Para se adequar à LGPD, principalmente, será necessário mudar a cultura no que diz respeito à gestão dos dados, contratação de especialistas e investimento em segurança da informação.
A empresa terá que fazer um mapeamento e documentação dos dados que já possui e classificar essas informações. É importante, por exemplo, verificar se os dados estão armazenados de maneira segura, se foram coletados mediante consentimento e para qual finalidade. Além disso, aos funcionários que lidam com dados de pessoas e clientes devem assegurar o sigilo das informações seguindo boas práticas de segurança da informação.
Quais são os princípios da LGPD?
O artigo 6º da LGPD diz que as atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes 10 princípios:
I – Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e,
X – Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Quais são as bases legais da LGPD?
O artigo 7º da LGPD diz que as empresas deverão comprovar ao menos uma das seguintes bases legais para realizar o tratamento dos dados pessoais:
- Mediante o fornecimento de consentimento pelo titular;
- Para o cumprimento de obrigação legal ou regulatória pelo controlador;
III. Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do capítulo IV desta lei;
- Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
VII. Para a proteção da vida ou da incolumidade física do titular ou de terceiros;
VIII. Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
- Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.