diretora de TI Tecnologia da Informação