jusbrasil.com.br
27 de Outubro de 2020

3 Situações que a sua empresa precisa saber para se adequar a Lei Geral de Proteção de Dados - Lei n° 13.709/2018

A Lei Geral de Proteção de Dados entrou em vigor no dia 18. 09. 2020, porém algumas empresas não se atentaram para a importância da Lei.

Flavia Jorge, Advogado
Publicado por Flavia Jorge
mês passado

A lei visa proteger os dados pessoais do titular, pessoas comuns, que ao se cadastrarem em um site de compras pela internet disponibiliza os seus dados pessoais. Em contrapartida, o profissional que pleiteia a candidatura em uma vaga de emprego, disponibiliza as suas informações a determinada organização por meio de currículo. Essas situações que as organizações terão que se ajustar e se adequar para que esses dados pessoais que são coletados iniciem e terminem seu ciclo, sem que haja desconformidade legal.

Nunca se viu tanta preocupação com aos dados pessoais disponibilizados e tratados no mundo online (internet) e no offline (arquivos físicos).

No entanto, o que se percebe são inúmeras promessas de sucesso à Lei Geral de Proteção de Dados, mas os pontos devem ser seguidos com cuidado.

Apresentarei três situações que sua empresa deve se atentar inicialmente, para começarmos para uma adequação mais severa.

1 – Finalidade da coleta de dados

As empresas ao coletarem os dados pessoais dos seus clientes devem esclarecer qual é a finalidade que os dados estão sendo solicitados.

A finalidade é um dos princípios, elencado no art. 6º, inciso I da LGPD, que diz:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

Além disso, quando a informação é coletada não pode utilizar para outro tipo de tratamentos, sem que sejam observadas as bases legais, conforme descrito no art. 7º da LGPD.

Ademais, com base neste princípio a utilização por exemplo de dados biométricos, coleta de CPF e fotografia para determinado cadastro, sem que haja um fim específico para colher tal informação deve ser explicada o objetivo atribuído, bem como respeitada as bases legais e os princípios da LGPD. Caso não haja justificativa para esse tipo de prática é melhor excluir o tipo de coleta ou tentar estudar uma base legal que se adéque melhor a coleta.

2 - Alinhamento do time que trabalha na empresa.

Todos os setores da empresa devem estar alinhados com o projeto de adequação da LGPD e cientes da importância em que os dados pessoais dos clientes deverão ser tratados.

Em uma situação hipotética: Sou aluno de uma academia de ginástica e não tenho o telefone do colega, mas sou amiga da recepcionista. Já sabem o fim dessa história.

O alinhamento é desde a porta de entrada dos dados pessoais até o alto executivo da empresa que utilizaria da sua posição dentro da empresa para conseguir informações sobre determinado cliente, para obter alguma vantagem sem se atentar a finalidade em que os dados foram coletadas, por conseguinte infringindo inclusive o princípio da boa fé dos contratos estabelecido no Código Civil, bem como na LGPD.

Ponto importante! A política de uso de equipamentos para backup de uso individual do empregado, como pen drive, utilização de nuvem pessoais para salvar informações sigilosas sem o conhecimento da organização, utilização de sites que ofereçam ou facilitem o desmembramento de arquivos, deve ser adotados como conscientização por meio de uma cartilha de boas práticas, por serem arquivos de informações que tem com o cunho empresarial e não pessoal.

Condutas, que não pertencem mais ao ambiente corporativo em virtude da chegada e vigência da LGPD.

Essas são questões práticas de serem resolvidas, criando uma política interna e treinamentos de conscientização para os diversos setores da empresa.

3 – O que deve ser feito é o mapeamento dos dados coletados.

Muito se discute pela realização de inventário dos dados pessoais o Data Mapping, mas o que seria isso?

Esse trabalho é deveras minucioso, pois essa é a fase principal da adequação, por ser o momento em que se realiza a rota em que os dados pessoais será feita dentro da organização (utilização, tratamento, transferência a terceiro, exclusão, anonimização).

O processo é constituído desde a entrada dos dados pessoais na empresa até o momento que não são utilizados, sendo posteriormente excluídos em caso de não ter a necessidade do uso. Já a anonimização é o meio pelo qual a empresa pode se utiliza das fontes dos dados, sem que haja em tempo algum a possibilidade de identificar quem é o titular dos dados pessoais.

O artigo 12 da LGPD descreve como seria o tratamento dos dados anonimizados:

Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

O processo de mapeamento engloba todas as áreas de uma empresa, vamos imaginar, um call center:

Dados do objeto empresarial:

- Dados existentes dos clientes da empresa pessoas física;

- Dados coletados em uma ligação;

- Sistema operacional que as informações estão salvas;

- Transferência de dados pessoais com terceiros via sistemas.

Dados pessoais dos Funcionários e os sistemas a eles aplicado:

- Dados pessoais de biometria decorrente do ponto eletrônico;

- Dados pessoais do plano de saúde;

- Dados pessoais dos familiares;

O exemplo citado acima, corresponde a um universo de informações, bem como sistemas aplicados para a coleta, transferência e compartilhamento, que devem ser observados de forma detalhada dentro do ambiente corporativo.

Nesse sentido, o corpo de funcionários para a adequação deve ser multidisciplinar para conseguir realizar o Data Mapping em conformidade com a legislação vigente. E realizar um fluxo, para quando houver alteração do em alguma parte do tratamento dos dados pessoais, ou até o vazamento dos dados pessoais, seria possível conseguir identificar onde está a falha ou que informações foram vazadas, por existir uma linha de fluxo.

A pessoa responsável por responder os clientes quando a empresa for indagada sobre como o tratamento dos dados pessoais ocorrem dentro da empresa é o encarregado (DPO), que também responde a ANPD - Autoridade Nacional de Proteção de Dados, caso haja vazamento dos dados pessoais oriundos de cibercrimes.

Conclusão:

Se você está atrasado em relação a conformidade com a legislação vigente é importante se pautar nos princípios, bases legais e no mapeamento dos dados pessoais.

Entenda que existe aplicação de multa, porém as sanções administrativas entrará em vigor em agosto de 2021 e precisará de alguns ajustes da ANPD, que está sendo formada a passos lentos em razão da urgência da autoridade.

Existe a alta complexidade para a aplicação da adequação em relação a legislação, mas sua empresa deve ficar atenta as boas práticas que estão sendo aplicados com os dados pessoais coletados.

E para mais informações, entre em contato com um advogado especialista na Lei Geral de Proteção de Dados.

0 Comentários

Faça um comentário construtivo para esse documento.

Não use muitas letras maiúsculas, isso denota "GRITAR" ;)