Em menos de dois meses, entra em vigor a Lei Geral de Proteção de Dados Pessoais, até lá, toda e qualquer empresa, seja de caráter público ou privado, que faça tratamento de dados pessoais em território nacional e de indivíduos localizados no Brasil, deverá estar enquadrada na legislação.
Essa lei vem para resolver um problema que se tornou muito comum, principalmente em tempos de grande avanço tecnológico: o abuso no uso de dados. É importante salientar que ela não se restringe apenas ao ambiente digital, mas ao físico também, garantindo que os dados estejam assegurados por meios de medidas técnicas e jurídicas.
Lembrando aqui que tratamento de dados é toda operação realizada com dados pessoais, referente a: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, transferência, difusão ou extração.
Segundo a LGPD, esse tratamento precisa ter um resultado único, específico e legítimo. Além disso, o titular (pessoa a quem se referem os dados) deve ter livre acesso a eles, de forma gratuita e ágil.
O que são dados pessoais?
São dados que tornam possível de identificar ou que seja identificável de alguma pessoa, como por exemplo: nome; RG; CPF; CNH; Geolocalização (GPS); hábitos de consumo, exames médicos, biometria, perfil cultural, entre outros.
Os dados também podem ganhar uma classificação que demanda ainda mais proteção, é o caso dos dados sensíveis. Seriam aqueles que podem causar uma discriminação de alguém, como orientação sexual, origem racial, religião, dados genéticos, opinião política, etc.
Também há o conceito de dado anonimizado, o que era relativo a alguém, mas que se desvinculou da pessoa depois de certas etapas. Nesse caso, a LGPD não se aplica.
Como a LGPD atua?
A Lei Geral de Proteção de Dados Pessoais não proíbe o tratamento de dados, mas determina como as empresas deverão realiza-lo, por meio de parâmetros estabelecidos para a COLETA, ARMAZENAMENTO E DESTRUIÇÃO, evitando seu mau uso e conferindo a responsabilidade por incidentes de segurança à empresa.
Com isso, ela passa a garantir ao titular:
- Proteção à privacidade;
- Liberdade de expressão, informação, comunicação e opinião;
- Inviolabilidade da intimidade, honra e da imagem;
- Desenvolvimento econômico, tecnológico e inovação;
- Livre iniciativa, livre concorrência e a defesa do consumidor;
- Direitos humanos, livre desenvolvimento de personalidade, dignidade e exercício da cidadania.
A lei também determina alguns agentes de tratamento, ou seja, pessoa natural ou jurídica, de direito público ou privado, que responderá sobre qualquer incidente e garantirá ao titular a exatidão, clareza, relevância e atualização dos dados.
Controlador: responsável pela tomada de decisões sobre como os dados devem ser tratados;
Operador: realizará o tratamento de dados em nome do controlador.
A LGPD também prevê a criação do cargo de Encarregado / DPO (Data Protection Officer), que é quem fará a comunicação entre o titular e o controlador. Será responsável por receber reclamações, orientar e esclarecer, por meio de um contato simples e de fácil acesso.
Será direito do titular confirmar a existência de tratamento de seus dados pessoais, bem como o acesso, a correção, a anonimização, seu bloqueio ou exclusão, transferência, obtenção de informações sobre compartilhamento dos dados e a revogação do consentimento.
Como faço para me encaixar dentro da lei:
Ficará a cargo da empresa fornecer meios que deixem claro a concessão para a coleta. Isso pode estar apontado dentro da política de privacidade ou em termos de uso.
Para estar em conformidade com a lei, as empresas deverão providenciar um relatório de impacto à proteção de dados pessoais. Esse relatório, definido como a documentação do controlador, tem o objetivo de mitigar os riscos, por isso, deverá ser realizado antes do tratamento dos dados. Nele, deverá ser descrito os tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações, bem como a análise do controlador com relação às medidas e mecanismos adotados para a redução de riscos.
É importante que a empresa siga um cronograma para ter uma base de trabalho efetiva, iniciando com a conscientização, o mapeamento dos fluxos, plano de ação e adequações técnicas e medidas jurídicas.
E se houver um incidente?
Em caso de algum incidente de segurança, como um vazamento de dados, por exemplo, o controlador deverá informar à autoridade nacional e ao titular, em prazo razoável, determinado pela autoridade, mencionando:
- Descrição da natureza dos dados afetados;
- Informações sobre os titulares envolvidos;
- Indicação de medidas técnicas de segurança utilizadas;
- Riscos relacionados ao incidente;
- Os motivos na demora da comunicação, caso não tenha sido imediata;
- E as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Utilizo o software WOTY, os dados que minha empresa gerencia estão seguros?
Essa deve ser uma das perguntas mais comuns para quem faz uso de um software e a boa notícia é que sim, O WOTY esta 100% em conformidade com a LGPD. Por esse motivo estão seguros. Os dados tratados dentro do WOTY são todos criptografados, garantindo sua total proteção. Além disso, a estrutura do software é baseada e permissões de telas. Isso significa que você pode dizer se um usuário poderá ter acesso a uma determinada informação ou não.