Hoje, dia 28 de janeiro, é celebrado o Dia Internacional da Proteção de Dados. A data é comemorada globalmente e é uma oportunidade de construir na sociedade uma cultura de proteção de dados.
No Brasil, este é o segundo ano em que a data é celebrada. Como reforça a Autoridade Nacional de Proteção de Dados (ANPD) em vídeo publicado sobre o tema, a celebração da data veio em um momento em que vivemos a plena vigência da Lei Geral de Proteção de Dados Pessoais (LGPD) com a atuação da ANPD.
A Lei Geral de Proteção de Dados (LGPD)
Com o objetivo de regulamentar o tratamento dos dados pessoais no Brasil, entrou em vigor, em 18 de setembro de 2020, a Lei 13.709/18, conhecida como Lei Geral de Proteção de Dados (LGPD). De conteúdo inovador, a Lei afeta todos os setores e serviços responsáveis por bases de dados, sejam pessoas físicas, sejam pessoas jurídicas públicas ou privadas. A finalidade é unificar as regras sobre o tratamento de dados pessoais e facilitar a fiscalização contra abusos na utilização desses dados.
Para isso, a LGPD prevê que as empresas, entidades e órgãos públicos garantam a segurança dos dados pessoais coletados e tratados. As sanções para quem desrespeitar os princípios da Lei estão sendo aplicadas desde agosto de 2021 pela Autoridade Nacional de Proteção de Dados (ANPD), que tem papel regulador e fiscalizador e estabelece as penalidades, de acordo com a gravidade das falhas.
Na prática, a LGPD estabelece que o titular do dado terá que ser informado sobre as finalidades para as quais as suas informações pessoais serão utilizadas. Ressalvadas as hipóteses legais de tratamento de dados, em que a coleta pode ocorrer independentemente do consentimento, o titular dos dados poderá consentir ou não com o tratamento dos seus dados. A Lei também permite ao titular a revogação, a qualquer momento, do consentimento para o uso de seus dados. Em determinados casos, ele poderá solicitar até mesmo a eliminação dos dados.
As empresas, por sua vez, não poderão mais coletar e utilizar dados pessoais indiscriminadamente. Elas deverão respeitar a finalidade e garantir a segurança, confidencialidade e integridade dos dados, inclusive notificando o titular caso haja algum incidente de segurança. Além disso, terão que adequar os processos de coleta e tratamento de dados pessoais às exigências da LGPD, de forma a reforçar a segurança das informações e a privacidade dos titulares.
A proteção de dados é nossa responsabilidade
No dia a dia, ao lidarmos com dados pessoais em meio virtual (digital, eletrônico) ou físico de clientes (participantes/assistidos), fornecedores ou funcionários, entre outros, nós – enquanto colaboradores e colaboradoras – somos responsáveis por tratar de forma segura esses dados pessoais.
Assim, além da necessária adequação à legislação, é de extrema importância a cultura de proteção de dados, adotando como rotina medidas de prevenção a ocorrência de danos e violação às normas de proteção de dados.
Alguns de nossos deveres
Sabendo que somos responsáveis por garantir a segurança dos dados pessoais com os quais temos contato em nosso ambiente de trabalho, é importante conhecermos bem quais são exatamente os nossos deveres.
O Tribunal Regional Eleitoral de Minas Gerais – TRE-MG, compilou as obrigações do controlador dos dados pessoais. Confira algumas delas:
- Obter consentimento específico do titular para fim próprio quando houver, por parte do controlador, a necessidade de comunicar ou compartilhar dados pessoais com outros controladores, exceto em caso de o titular dos dados tê-los tornado manifestamente públicos. (Art. 7, § 4º e 5º)
- Provar que o consentimento foi obtido em conformidade com a Lei. (Art. 8º, §2º)
- Nas hipóteses em que o consentimento for requerido, se houver mudança da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade. Nesse momento, o titular poderá optar por renovar o consentimento ou revogá-lo. (Art. 9, §2º)
- Tratar somente dados pessoais estritamente necessários para a finalidade pretendida – quando o tratamento for baseado no legítimo interesse do controlador – e adotar medidas para garantir a transparência do tratamento baseado no legítimo interesse. (Art.10, caput, §1 e 2)
- Manter pública a informação sobre tratamento de dados pessoais de crianças e adolescentes tais com os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos dos titulares. (Art.14 §2º)
- Conservar dados pessoais não eliminados, quando encerrado o período de tratamento, para cumprimento de obrigação legal ou regulatória. Também poderá fazer uso exclusivo desses dados, desde que anonimizados, sendo seu acesso por terceiros expressamente vedado na Lei. (Art. 16 IV)
- Confirmar a existência ou providenciar o acesso a dados pessoais, mediante requisição do titular, em formato simplificado, imediatamente, ou por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contados da data do requerimento do titular. (Art. 19)
- Nas decisões automatizadas, o controlador deverá fornecer, sempre que solicitadas, as informações claras e adequadas a respeito dos critérios e procedimentos para a decisão automatizada, observados os segredos comercial e industrial. (Art. 20 §1º)
- Oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados na forma da LGPD, nos casos de transferência internacional de dados pessoais. (Art. 33)
- Manter registro das operações de tratamento de dados pessoais que realize, podendo a autoridade nacional determinar que seja elaborado relatório de impacto à proteção de dados (pessoais ou sensíveis) referente às suas operações. (Art. 37 e 38)
- O controlador deverá fornecer instruções para o operador (aquele que executa o tratamento dos dados) realizar o tratamento de dados pessoais, devendo o operador verificar a observância das próprias instruções e normas sobre a matéria. (Art.39)
- Indicar o encarregado pelo tratamento dos dados pessoais, divulgando publicamente, de forma clara e objetiva, preferencialmente no seu sítio eletrônico, a identidade do encarregado e suas informações de contato. (Art. 23 e Art. 41)
- Reparar, solidariamente com o operador ou não, se, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação ou descumprimento à legislação de proteção de dados. (Art. 42)
- Adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou lícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (Art.46)
- Comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. (Art. 48)
- Pode formular regras de boas práticas e de governança que estipulem condições de organização, procedimentos, normas de segurança, padrões técnicos, obrigações específicas, mecanismos internos de supervisão e mitigação de riscos, bem como outros aspectos relacionados ao tratamento de dados pessoais, desde que respeitadas suas competências. (Art. 50)
Vale ressaltar que, embora os deveres acima sejam elencados como sendo do controlador, também é dever dos operadores assegurar a execução do tratamento dos dados pessoais em conformidade com as diretrizes orientadas pelo controlador.
Ainda tem dúvidas sobre os deveres de quem guarda e trata os dados pessoais de uma pessoa ou empresa? Entre em contato com o Grupo LGPD da Previdência Usiminas!
Fontes: Portal da ANPD e portal do TRE-MG, Guia Referencial da Lei Geral de Proteção de Dados para Entidades Fechadas de Previdência Complementar elaborado pela Abrapp.
