Live promovida pelo Simecs apresenta passo a passo para a adequação das empresas e alterações para agentes de pequeno porte. Proteção de dados foi incluída na Constituição como direito fundamental
A live desta quinta, 17 de fevereiro, promovida pelo promovida pelo Sindicato das Indústrias Metalúrgicas, Mecânicas e de Material Elétrico de Caxias do Sul e Região (Simecs), abordou as flexibilizações para “agentes de pequeno porte”, surgidas nos últimos meses, quanto às regras para o cumprimento, pelas empresas, da Lei Geral de Proteção de Dados (LGPD). Também foram prestados esclarecimentos sobre a fiscalização, conforme as normas da Autoridade Nacional de Proteção de Dados (ANPD).
Responsável pela apresentação, a especialista em Direito Digital Silvana Macioski observou que a LGPD surgiu da necessidade de regramento para proteção dos dados de pessoas físicas disponibilizados para empresas, o que foi potencializado com os recursos digitais. A necessidade de zelo em torno do tema cresceu com a inclusão da proteção de dados pessoais como um direito e garantia fundamental na Constituição Federal, conforme aprovado pelo Congresso Nacional no dia 10 de fevereiro.
Justificativa de finalidade – Segundo a advogada, é considerado dado pessoal tudo o que identifica uma pessoa física, desde uma foto, CPF e dados cadastrais até informação sobre suas preferências de consumo, opiniões política, filosófica, ideológica, religiosa, dados de saúde, genéticos, e biométricos, entre outros. “Para cada dado coletado, é necessário haver uma justificativa conforme elencado nas possibilidades previstas na lei”, explicou a palestrante, alertando para a adequação que é exigida pela nova legislação.
“Para as obrigações legais, relações contratuais, proteção de crédito, exercício regular de direitos das empresas, o uso segue normal, mas é preciso revisar para verificar se há algum dado excedente e/ou não necessário para os propósitos do negócio”, esclareceu. Assim, a recomendação para as empresas é coletar o mínimo necessário para os processos que precisa, e de acordo com a finalidade prevista.
O livre acesso da pessoa aos dados também deve ser garantido, mediante publicação dos canais de contato no site da empresa, com a possibilidade de exclusão dos registros mediante solicitação, bem como a transparência da política de privacidade, boas práticas de garantia de segurança e prevenção, não discriminação e a responsabilidade na prestação de contas diante da fiscalização da ANPD.
O que mudou nos últimos meses
A especialista também especificou as flexibilizações havidas na LGDP dentro dos últimos seis meses, que se aplicam aos chamados ‘agentes de pequeno porte’ – Microempresas Individuais (MEIs), microempresas, empresas de pequeno porte (EPPs) e startups.
Todavia, além do enquadramento acima, os agentes precisam cumprir alguns requisitos gerais e específicos, como por exemplo, não realizar tratamento de dados de alto risco, que afete os direitos fundamentais dos titulares, tratamento de dados em larga escala, uso de tecnologias inovadoras ou decisões automatizadas, ou ainda, tratamento de dados sensíveis, dados de crianças, adolescentes ou idosos.
O que vai ser simplificado:
- A ANPD fornecerá um modelo específico para Registro de Operações de Tratamento (ROPA)
- Prazo em dobro para comunicação de incidentes
- Retirada da obrigatoriedade de haver um encarregado de dados pessoais (DPO)
- Retirada da obrigatoriedade de haver uma Política de Segurança da Informação (será considerada boa prática de segurança).
- Prazo em dobro (de 30 dias) para confirmação completa de existência e acesso aos dados, e de 15 dias para a confirmação simplificada.
Como implementar novas regras
A especialista também apresentou sete passos para as empresas em geral se enquadrarem na nova legislação e esclareceu dúvidas sobre a implementação.
1. Criação de comitê multidisciplinar e nomeação de DPO
2. Conscientização do tema ao comitê e equipe que atuará no projeto
3. Mapeamento do ciclo de vida dos dados e vinculação das bases legais
4. Rastreamento dos riscos e indicação de planos de ação
5. Planos (alteração de processos, formulários, procedimentos, instruções de trabalho e políticas de privacidade, governança e segurança das informações)
6. Publicação das políticas e treinamento dos empregados e terceiros
7. Auditorias periódicas