A Lei Geral de Proteção de Dados, que entra em vigor em agosto de 2020, não fornece nenhuma exceção a pequenas e médias empresas, nem para processamento em pequenas escalas. Ou seja, todos devem estar de acordo.
Por Fares Alkudmani*
A Lei Geral de Proteção de Dados ou LGPD (LEI Nº 13.709) é uma lei de proteção de dados há muito tempo esperada no Brasil. Discutida há muito tempo, foi implementada em 14 de agosto de 2018 mas entra em vigor somente em agosto de 2020. A lei se assemelha muito à GDPR, a Lei Geral de Proteção de Dados da UE, apesar de ser mais simples.
A LGPD vai afetar todas as empresas nacionais públicas ou privadas que façam atividades de processamentos de dados pessoais, tanto para qualquer empresa que faça a coleta dados pessoais no Brasil, que oferecem ou fornecem bens ou serviços no Brasil ou se relacionam com indivíduos que estão localizados geograficamente no Brasil. A lei não fornece nenhuma exceção a pequenas e médias empresas, nem para processamento em pequenas escalas. Portanto, todas as empresas devem se regularizar de acordo com a Lei.
Os fundamentos da lei são:
- Respeito à privacidade;
- Autodeterminação informativa;
- Liberdade de expressão, de informação, de comunicação e de opinião;
- Inviolabilidade da intimidade, da honra e da imagem;
- Desenvolvimento econômico e tecnológico e a inovação;
- Livre iniciativa, a livre concorrência e a defesa do consumidor;
- Direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
O que são Dados Pessoais de acordo com a LGPD?
Dados pessoais são quaisquer informações que identifiquem uma pessoa física, já os dados anonimizados não devem ser considerados dados pessoais, a não ser que o processo de anonimização possa ser revertido aplicando esforços razoáveis.
Uma empresa que não se adequar à LGPD pode receber uma multa de até 2% da receita brasileira da empresa ou até R$ 50 milhões por infração.
Quais obrigações as empresas terão que cumprir?
- Informar, corrigir, anonimizar, excluir ou fornecer uma cópia dos dados, se solicitado pelo titular dos dados;
- Excluir dados após o término do relacionamento relevante;
- Adotar medidas técnicas e administrativas de segurança de dados para proteger os dados pessoais contra acesso não autorizado, acidentes, destruição, perda etc.;
- Nomear um oficial de DPO responsável por receber reclamações e comunicações;
- Notifique os titulares dos dados e as autoridades locais se houver violação.
E como as empresas podem cumprir essas obrigações? Elas devem seguir alguns requisitos específicos, principalmente aplicáveis nos banners de privacidade de um site:
- O consentimento deve ser afirmativo, específico e inequívoco;
- Detalhes dos destinatários e controladores de dados;
- Objetivo do processamento e notificação de criação de perfil;
- Duração do uso;
- Remoção de consentimento;
- Link para reclamar, corrigir e transferir dados;
- Ter a opção de recusar o uso dos dados.
Muitas empresas, principalmente de pequeno porte, terão uma grande dificuldade para determinar um setor de proteção de dados, porém é possível utilizar de ferramentas terceirizadas para isso – na verdade essa é uma solução muito esperada para diversas empresas.
* Fares Alkudmani é Country Manager da Secure Privacy
SIGA NOSSAS REDES