A Lei de Proteção de Dados Pessoais completa 9 meses
A Lei nº 13.709/2018, sancionada em agosto de 2018, completa neste mês de maio, 9 meses em vigor no país. A aplicação das regras impostas pela LGPD, que passou a regulamentar a proteção de dados pessoais no Brasil, vem trazendo inúmeras mudanças ao ambiente empresarial. A crescente transformação digital das empresas e a aplicação do marco regulatório nacional e internacional em relação à proteção e à privacidade dos dados proporcionaram a oportunidade do posicionamento de um novo profissional no mercado, chamado de DPO - Data Protection Officer, cuja função principal é garantir que uma empresa processe os dados pessoais de sua equipe, clientes, provedores ou quaisquer outros indivíduos (também chamados de titulares dos dados) em conformidade com as regras de proteção de dados aplicáveis, como o GDPR e a lei nacional de proteção dos dados pessoais (LGPD).
O conhecimento da legislação e a consciência corporativa em seus diversos níveis, do estratégico ao operacional, são mandatórios dentro da organização. Somente assim a mudança de cultura e processos requerida poderá ser efetivada. Os componentes essenciais para a implementação do programa de governança de dados de acordo com a LGDP devem ser baseados no entendimento das novas regras e de sua propagação. Faz-se necessário identificar e catalogar todo o ativo de dados de pessoas armazenados na empresa, bem como apontar e analisar cada processo de tratamento de dados, formalizando cada um deles com seus riscos e visando estabelecer uma política corporativa a ser implantada e monitorada.
Somente lembrando a LGPD visa proteger os cidadãos brasileiros do uso indevido de seus dados, regulando a forma de tratamento dos mesmos pelas organizações para fins comerciais e também pelo governo. Tratar dados é armazenar, coletar, padronizar, pesquisar, modificar, melhorar, mascarar ou ate mesmo excluir. O tratamento dos dados deve ser feito de forma integral seguindo princípios que protegem o titular desses dados. Tais princípios buscam evitar abuso e má fé e ao mesmo tempo trazem oportunidade de melhor relacionamento com as pessoas acerca da organização, sejam clientes, prospects, funcionários, parceiros ou fornecedores.
Está sujeita às regras atuais toda informação coletada, seja por empresas ou não, em especial nos meios digitais, onde hoje encontram-se difusas, como dados pessoais concedidos em cadastros, ou mesmo textos e fotos publicados em redes sociais. Para coletar e tratar um dado, a empresa precisa solicitar o consentimento do titular. Essa autorização deve ser solicitada de forma clara, em cláusula específica e nunca de maneira genérica. Caso a empresa colete um dado com um propósito e mude sua finalidade, deve obter novo consentimento e a permissão pode ser revogada a qualquer momento.
Além disso, as empresas devem adotar medidas de segurança para proteger os dados pessoais de acessos não autorizados e de "situações acidentais ou ilícitas" de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O responsável pela gestão dos dados deverá comunicar casos de "incidente de segurança", como vazamentos, que possam trazer risco ou dano ao titular das informações.
Considerando o impacto e as consequências que a nova Lei está trazendo às pessoas físicas e jurídicas, as empresas devem buscar adaptar-se rapidamente às novas regras, visando a revisão e/ou implementação de políticas, processos e procedimentos necessários ao cumprimento da atual legislação.