Foi dado o start! Este ano será de extrema importância para empresas privadas e organizações públicas que iniciam um processo de autoconhecimento em matéria de proteção de dados pessoais
Por Daniela Monte Serrat Cabella, da PG Advogados
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018, ou “LGPD”) entrará em vigor em 2020. Estes próximos meses serão de muito trabalho para os departamentos que lidam com dados que identificam ou podem identificar, ainda que indiretamente, uma pessoa física.
Uma das etapas do processo de adequação passa pelos direitos das pessoas físicas. As organizações que definem a finalidade e a forma do processamento de dados pessoais, tanto do setor público como do privado, devem garantir que asseguram a possibilidade de as pessoas físicas exercerem efetivamente os seus direitos previstos no artigo 18 da LGPD, quais sejam:
I – Confirmação da existência de tratamento.
II – Acesso aos dados.
III – Correção de dados incompletos, inexatos ou desatualizados.
IV – Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei.
V – Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador.
VI – Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei.
VII – Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
VIII – Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
IX – Revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
Sua organização tem meios efetivos de possibilitar o exercício de todos esses direitos? Pois, os direitos da pessoa física, de um lado, geram deveres para a organização, de outro. E, em um processo de adequação legal, a organização deve se questionar se de fato tem meios técnicos e amparo jurídico para cumprir os seus deveres.
Os profissionais da organização devem se questionar, por exemplo: “Se uma pessoa física solicitar o acesso aos dados pessoais que lhe concernem e que são armazenados por nossa empresa, temos um procedimento formal e meios técnicos para se materializar esse acesso?” Ou, caso a organização tenha contratado outra empresa para armazenar os dados, devem verificar a seguinte questão: “Há garantias jurídicas de que a empresa contratada se responsabiliza por disponibilizar o acesso aos dados em tempo hábil?”
É necessário, portanto, mapear processos, documentos e sistemas que suportam a organização no cumprimento dos direitos das pessoas físicas para sanar eventuais gaps encontrados – se possível, antes de 2020!
Vale lembrar que este é apenas um de diversos aspectos que devem ser analisados em um processo de adequação à LGPD, e esse processo não termina com a implantação dos ajustes identificados inicialmente.
Como todo o sistema operacional, a adequação à lei (compliance) necessita de manutenção constante[1] para que a organização se apresente sempre em sua versão atualizada.
[1] No caso específico de tratamento de dados pessoais, por exemplo, a aprovação de novas leis e decretos que regulam matérias deixadas em aberto pela LGPD, ou mesmo a própria acomodação cultural da organização podem lhe gerar novos riscos técnicos, jurídicos e reputacionais.
Daniela Cabella é advogada especialista em direito digital, contratos, privacidade e proteção de dados do escritório PG Advogados, com experiência em empresas de tecnologia. É instrutora de cursos jurídicos pela Peck Sleiman EDU. Certificada como DPO – Data Protection Officer pelo EXIN e membro do Comitê PrivacyBR, conciliadora e mediadora. Graduada em Direito pela USP – Universidade de São Paulo. Possui certificação internacional em “Privacy & Data Protection” e em Information Security Foundation based on ISO/IEC 27001” pelo EXIN. É certificada em Contratos Internacionais pela International Chamber of Commerce (ICC – França), Contratos pela HarvardX, Mediação pelo Institute of Arbitrators & Mediators Australia (Resolution Institute), National Judicial College, dos EUA, e Escola Paulista da Magistratura, e Negociação Avançada por Harvard, EUA. Coautora do livro Direito Digital Aplicado 3.0.
Fonte: Infra News Telecon