Para coletar e tratar dados pessoais, é preciso haver o consentimento do titular e uma finalidade específica que a justifique
(Arte: TUTU)

As empresas brasileiras terão até fevereiro de 2020 para ajustar seus procedimentos e se adaptar às normas previstas pela Lei Geral de Proteção de Dados (LGPD). Para atender à legislação que define as normas sobre o tratamento de dados pessoais e estabelece obrigações para garantir a privacidade e segurança dos cidadãos, é preciso que os empresários revejam seus procedimentos internos e rotinas de trabalho e avaliem todo o fluxo de dados tratados – desde a identificação dos canais de coleta até a forma de tratamento, armazenamento e registro do banco de dados.

De acordo com a Lei n.º 13.709/2018, para coletar e tratar um dado de natureza pessoal, é preciso haver o consentimento do titular, de forma clara, expressa e para uma finalidade específica que a justifique. A assessoria jurídica da Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP) recomenda a revisão dos termos de uso e políticas de privacidade das empresas. Alerta, ainda, que tais documentos devem conter de forma clara, adequada e ostensiva informações sobre a finalidade específica do tratamento, forma, duração e armazenamento de dados. É preciso esclarecer, também, quais as medidas de proteção adotadas pela empresa para garantir a privacidade aos titulares, identificação dos agentes de tratamento, regras sobre compartilhamento de dados, informações sobre os direitos do titular, inclusive sobre a possibilidade de não conceder ou revogar o consentimento e as consequências desses atos.

Veja também:
Inédita no Brasil, Lei Geral de Proteção dos Dados Pessoais entra em vigor em 2020
Conheça as situações em que o tratamento de dados pessoais será permitido
FecomercioSP comemora sanção presidencial à Lei de Proteção de Dados

Outra exigência da nova legislação é o consentimento específico e destacado para determinadas ações de tratamento, como a coleta de dados de crianças e dos chamados dados sensíveis, tais como religião, orientação sexual, origem racial ou étnica, convicção religiosa e opinião política.

É importante estabelecer medidas técnicas e administrativas que garantam a segurança dos dados a fim de evitar a perda, destruição e vazamento de informações.

Vale lembrar ainda que, com a nova lei, os clientes terão direito de requerer a qualquer momento acesso às informações sobre os seus dados pessoais, bem como correção de dados incompletos, inexatos ou desatualizados, requerer a portabilidade, anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei.

A nova lei criou também a figura dos agentes de tratamento - o controlador e o operador, sendo o primeiro responsável pelas decisões referentes ao tratamento de dados pessoais, enquanto o segundo ficará incumbido de realizar o tratamento de dados em nome do controlador. O controlador deverá indicar um encarregado pelo tratamento, que vai atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados, órgão da administração pública que possivelmente ainda será criado pelo Governo Federal para fiscalizar o cumprimento da lei. Recomenda-se que as definições dos responsáveis e as atribuições de cada um sejam inseridas nos termos de uso e políticas de privacidade das empresas.

Caso a empresa identifique alguma ocorrência de vazamento ou potencial dano aos seus clientes, deverá comunicar imediatamente ao titular e à autoridade nacional, adotando as medidas possíveis para minimizar os prejuízos.

Visando conter os riscos, as empresas podem implementar programas de compliance/governança para estabelecer política de boas práticas relacionadas ao tratamento de dados e sistematicamente a atividade e os registros de tratamento de dados com relatórios que possam demonstrar possíveis impactos.