A Lei 13.709/18 estabelece que dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável e determina que o tratamento desses dados deve considerar os princípios de privacidade descritos na lei. Ao segui-los, as organizações demonstrarão que os dados pessoais coletados são necessários, mínimos, corretos, de qualidade, atendem uma finalidade de negócio válida dentre outras características.
A lei contempla quatro diferentes agentes: o titular, o controlador, o operador e o encarregado.
- O titular: é a pessoa física a quem se referem os dados pessoais.
- O controlador: é a empresa ou pessoa física que coleta dados pessoais e toma todas as decisões em relação a forma e finalidade do tratamento dos dados. O controlador é responsável por como os dados são coletados, para que estão sendo utilizados e por quanto tempo serão armazenados.
- O operador: é a empresa ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador.
- O encarregado: é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados.
A lei é aplicada a todos os setores da economia e prevê o consentimento do usuário para coletar informações pessoais. Os titulares podem retificar, cancelar ou até solicitar a exclusão desses dados a qualquer momento.
As empresas deverão garantir a segurança dos dados pessoais tratados e comunicar incidentes de segurança da informação ao órgão regulador Autoridade Nacional de Proteção aos Dados (ANPD), sendo que, dependendo do incidente, o titular dos dados também deverá ser comunicado.
A lei prevê sanções para as empresas que não tiverem boas práticas. Elas englobam advertência, multa ou até mesmo a proibição total ou parcial de atividades relacionadas ao tratamento de dados. As multas podem variar de 2% do faturamento do ano anterior até a R$ 50 milhões, passando por penalidades diárias.
As tecnologias serão um dos componentes importantes para as organizações, uma vez que a nova lei traz desafios de gestão e governança de privacidade, gestão das petições abertas por titulares, gestão do ciclo de vida dos dados pessoais e implementação de técnicas de anonimização.
Por onde as empresas devem começar?
O melhor é realizar um mapeamento detalhado dos dados pessoais tratados e o seu ciclo de vida, identificando onde estão, como estão armazenados, quem tem acesso, se os dados são compartilhados com terceiros, quais são os riscos associados e elaborar um Plano de Ação factível de ser implementado até agosto de 2020, com o apoio e engajamento da direção da empresa.