Exigências da nova Lei de Proteção de Dados

Faltam menos de 18 meses para empresas se adequarem à nova Lei Geral de Proteção de Dados (Lei 13.709/2018). Isso envolve regularização de atividades, mudanças técnicas, procedimentais e culturais. A principal exigência é de maior transparência no tratamento de dados. Devem informar como usam os dados, permitir acesso, correções e exclusões. Respeitar as formas legais no tratamento de dados pessoais como obtenção de consentimento, livre, informado e inequívoco do titular. O interesse legítimo do controlador não poderá prevalecer sobre os direitos e liberdades fundamentais do titular, que passa a ter direito à portabilidade entre fornecedores.

Quando em vigor, as empresas devem tratar somente o mínimo de dados necessários para a realização de suas finalidades e devem elimina-los após o uso. O tratamento dos dados pessoais de crianças passa a exigir o consentimento específico e em destaque de ao menos um dos pais ou responsável legal da criança. Todas as atividades de tratamento de dados precisarão estar registradas, acompanhadas da justificativa da operação. Relatórios de impacto à proteção de dados pessoais devem ser preparados nos casos de riscos às liberdades civis e aos direitos fundamentais dos titulares, descrevendo os tratamentos bem como medidas, salvaguardas e mecanismos de mitigação. As empresas deverão indicar um Data Protection Officer como o canal de comunicação entre empresa e titulares. A transferência internacional de dados pessoais passa a ser permitida em casos específicos e consentidos.

Incidentes terão de ser notificados à autoridade e ao público usuário, conforme a gravidade.

Sanções administrativas serão aplicadas sobre descumpridores da LGPD, incluindo multa de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração.