A Lei nº 13.709 de 2018, além de alterar a Lei nº 12.965 de 2014 (Marco Civil da Internet), estabelece o marco legal brasileiro de proteção e tratamento de dados de pessoas naturais. A lei passa a vigorar a partir de agosto de 2020, tendo eficácia plena em todo território nacional.

A Lei Geral de Proteção de Dados ou “LGPD” institui uma gama de obrigações e garantias para defender os direitos das pessoas relativos à intimidade, à privacidade e à personalidade, conforme previsto na Constituição Federal e leis federais como, por exemplo, o Código Civil e o Marco Civil da Internet.

A legislação traz inúmeras obrigações direcionadas às empresas e pessoas físicas que realizam o tratamento de dados de cidadãos no Brasil ou no exterior. A nova lei denomina a pessoa (física ou jurídica) que realiza operação com banco de dados de “operador” ou “controlador” (agentes de tratamento).

A lei deixa claro que somente com o consentimento expresso do titular os operadores ou controladores dos bancos de dados estarão autorizados a tratar ou compartilhar informações, sendo vedado o consentimento genérico – sem finalidade expressa – ou a obtenção da autorização mediante quaisquer subterfúgios para enganar o titular dos dados.

O consentimento para o tratamento de dados poderá ser revogado a qualquer tempo pelo titular por meio escrito ou eletrônico que demonstre a manifestação de vontade. Esta revogação de consentimento deverá ser gratuita e facilitada pelos agentes de tratamento de dados.

Fase 1. DIAGNÓSTICO

Planejamento:
Nesta fase é realizado um planejamento, inicialmente, com cronograma a ser seguido, mobilização das equipes, alinhamento das expectativas – sugerindo-se o programa final.

Análise de Risco
Esta etapa envolve o efetivo tratamento dos dados pessoais e análise de como ele é realizado na empresa, verificação das políticas de proteção local, dos riscos de privacidade (áreas sensíveis), risco de perda ou compartilhamento de dados indevidos. Identificação das fontes de coletas de dados.

Avaliação
Momento em que se analisa a situação atual da empresa, estabelece-se os modelos de governança a serem adotados (ou já estruturados em comparação com o modelo exigido pela LGPD).

Planos de Ação
É efetivamente a estruturação do plano de ação, mapeamento dos riscos, análise do inventário de dados, e consideração sobre os contratos, documentos e termos de consentimento.

ESTABELECIDO esse norte, essa visão geral da empresa e sua realidade no que concerne à política de uso de danos, passa-se a fase 2.

Fase 2. MAPEAMENTO DE DADOS

2.1. Nomeação do controlador – DPO (Data Protection Officer), que será o responsável pelo cuidado e zelo à LGPD.

2.2. Criação de Políticas – Definição das políticas de acesso, realização de um inventário das máquinas, adoção de regras de Firewall e de proteção local, e gestão de Backup.

2.3. Treinamentos – Capacitação das Equipes e dos responsáveis, consultoria, acompanhamento dos processos de estruturação e estreitamento da relação entre o controlador e a empresa titular.

2.4. Inventário de Dados – Mapeamento dos dados, cálculo do tempo de armazenamento, eleição de políticas de acesso.

2.5. Mapa de risco – Mobilização e planejamento da equipe, definição dos riscos a segurança dos dados pessoais, análise cuidadosa da origem dos dados e realização do mapeamento estratégico permanente.

A partir dessas etapas elabora-se o PLANO DE AÇÃO para efetivar a reestruturação da empresa e sua adequação às normas da LGPD.

Importante ressaltar que a estruturação de um plano efetivo de adequação da empresa às regras da LGPD, para ser factível, demanda a estabilização de uma cultura interna da empresa, com envolvimento de todos os seus colaboradores no treinamento e no cuidado no uso dos dados pessoais. Não basta eleger uma Diretoria ou um Comitê responsável, se os demais colaboradores não se inserirem de forma efetiva nesse intento.

As punições são pesadas e é necessário que a empresa adote as medidas necessárias para evitar que a LGPD não impacte de forma negativa os negócios.

A contrapartida é que a adequação das empresas às novas regras, além de evitar tais sanções, em última análise, serve como incremento de valor à sua imagem e consistência no seu conceito de confiabilidade e segurança perante parceiros, colaboradores e clientes.

Confira no vídeo como a LGPD repercute em empresas que vendem ao governo. Bom vídeo!

A Garrastazu Advogados oferece um atendimento personalizado às necessidades do seu caso específico, Nossa equipe é formada apenas por advogados especialistas e você contará com Especialistas em Direito Empresarial para atuar em casos envolvendo Proteção de Dados.

Somos conhecedores das peculiaridades que envolvem esta matéria, o que aumenta as chances de êxito aos clientes.

Contamos com mais de 35 anos de experiência resolvendo problemas jurídicos. Conte conosco!