Lei Proteção de Dados Pessoais BR – Resumo para CEOs e Executivos

A Lei Proteção de Dados Pessoais do Brasil, está aguardando a promulgação pela Presidência da República, após sua aprovação no Congresso Nacional. É importante que o Corpo Diretivo da organização entenda os principais controles exigidos. Ela será aplicável em 18 meses. Tenha certeza: quando passar este tempo sua organização tem grandes chances de receber multas e ações judiciais cobrando indenização porque dados pessoais não foram protegidos adequadamente e em conformidade com a legislação.

Destaco a seguir os principais conceitos e controles da Lei de Proteção de Dados Pessoais Brasil,  que impactam diretamente à organização.

1. Diretriz

A pessoa natural ou pessoa singular é a proprietária (Titular) dos seus dados pessoais.

2. Objetivo

Garantir os direitos de liberdade, privacidade e desenvolvimento da pessoa singular, pessoa natural.

3. Definição

Dado pessoal: informação relacionada à pessoa natural identificada ou identificável.

Dado sensível: dado pessoal relacionado à religião, etnia, opiniões e similar.

4. Aplicação

Tratamento de dados pessoais em qualquer tipo de tecnologia, por indivíduos, organizações privadas ou entidades públicas.

  • Tratamento de dados realizado no território nacional.
  • Não depende da localização física dos dados.
  • Tratamento de dados para indivíduos localizados no território nacional.
  • Coleta de dados quando o indivíduo se encontra no território nacional.

5. Diretrizes de Proteção para Tratamento de Dados Pessoais

  • Necessário autorização (consentimento) do Titular (Pessoa Singular).
  • Tem que explicitar a finalidade específica.
  • Utilização exclusivamente para a finalidade declarada.
  • Coleta mínima. Apenas o necessário para o tratamento dos dados.
  • Permissão de consulta pelo Titular dos dados e do seu uso.
  • Garantia de qualidade e atualização dos dados.
  • Ter controles estruturados de segurança da informação.
  • Não descriminar pessoa singular pelo tratamento de dados.
  • A organização é responsável pelo tratamento que faz e pelo tratamento dos subcontratados.
  • Mudanças no tratamento de dados exige novo consentimento do Titular.
  • Tratamento de dados de crianças e adolescentes necessita autorização responsáveis.
  • Uso dos dados exclusivamente durante o tempo do serviço ou similar.
  • Direito de revisão pelo Titular quando de decisões por perfil automático.
  • Transferência de dados pessoais tem que seguir o mesmo padrão de proteção.
  • Comunicar à autoridade qualquer incidente aos dados pessoais.

6. Penalidade

Dois por cento ou até R$ 50.000.000,00 (cinquenta milhões de reais).

7. Outros

A lei prevê a criação do Conselho Nacional de Proteção de Dados, situações de exceções e uso de dados para pesquisas.

Resumo

A responsabilidade da organização e dos seus executivos, em especial o CEO, fica mais explícita e descrita em lei. A partir de agora, tratamento de dados pessoais é uma questão séria.

Para implementar os controles exigidos e ficar em conformidade com a lei, as organizações precisam ter um Processo Organizacional de Segurança da Informação e começar a trabalhar ou aprimorar sua proteção imediatamente.