De compras on-line a redes sociais, de hospitais a bancos, de escolas a teatros, de hotéis a órgãos públicos, da publicidade à tecnologia: pode ter certeza, a Lei Geral de Proteção de Dados Pessoais (LGPD) afeta diferentes setores e serviços, e a todos nós brasileiras e brasileiros, seja no papel de indivíduo, empresa ou governo. Aqui, a gente te ajuda a entender os seus direitos como cidadão, ou suas obrigações, caso você seja responsável por bases de dados de pessoas.
E damos, é claro, as boas-vindas a você que quer entender mais a LGPD, contribuir com ela, e buscar suporte. Vamos nessa?
Consentimento
Outro elemento essencial
da LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para
que dados pessoais possam ser tratados. Mas há algumas exceções a isso.
É possível tratar dados sem consentimento se isso for indispensável
para: cumprir uma obrigação legal; executar política pública prevista em
lei; realizar estudos via órgão de pesquisa; executar contratos;
defender direitos em processo; preservar a vida e a integridade física
de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde
ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou
atender a um interesse legítimo, que não fira direitos fundamentais do
cidadão.
Automatização com autorização
Por falar
em direitos, é essencial saber que a lei traz várias garantias ao
cidadão, que pode solicitar que dados sejam deletados, revogar um
consentimento, transferir dados para outro fornecedor de serviços, entre
outras ações. E o tratamento dos dados deve ser feito levando em conta
alguns quesitos, como finalidade e necessidade, que devem ser
previamente acertados e informados ao cidadão. Por exemplo, se a
finalidade de um tratamento, feito exclusivamente de modo automatizado,
for construir um perfil (pessoal, profissional, de consumo, de crédito),
o indivíduo deve ser informado que pode intervir, pedindo revisão
desse procedimento feito por máquinas.
ANPD e agentes de tratamento
E tem
mais. Para garantir a vigência da lei, o país contará com a Autoridade Nacional de
Proteção de Dados Pessoais, a ANPD. A instituição vai fiscalizar e, se a
LGPD for descumprida, penalizar. Além disso, a ANPD terá, é claro, as
tarefas de regular e de orientar, preventivamente, sobre como aplicar a
lei. Cidadãos e organizações poderão colaborar com a autoridade.
Mas não basta a ANPD - que está em formação - e é por isso que a Lei Geral de Proteção de Dados Pessoais também estipula os agentes de tratamento de dados e suas funções, nas organizações: tem o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com cidadãos e autoridade nacional (e poderá ou não ser exigido, a depender do tipo ou porte da organização e do volume de dados tratados).
Gestão em foco
Há um outro item que não
poderia ficar de fora: a administração de riscos e falhas. Isso quer
dizer que quem gere base de dados pessoais terá que redigir normas de
governança; adotar medidas preventivas de segurança; replicar boas
práticas e certificações existentes no mercado. Terá ainda que elaborar
planos de contingência; fazer auditorias; resolver incidentes com
agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os
indivíduos afetados devem ser imediatamente avisados. Vale lembrar que
todos os agentes de tratamento sujeitam-se à lei. Isso significa que as
organizações e as subcontratadas para tratar dados respondem em conjunto
pelos danos causados. E as falhas de segurança podem gerar multas de
até 2% do faturamento anual da organização no Brasil – e no limite de R$
50 milhões por infração. A autoridade nacional fixará níveis de
penalidade segundo a gravidade da falha. E enviará, é claro, alertas e
orientações antes de aplicar sanções às organizações.
Referência: SERPRO
Nenhum comentário:
Postar um comentário