Saiba como adequar sua empresa a nova LGPD

A LGPD passará a vigorar no próximo mês de agosto. Quais são as mudanças que ela traz para gestão documental nas empresas? Como adequar-se para cumprir o novo marco regulatório para proteção de dados? Entenda os fundamentos da nova lei, com dicas para boas práticas de compliance.

Gestão de dados privativos

No próximo mês de agosto, em 2020, passa a vigorar a Lei Geral de Proteção aos Dados (LGPD). Criada em 2018, ela regula todo tratamento de dados pessoais dos cidadãos brasileiros, no Brasil e no exterior. A LGPD é baseada no Regulamento Geral sobre a Proteção de Dados (RGPD), vigente nos países integrantes da União Européia, desde 2018. 

A nova lei brasileira visa garantir a segurança jurídica de cidadãos, empresas e governo, assim como regular o transferência de dados entre países, através da proteção aos direitos fundamentais, como liberdade, privacidade, livre desenvolvimento, personalidade, entre outros. Atualmente, a proteção de dados privativos é um valor compartilhado ao redor do mundo. A política de privacidade e a titularidade dos dados são questões importantes para negócios em escala global. 

A LGPD regula o tratamento de dados pessoais em documentos e arquivos digitais, mas é aplicável às informações formatadas em diversos suportes, como documentos manuscritos e impressos ou microfilmes. Ela estabelece regras para as relações entre pessoas e organizações na internet, mas se refere também ao tratamento de dados pessoais gerados em redes de relações offline. 

 

Dados pessoais e sensíveis

Neste cenário, notas fiscais ou documentação e arquivos administrativos, guardados na própria empresa ou por terceiros, são protegidos pela LGPD. As informações registradas nesses documentos, que permitem identificação individual, são consideradas dados pessoais. Os documentos trabalhistas devem ser tratados com atenção redobrada: geralmente, seu conteúdo traz dados considerados sensíveis, como a origem racial ou étnica e a filiação sindical de seu titular. 

Nos termos da LGPD, os dados pessoais relativos a crianças e adolescentes, assim como dados sensíveis (origem racial ou étnica; convicções religiosas ou filosóficas; filiação partidária ou sindical; informações genéticas, biométricas e de saúde; orientação sexual) devem ser protegidos em todas as etapas do seu ciclo de vida.

 

Ciclo de vida de dados

Assim como existe um ciclo de vida dos documentos arquivísticos, as etapas sucessivas do tratamento de dados também são cíclicas. Os dados passam pela coleta, armazenamento, recuperação e eliminação:

 

  • Coleta

Definição de fontes, estratégias e recursos utilizados para obtenção dos dados.

 

  • Armazenamento

Guarda e conservação de informações armazenadas em bancos de dados eletrônicos e digitais ou arquivos alojados em edifícios, que requerem planejamento, estruturação, avaliação de recursos tecnológicos, suportes e questões de segurança. 

 

  • Recuperação

Definição de critérios, estratégias e recursos para acesso, consulta e uso de dados, que são importantes para disponibilizar as informações para usuários.

 

  • Eliminação

Descarte seguro dos registros de dados pessoais. 

 

Atores e papéis

De acordo com a LGPD, os principais atores sociais são o titular, o controlador, o operador, o encarregado, os agentes de tratamento e a autoridade nacional. Descubra qual o papel desempenhado por cada uma dessas pessoas, de acordo com a nova lei.

 

  • Titular

Pessoa natural a quem se referem os dados para tratamento.

 

  • Controlador

Pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões sobre o tratamento de dados.

 

  • Operador

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados em nome do controlador.

 

  • Encarregado

Pessoa natural, indicada pelo controlador, que faz a comunicação entre controlador, titulares e autoridade nacional.

 

  • Agentes de tratamento

O controlador e o operador são como agentes de tratamento.

 

  • Autoridade nacional

Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD, a ANPD

 

Protagonismo do titular

Cada um dos atores apresentados acima têm papéis importantes a desempenhar na proteção de dados privativos, mas  o protagonista em cena é o titular. A pessoa a quem se referem os dados é quem deve autorizar ou não o uso de suas informações por empresas e órgãos públicos. 

O consentimento na prática não é genérico, deve ser aplicado para finalidades determinadas. Para alterar finalidades no decorrer do tratamento dos dados, as organizações também devem consultar os titulares. O consentimento dado anteriormente pode ser revogado, seja por alterações no tratamento dos dados, ou para serviços e conteúdos enganosos ou abusivos. Para revogar o consentimento, o titular deve manifestar expressamente sua oposição através de procedimento gratuito e facilitado. 

 

Exceções à regra

Se o consentimento do titular é a regra fundamental, existem também exceções. Algumas situações previstas na LGPD ou na legislação vigente (como a Lei de Acesso à Informação - LAI) as representam, como por exemplo: 

  • obrigação legal

  • políticas públicas

  • estudos via órgão de pesquisa

  • direito em contrato ou processo

  • preservação da vida e da integridade física de uma pessoa

  • tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária

  • prevenção de fraudes contra o titular

  • proteção do crédito

  • interesses legítimos da empresa, protegidos os direitos fundamentais do titular

 

Compliance

Existem várias traduções para compliance, como adesão, conformidade e outros sinônimos. Todos os termos são usados no sentido de seguir as regras do jogo, em diferentes esferas de aplicação da LGPD. As boas práticas de compliance são aplicadas à gestão documental e arquivos de empresas privadas e públicas, para a implementação de leis e normas técnicas. 

Descubra como colocar em prática a LGPD no seu negócio com dicas de especialistas a seguir. 

 

Boas práticas

 

  • 1. Organograma

De acordo com os atores e papéis desempenhados por cada um deles, vale a criação e organização de um grupo de trabalho ou equipe com agentes de tratamento: o controlador  (a quem compete as decisões relativas ao tratamento de dados), o operador (quem realiza o tratamento nomeado pelo controlador) e o encarregado (quem é responsável pela comunicação com titulares, autoridades e por orientações sobre proteção de dados privativos para funcionários e contratados). 

 

  • 2. Gerenciamento e privacidade

Identifique quais são os registros relacionados a dados pessoais e dados sensíveis, que exigem um tratamento mais específico porque contém informações relativas à origem racial ou étnica, orientação sexual, filiação religiosa, sindical ou partidária ou se referem a crianças e adolescentes. É importante verificar também em quais meios (físico ou digital) estes dados estão armazenados

 

  • 3. Consentimento e comprovação

O consentimento do titular deve ser expresso de forma explícita e inequívoca para o tratamento de dados, conforme os princípios (finalidade, adequação, livre acesso, qualidade dos dados, transparência, prevenção, não discriminação, responsabilização) previstos na LGPD. 

É necessário documentar tais procedimentos e manter a documentação relativa ao consentimento de titulares arquivada durante as etapas do ciclo de vida dos dados até sua eliminação. Atenção ao término de um tratamento e às alterações em finalidades de tratamentos. Quando houver mudanças ou encerrar um tratamento, informe ao titular.

 

  • 4. Planos de contingência

Trata-se de desenvolver estratégias para tratar incidentes de segurança, cooperação ou problemas de responsividade aos titulares e autoridades. Realizar auditorias periodicamente deve fazer parte dos planos. 

Em casos comprovados de dano patrimonial, moral, individual ou coletivo, além de comunicar-se com titulares e autoridades, é importante apurar os fatos e responder pelos erros. 

 

  • 5. Extra-territorialidade

Nos termos da LGPD, a proteção dos dados aplica-se a empresas sediadas no país ou atuantes no mercado, ou que realizam coleta e tratamento de dados privativos de cidadãos brasileiros ou estrangeiros residentes ou que estejam temporariamente no país.

A transferência de dados além-fronteira é permitida, mediante o consentimento de titular; atendendo a um pedido do titular para contratos; ou em todas as situações de exceção também previstas na lei (proteção da vida e integridade física, políticas públicas, cooperação jurídica para investigações, pesquisas científicas, obrigações legais dentre outros). 

 

Conclusão

As violações de privacidade e vazamentos de dados podem resultar em ações judiciais e multas de até 50 milhões de reais. As previsões da LGPD abrangem todas as empresas, independente de seu porte ou área de atuação no mercado. Além dos prejuízos financeiros, há riscos de publicidade negativa para as empresas, como a perda de credibilidade. A adequação promove o respeito à cidadania e aos direitos de clientes e funcionários, que são os titulares dos dados para tratamento. 

 

Arquivos Gerais

A contratação de empresas especializadas na guarda e conservação de arquivos pode oferecer soluções de gestão documental compatíveis com políticas de privacidade e proteção de dados conforme a nova legislação. Conheça todas as vantagens da digitalização, guarda de arquivos e descarte seguro de documentos no site da Arquivos Gerais.

WhatsApp Chamar no WhatsApp