Impacto da Lei Geral de Proteção de Dados para Startups e empresas de TI

O que é?

Foi sancionado no dia 14/08/2018 a lei geral de proteção de dados, que estabelece regras para empresas e entidades usarem e coletarem as informações das pessoas (online e offline), punição para as que fizerem isso indevidamente e a criação de um órgão regulador.

Por quê?

O Regulamento Geral de Protecção de Dados (RGPD) gera impactos muitas empresas ainda não estão preparadas para aplicar a nova legislação da União Europeia.

De que forma?

Reestruturação de departamentos, dinâmicas e processos terão que ser reajustados e que toda a organização, incluindo colaboradores, chefias intermédias e órgãos de gestão, devem ser envolvidos neste processo de adaptação e mudança.

1. Avaliar e mapear todos os dados pessoais passíveis de tratamento 

2. Definição de plano de ação 

3. Definir políticas, processos e procedimentos 

4. Designar um encarregado de proteção de dados (DPO-Data Protection Officer) 

5. Rever a política de privacidade 

6. Criar medidas técnicas e organizativas estruturadas 

Para que este processo seja mais simples, um conjunto de orientações legais deve ser seguido e, se possível, ter apoio de um parceiro especializado no tema que lhe garanta uma metodologia orientada a Pessoas, Processos e Tecnologia.

Principais pontos do GDPR no Brasil:

1. EFICÁCIA EXTRATERRITORIAL E TRANSFERÊNCIA INTERNACIONAL DE DADOS 

2. Dados pessoais, sensíveis e anonimizados.

3. Hipóteses em que os dados pessoais podem ser tratados

4. O que é tratamento de dados sob a ótica da lei?

5. Consentimento fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

6. O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso, com algumas premissas.

7. Atenção à questão de criança e adolescente.

8. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade

9. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição, com alguns requisitos.

10. A empresa deverá apresentar confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular.

11. Workflow de solicitação ao DBA (consulta rápida de informações, agilidade, sigilo x burocracia).

12. Integração com o poder público.

13. DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS - DPO - Data Protection Officer (responsabilidade - dados não vazem)

14. Da Responsabilidade e do Ressarcimento de Danos - O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará- lo. Com exceções.

15. Multa, governança e fiscalização - Exemplo: multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

16. Lobby - Da Autoridade Nacional de Proteção de Dados (ANPD) - Do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade

17. Alterações e impactos no Marco Civil da Internet