A Lei nº 13.709, de 2018, Lei Geral de Proteção de Dados, surgiu com a finalidade de regulamentar o tratamento de dados pessoais, inclusive (mas não se limitando) nos meios digitais, por pessoa natural ou jurídica, de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Ou seja, todo aquele que trata dados pessoais com finalidade econômica deve se adequar à legislação. Para tanto, as empresas e as pessoas que exercem atividade econômica tiveram que se atualizar.
Mas Amanda, de que forma consigo me adequar aos princípios da lei?
Começando por determinar a finalidade da coleta dos dados pessoais, para fins legítimos, específicos, explícitos e informados ao titular, não podendo haver tratamento para outra finalidade que não a informada.
Definidas as finalidades, deve haver a adequação do banco de dados para que o tratamento seja compatível com o informado. Ainda, deve limitar o tratamento apenas aos dados necessários, evitando a coleta de dados excessivos e em desconformidade com a finalidade indicada.
Deve garantir aos titulares a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como a integralidade das informações. Para tanto, precisa disponibilizar a forma de contato do responsável em todos os meios de acesso disponíveis.
Ainda, necessita garantir a qualidade dos dados, dando aos titulares exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade. A transparência também é uma das garantias, com informações claras, precisas e acessíveis sobre o tratamento, observados os segredos comercial e industrial.
Não suficiente, a utilização de medidas técnicas e administrativas suficientes para proteger os dados pessoais de acessos não autorizados e situações acidentais ou ilícitas, a adoção de medidas preventivas acerca da ocorrência de danos em virtude do tratamento de dados pessoais.
Por fim, a impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos e a demonstração pela empresa da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.
Nota-se, desta forma, que a Lei Geral de Proteção de Dados traz diversas atividades novas a cargo da empresa, desde regulamentações e ajustes internos, até as relações com terceiros e obrigações para proteção dos dados dos titulares.
De fato, são diversas mudanças a serem feitas. A organização pode criar uma equipe para desenvolver o projeto ou contar com uma empresa terceirizada e especializada que ajude no plano de ação e defina de que forma irá colocar tudo em prática e de acordo com a lei.
E se eu não quiser me adequar, o que acontece?
Em caso de descumprimento das normas, a Lei traz sanções que se iniciam na advertência, com prazo para regularização, multa pecuniária no importe de dois por cento do faturamento da empresa, limitado ao montante de cinquenta milhões por incidente, publicização do incidente aos titulares e à Autoridade Nacional de Proteção de Dados, até a perda parcial ou total do banco de dados.
Não suficiente, os titulares podem demandar da organização na esfera cível, bem como afeta diretamente nas negociações e parceiros da organização, visto que empresas adequadas apenas fazem negócio com empresas adequadas e que garantam a segurança dos dados compartilhados.