Fonte: SERPRO
Prezados. Eis uma das novas adequações que o Mercado de Informática nos impõe. Dentre elas, a LGPD (Lei Geral de Proteção de Dados Pessoais). A grosso modo a Lei nº 13.709, de 14 de agosto de 2018, define se os nossos dados pessoais podem ou não serem tratados por terceiros, como nossos dados pessoais poderão ser acessados, corrigidos, eliminados, dentre outros.
Estudando e se adequando aos novos padrões do Mercado de TI, tenho me
dedicado ao estudo desta nova Lei. Em minhas pesquisas achei o site do SERPRO
muito elucidativo. Desta forma compartilho alguns trechos deste site e o recomendo.
A LGPD (Lei Geral de Proteção
de Dados Pessoais) é a lei nº 13.709, aprovada em agosto de 2018 e com
vigência a partir de agosto de 2020. Para entender a importância do
assunto, é necessário saber que a nova lei quer criar um cenário de segurança
jurídica, com a padronização de normas e práticas, para promover a proteção, de
forma igualitária e dentro do país e no mundo, aos dados pessoais de todo
cidadão que esteja no Brasil. E, para que não haja confusão, a lei traz logo de
cara o que são dados pessoais, define que há alguns desses
dados sujeitos a cuidados ainda mais específicos, como os sensíveis e os sobre crianças e
adolescentes, e que dados tratados tanto nos meios físicos como nos digitais
estão sujeitos à regulação.
A LGPD estabelece ainda que
não importa se a sede de uma organização ou o centro de dados dela estão
localizados no Brasil ou no exterior: se há o processamento de conteúdo de
pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser
cumprida. Determina, também, que é permitido compartilhar dados com organismos
internacionais e com outros países, desde que isso ocorra a partir de
protocolos seguros e/ou para cumprir exigências legais.
O Consentimento como elemento essencial
Outro elemento essencial da
LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para que dados
pessoais possam ser tratados. Mas há algumas exceções a isso. É possível tratar
dados sem consentimento se isso for indispensável para: cumprir uma obrigação
legal; executar política pública prevista em lei; realizar estudos via órgão de
pesquisa; executar contratos; defender direitos em processo; preservar a vida e
a integridade física de uma pessoa; tutelar ações feitas por profissionais das
áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o
crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais
do cidadão.
Automatização com autorização
Por falar em direitos, é essencial saber que a lei traz várias garantias ao
cidadão, que pode solicitar que dados sejam deletados, revogar um
consentimento, transferir dados para outro fornecedor de serviços, entre outras
ações. E o tratamento dos dados deve ser feito levando em conta alguns
quesitos, como finalidade e necessidade, que devem ser previamente acertados e
informados ao cidadão. Por exemplo, se a finalidade de um tratamento, feito
exclusivamente de modo automatizado, for construir um perfil (pessoal,
profissional, de consumo, de crédito), o indivíduo deve ser informado que
pode intervir, pedindo revisão desse procedimento feito por máquinas.
ANPD e agentes de tratamento
E tem mais. Para a lei a "pegar", o país contará com a Autoridade
Nacional de Proteção de Dados Pessoais, a ANPD. A instituição vai fiscalizar e,
se a LGPD for descumprida, penalizar. Além disso, a ANPD terá, é claro, as
tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei.
Cidadãos e organizações poderão colaborar com a autoridade.
Mas não basta a ANPD - que
está em formação - e é por isso que a Lei Geral de Proteção de Dados Pessoais
também estipula os agentes de tratamento de dados e suas funções, nas
organizações: tem o controlador, que toma as decisões sobre o tratamento; o
operador, que realiza o tratamento, em nome do controlador; e o encarregado,
que interage com cidadãos e autoridade nacional (e poderá ou não ser exigido, a
depender do tipo ou porte da organização e do volume de dados tratados).
Gestão em foco
Há um outro item que não poderia ficar de fora: a administração de riscos e
falhas. Isso quer dizer que quem gere base de dados pessoais terá que redigir
normas de governança; adotar medidas preventivas de segurança; replicar boas
práticas e certificações existentes no mercado. Terá ainda que elaborar planos
de contingência; fazer auditorias; resolver incidentes com agilidade. Se
ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados
devem ser imediatamente avisados. Vale lembrar que todos os agentes de
tratamento sujeitam-se à lei. Isso significa que as organizações e as subcontratadas
para tratar dados respondem em conjunto pelos danos causados. E as falhas de
segurança podem gerar multas de até 2% do faturamento anual da organização no
Brasil – e no limite de R$ 50 milhões por infração. A autoridade nacional
fixará níveis de penalidade segundo a gravidade da falha. E enviará, é claro,
alertas e orientações antes de aplicar sanções às organizações.
Fonte: SERPRO.
Para maiores e melhores detalhes sigam o endereço https://www.serpro.gov.br/lgpd
A todos uma boa semana.
Nenhum comentário:
Postar um comentário