Desde que entrou em vigor, a Lei Geral de Proteção de Dados – LGPD impôs para as empresas a necessidade de adequação às mudanças trazidas quanto à operação dos fluxos de dados. Ou seja, regras mais rígidas foram dispostas quanto à coleta, transferência, armazenamento, uso e exclusão de dados pessoais.
Com isso, muitas empresas precisaram investir na elaboração de políticas de privacidade, governança corporativa e sistemas seguros de dados, com o apoio da tecnologia.
Surgem, portanto, dúvidas frequentes a respeito de como implantar a LGPD. Neste post, vamos esclarecer as maiores dúvidas sobre a Lei Geral de Proteção de Dados.
Qual o papel da empresa frente às exigências da LGPD?
Basicamente, a empresa assume o papel de transparência e cuidado perante o titular dos dados, isso porque a LGPD garantiu a segurança e o sigilo de dados coletados por empresas públicas e privadas. Logo, impõe às empresas maior cautela quanto ao tratamento e processamento dos dados pessoais.
As empresas estão preparadas para implantar a LGPD?
Muitas empresas não estão preparadas ou estão com muitas dúvidas sobre a LGPD. Dentre os principais motivos para o despreparo por parte das empresas está a falta de pessoas e profissionais capacitados e a inexistência de uma infraestrutura de gestão que garanta a operação do fluxo de dados.
Na prática, a LGPD é um desafio para as empresas, pois precisam se adequar e implantar as políticas de privacidade e demais procedimentos, além de cumprir as exigências legais sob pena de reparar os danos patrimoniais, morais, individuais ou coletivos causados, e ainda, a possibilidade de sofrer sanções desde advertências até aplicação multas pela Autoridade Nacional de Proteção de Dados Pessoais.
Dúvidas frequentes
1) Qual a diferença entre o controlador e o operador de dados?
O controlador e o operador de processamento de dados, em conjunto, formam os agentes de tratamento. A definição sobre o que é um controlador ou um operador está presente no artigo 5º da LGPD.
Em síntese, a diferença entre essas duas figuras está no poder de decisão. O controlador decide quais dados são coletados, o propósito do uso, a forma em que são processados e por quanto tempo. Já o operador processa os dados, seguindo as determinações do controlador.
2) Quais as responsabilidades do controlador de dados?
O controlador é responsável por todo o ciclo de vida dos dados que realiza o tratamento, devendo obediência à boa-fé e aos princípios previstos na LGPD (art. 6º). Além disso, somente poderá tratar dados mediante a existência de base legal para isto, as quais estão previstas no art. 7º e 11 da LGPD.
Entre os deveres do controlador de dados podemos destacar ainda:
- Manter registro das operações de tratamento de dados pessoais que realizar;
- Elaborar e apresentar para a Autoridade Nacional de Proteção de Dados relatório de impacto à proteção de dados pessoais;
- Responder pelos danos sofridos por terceiros em razão do exercício de atividade de tratamento de dados pessoais;
- Fiscalizar o tratamento de dados realizado por seus operadores.
- Cumprir os direitos do titular dos dados, listados no art. 18 a 20, LGPD.
E ainda, o controlador é responsável por indicar o encarregado de dados, o profissional que atuará como canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados.
3) É possível a terceirização da atividade de operador de dados?
Não há expressa vedação quanto à possibilidade de terceirização da atividade de operador de dados, no entanto, nos casos de agentes públicos, algumas classes de dados só podem ser processadas por ente privado sob tutela do ente público.
4) Como funciona o uso de serviços de processamento de terceiros?
Para realizar este tipo de serviço, a empresa precisa celebrar um contrato específico por escrito. Este contrato irá regular o objeto e a duração do processamento, a natureza e a sua finalidade, bem como os tipos de dados pessoais e categorias de titulares dos dados, obrigações e direitos do responsável pelo tratamento.
5) Com a LGPD, vou ter que apagar toda a minha base de contatos?
Não necessariamente. Se a base de dados for formada pela base de clientes da empresa não é preciso apagar, desde que o tratamento dos dados atenda a finalidade específica que justifique o seu uso de acordo com base legal (art. 7º da LGPD).
Agora, se a base de dados foi adquirida ou repassada por terceiros, é recomendado que a empresa apague ou tente negociar uma adequação às novas condições legais.
6) O que acontece se a empresa não se adequar à LGPD?
Caso a empresa não implante a LGPD no sistema de tratamento de dados, pode haver algumas penalidades, como: advertência, multa de até 2% sobre o valor do faturamento da empresa, suspensão temporária do tratamento de dados, proibição de tratamento de dados, bloqueio dos dados pessoais e até mesmo eliminação dos dados pessoais.
É importante ressaltar que as penalidades passam a valer a partir de agosto de 2021, portanto, é necessário que as empresas se adiantem e regularizem a situação para evitar a aplicação de sanções.
Ainda está em dúvida sobre como implantar a LGPD? Essa é uma das especialidades da Molina Tomaz, Sociedade de Advogados. Entre em contato para receber assessoria jurídica de qualidade!