Mudanças trazidas pela LGPD
Rosana Gomes Mendes
A aplicação das regras impostas pela Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD ou LGPDP), vem trazendo inúmeras mudanças ao ambiente empresarial. Sancionada em agosto de 2018, a legislação regulamenta a proteção de dados pessoais no Brasil.
A crescente transformação digital das empresas e a aplicação do marco regulatório nacional e internacional em relação à proteção e à privacidade dos dados proporcionaram a oportunidade do posicionamento de um novo profissional no mercado, chamado de Data Protection Officer (DPO), cuja função principal é garantir que uma empresa processe os dados pessoais de sua equipe, clientes, provedores ou quaisquer outros indivíduos (também chamados de titulares dos dados), em conformidade com as regras de proteção de dados aplicáveis, como o GDPR e a LGPD.
Somente lembrando, a LGPD visa proteger os cidadãos brasileiros do uso indevido de seus dados, regulando a forma de tratamento dos mesmos pelas organizações para fins comerciais e também pelo governo. Tratar dados é armazenar, coletar, padronizar, pesquisar, modificar, melhorar, mascarar ou até mesmo excluir.
Está sujeita às regras atuais toda informação coletada, seja por empresas ou não, em especial nos meios digitais, onde hoje se encontram difusas, como dados pessoais concedidos em cadastros, ou mesmo textos e fotos publicados em redes sociais. Para coletar e tratar um dado, a empresa precisa solicitar o consentimento do titular. Essa autorização deve ser solicitada de forma clara, em cláusula específica e nunca de maneira genérica. Caso a empresa colete um dado com um propósito e mude sua finalidade, deve obter novo consentimento e a permissão pode ser revogada a qualquer momento.
Além disso, as empresas devem adotar medidas de segurança para proteger os dados pessoais de acessos não autorizados e de “situações acidentais ou ilícitas” de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O responsável pela gestão dos dados deverá comunicar casos de “incidente de segurança”, como vazamentos, que possam trazer risco ou dano ao titular das informações.
O titular poderá solicitar acesso às informações que a empresa tem dele, incluindo a finalidade, a forma, se houve uso compartilhado dessas informações e com qual finalidade. Também é possível requisitar a correção de um dado incompleto, a eliminação de registros desnecessários ou excessivos e a portabilidade para outro provedor de serviço.
Considerando o impacto e as consequências que a nova lei está trazendo às pessoas físicas e jurídicas, as empresas devem buscar adaptar-se rapidamente às novas regras, visando a revisão e/ou implementação de políticas, processos e procedimentos necessários ao cumprimento da atual legislação.
Rosana Gomes Mendes é advogada do escritório Murray – Advogados, de São Paulo.