Com a implantação da LPGD (Lei Geral de Proteção de Dados – Lei nº 13.709/2018) que entrou em vigor no dia 26 de agosto de 2020, exige-se que as empresas se adequem o quanto antes a regulamentação estabelecida pela legislação brasileira. Apresentamos mais detalhes sobre a legislação no post LGPD: sua empresa à frente da proteção de dados.
As regras de tratamentos dos dados dos usuários a fim de proteger e garantir a segurança dos dados contidos nas bases digitais e físicas, classificados em dados pessoais, sensíveis e anonimizados determina como deve ocorrer o tratamento de dados. Neste contexto a empresa deve considerar ao executar a gestão dos dados os princípios segundo a LGPD (art.6º):
- Finalidade;
- Adequação;
- Necessidade;
- Livre acesso;
- Qualidade dos dados;
- Transparência;
- Segurança;
- Prevenção;
- Não discriminação;
- Responsabilização e prestação de contas.
Um dos pontos principais ao lidar com o tratamento de dados pessoais (clientes, fornecedores e colaboradores) é o consentimento do titular, ou seja, o titular (pessoa proprietária dos dados) autorizar o uso de seus dados para a finalidade a qual se destina a coleta dos mesmos, assim como o direito do titular modificar ou excluir as suas informações na base de dados. A finalidade da coleta de dados deve estar expressa de maneira clara (explícita).
O descumprimento dos critérios estabelecidos pela Lei Geral de Proteção de Dados (LGPD) resulta em penalidades desde advertências, multas de 2% do faturamento, limitada, no total,a R$ 50.000.000,00 (cinquenta milhões de reais) por infração até a suspensão parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
É importante ressaltar que a LGPD é aplicável para qualquer organização ( de grandes a pequenas empresas), de todos o segmentos.
Tratamento de dados
A Lei Geral de Proteção de Dados considera o processo de tratamento de dados (art. 5º, inciso X),como:
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Para realizar essas operações, as empresas contam com o operador que realiza o tratamento de dados pessoais em nome do controlador, enquanto o controlador se refere a quem compete as decisões que dizem respeito o tratamento dos dados.
O que é um DPO ?
A legislação prevê a nomeação de um encarregado, chamado de DPO (Data Protection Officer) para auxiliar as empresas nas atividades de adequação às regras estabelecidas.
Segundo a LGPD, as atribuições de um encarregado pelo tratamento dos dados pessoais são as seguintes:
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Quais são as funções de um DPO ?
Em resumo, as funções do DPO consistem em informar e orientar os demais agentes (operador e controlador) e os demais funcionários/contratados sobre quais são as suas atividades e obrigações diante da LGPD.
Atribui-se também a esta função, o monitoramento do processo e documentação para que ocorra conforme os critérios exigidos pela legislação.Além disso, o DPO é o contato que faz o intermédio entre o controlador e os titulares dos dados.
Quais são os requisitos para ser um DPO ?
Recente no Brasil, o cargo de DPO requer conhecimentos nas áreas de tecnologia, cibersegurança e compliance, além de dominar a nova legislação.
O instituto EXIN oferece um programa de qualificação que contempla os três exames necessários para preencher o requisitos profissionais para atuação internacional como DPO, os quais são:
- Information Security Foundation (ISFS) based on ISO 27001;
- Privacy & Data Protection Foundation (PDPF);
- Privacy & Data Protection Practitioner (PDPP).
Após a realização destes exames, o profissional recebe a certificação com o título de DPO.
A Lean Sales possui um profissional DPO – Data Protection Officer qualificado e apto para atuar conforme normas determinadas pela LGPD.