A Lei Proteção de Dados Pessoais do Brasil, está aguardando a promulgação pela Presidência da República, após sua aprovação no Congresso Nacional. É importante que o Corpo Diretivo da organização entenda os principais controles exigidos. Ela será aplicável em 18 meses. Tenha certeza: quando passar este tempo sua organização tem grandes chances de receber multas e ações judiciais cobrando indenização porque dados pessoais não foram protegidos adequadamente e em conformidade com a legislação.
Destaco a seguir os principais conceitos e controles da Lei de Proteção de Dados Pessoais Brasil, que impactam diretamente à organização.
1. Diretriz
A pessoa natural ou pessoa singular é a proprietária (Titular) dos seus dados pessoais.
2. Objetivo
Garantir os direitos de liberdade, privacidade e desenvolvimento da pessoa singular, pessoa natural.
3. Definição
Dado pessoal: informação relacionada à pessoa natural identificada ou identificável.
Dado sensível: dado pessoal relacionado à religião, etnia, opiniões e similar.
4. Aplicação
Tratamento de dados pessoais em qualquer tipo de tecnologia, por indivíduos, organizações privadas ou entidades públicas.
- Tratamento de dados realizado no território nacional.
- Não depende da localização física dos dados.
- Tratamento de dados para indivíduos localizados no território nacional.
- Coleta de dados quando o indivíduo se encontra no território nacional.
5. Diretrizes de Proteção para Tratamento de Dados Pessoais
- Necessário autorização (consentimento) do Titular (Pessoa Singular).
- Tem que explicitar a finalidade específica.
- Utilização exclusivamente para a finalidade declarada.
- Coleta mínima. Apenas o necessário para o tratamento dos dados.
- Permissão de consulta pelo Titular dos dados e do seu uso.
- Garantia de qualidade e atualização dos dados.
- Ter controles estruturados de segurança da informação.
- Não descriminar pessoa singular pelo tratamento de dados.
- A organização é responsável pelo tratamento que faz e pelo tratamento dos subcontratados.
- Mudanças no tratamento de dados exige novo consentimento do Titular.
- Tratamento de dados de crianças e adolescentes necessita autorização responsáveis.
- Uso dos dados exclusivamente durante o tempo do serviço ou similar.
- Direito de revisão pelo Titular quando de decisões por perfil automático.
- Transferência de dados pessoais tem que seguir o mesmo padrão de proteção.
- Comunicar à autoridade qualquer incidente aos dados pessoais.
6. Penalidade
Dois por cento ou até R$ 50.000.000,00 (cinquenta milhões de reais).
7. Outros
A lei prevê a criação do Conselho Nacional de Proteção de Dados, situações de exceções e uso de dados para pesquisas.
Resumo
A responsabilidade da organização e dos seus executivos, em especial o CEO, fica mais explícita e descrita em lei. A partir de agora, tratamento de dados pessoais é uma questão séria.
Para implementar os controles exigidos e ficar em conformidade com a lei, as organizações precisam ter um Processo Organizacional de Segurança da Informação e começar a trabalhar ou aprimorar sua proteção imediatamente.
