[Controladores de Dados] LGPD: o que muda no dia a dia do tratamento de dados pessoais

Por
Sandro Santos Souza
DPO e sócio-diretor de TI na GRC Solutions

Após a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) todas as empresas ou entes públicos, conhecidas pela Lei como “controladores de dados”, que tratam dados pessoais de seus clientes, chamados na LGPD de “titulares de dados”, serão responsabilizadas por possíveis danos aos titulares de dados decorrente de tratamento indevido. 

De forma prática os controladores de dados devem atentar-se, entre outras questões, às relacionadas abaixo:   

  • O controlador de dados é diretamente responsável pela forma como os operadores tratam os dados pessoais de seus clientes e devem atentar-se aos contratos estabelecidos. 

    Ex.: Empresa A contrata a empresa B para criar uma loja virtual, ou seja, o controlador “empresa A” está contratando um fornecedor “empresa B” conhecido na LGPD como “operador de dados” para tratar dados pessoais em seu nome.   

 

  • O controlador de dados deve estabelecer mecanismos de comunicação com seus clientes, este ambiente deve permitir que os titulares de dados exerçam seus direitos

 

  •  O controlador deve observar as bases legais que são as hipóteses que permitem o tratamento de dados pessoais. É importante lembrar que elas não possuem dependência nem predominância entre si. A LGPD prevê 10 Bases Legais.Veja alguns exemplos abaixo:Execução Contratos: Base que permite o tratamento de dados pessoais para que seja cumprida uma obrigação legal prevista em contrato. Ex.: Contratação de um colaborador.

    Execução de Políticas Públicas: Utilizada em casos nos quais o tratamento de dados pessoais está diretamente associado ao interesse público, por exemplo em situações que envolvam segurança nacional.

    Consentimento: Base que permite o tratamento de dados mediante a manifestação inequívoca do titular do dado. Essa é uma das bases mais disseminadas e discutidas, pois permite o rápido consentimento. Em contrapartida, pode se tornar frágil, pois o mesmo pode ser revogado a qualquer momento.

     

A LGPD exige que as empresas busquem a adoção de medidas técnicas e organizacionais para proteger os dados pessoais, sendo assim o controlador deve atentar-se de forma efetiva aos controles relacionados à segurança de informações. Entre as melhores práticas destacamos a utilização da ISO 27001, em referência. A ISO 27001 é o padrão internacional que direciona as empresas na implementação e manutenção de um sistema de gerenciamento de segurança de informações. É considerado o ponto de partida para qualquer empresa que queira se adequar aos requisitos técnicos e operacionais. 

A missão do controlador de dados não é simples. É importante contar com o engajamento das áreas internas da organização e com parceiros que possam auxiliar de forma multidisciplinar a implementação da cultura de proteção de dados.

Por fim, pergunto: como está a percepção da sua empresa quanto ao projeto de adequação à LGPD?

 

 

Receba um Mapa da Percepção de Aderência à LGPD e compreenda o estado atual da sua empresa em relação ao tratamento de dados pessoais.
Faça gratuitamente uma avaliação:
https://conteudo.grcsolutions.com.br/lgpd-aderencia-adequacao