Muitos são os desafios trazidos pela Lei Geral de Proteção de Dados (Lei 13.709/18), alterada pela Medida Provisória 869/18. Com certeza muitas discussões surgirão sobre as obrigações a serem observadas por todos. Fica evidente o grande trabalho a ser executado pelas organizações, sejam elas privadas ou públicas, até o dia 14 de agosto de 2020, para que estejam totalmente preparadas e aptas a realizar o tratamento de dados pessoais.

Os Agentes de tratamento de dados definidos na Lei como Controlador e Operador, estão imputados de grandes responsabilidades, quais sejam:

Registros das operações e sua manutenção – a principal obrigação estabelecida pela Lei referente aos agentes de tratamento de dados foi de que toda a atividade de tratamento de dados pessoais deve ser registrada, indicando quais os tipos de dados serão coletados, a base legal, as suas finalidades, o tempo de retenção, as práticas de segurança de informação.

Adoção de medidas de segurança – Os agentes de tratamento de dados devem adotar medidas de segurança, capazes de proteger os dados pessoais.

Notificação obrigatória a Autoridade Nacional de Proteção de Dados (ANPD) – Todo incidente envolvendo o tratamento de dados que possam vir a acarretar risco ou danos aos seus titulares, deverão ser reportados a ANPD e os titulares envolvidos.

Elaboração do relatório de impacto à privacidade – é a documentação do Controlador que contém a descrição dos processos de tratamento de dados que podem vir a gerar riscos aos direitos dos titulares, bem como as medidas adotadas de mitigação desses riscos. Poderá ser obrigatório em situações já caracterizadas como de risco ou, por solicitação da ANPD.

Responsabilidade solidária – os agentes de tratamento de dados poderão responder solidariamente pelos incidentes ocorridos. Cabe ressaltar que a responsabilidade do operador, pode ser limitada às suas obrigações contratuais, caso não viole as normas impostas pela LGPD.

Ônus da prova – a LGPD atribuiu ao Controlador o ônus da prova do consentimento do titular dos dados tratados, vale aqui ressaltar que havendo o vício de vontade, o consentimento deixa de ser valido.

Dispensa de consentimento – havendo dispensa da exigência de consentimento, não desobriga os agentes de tratamento das demais obrigações previstas na Lei.

Temporalidade do consentimento – o consentimento é sempre temporário, podendo ser revogado a qualquer tempo por procedimento gratuito e facilitado. Qualquer alteração nas condições que suportaram o consentimento, ensejará a necessidade de um novo consentimento.

Término do tratamento de dados – os agentes devem observar quanto ao término do tratamento, que ocorrerá quando: a finalidade foi alcançada; que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade; ocorrer o fim do período de tratamento; comunicação do titular, inclusive na revogação do consentimento, resguardado o interesse público; e por determinação da Autoridade.

Eliminação dos dados pessoais – O Controlador, findo o prazo do tratamento dos dados, tem a responsabilidade de verificar que os dados pessoais sejam eliminados, autorizada a conservação para as seguintes finalidades: cumprimento de obrigação legal ou regulatória pelo Controlador; estudo por órgão de pesquisa; transferência a terceiros, uso exclusivo do Controlador (dados anonimizados).

Alterações no tratamento de dados – o titular deverá ser informado, com ênfase no teor das alterações, podendo o titular solicitar a revogação caso discorde da alteração efetuada, observado os casos em que o seu consentimento é exigido.

Comunicação ou compartilhamento de dados – Ocorrendo a necessidade de comunicação ou compartilhamento de dados pessoais com outros Controladores, deverá ser obtido consentimento específico do titular para esse fim.

Observação aos direitos do titular dos dados – O titular dos dados pessoais tratados, tem o direito de obter do Controlador, a qualquer momento, informações como a confirmação da existência de tratamento; acesso aos dados; correção de dados; anonimização, bloqueio, eliminação de dados desnecessários ou tratados em inconformidade com a LGPD; portabilidade dos dados; observa-se a exceção nos casos previstos na Lei;

Transferência internacional de dados – os agentes de tratamento de dados pessoais, devem estar atentos no que tange o fluxo de dados para outros países, pois somente será permitida a transferência para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais compatível com a Lei brasileira ou mediante garantias do regime de proteção de dados local.

Enfim, é preciso observar as oportunidades que a adoção as normas estabelecidas pela Lei Geral de Proteção de Dados trarão as organizações (públicas ou privadas), bem como aos titulares dos dados a serem tratados: incentivo ao desenvolvimento econômico e tecnológico, consolidação das relações comerciais, aumento do nível de Compliance das instituições, fortalecimento do consumidor, aprimoramento da livre iniciativa e da concorrência e maior transparência nas relações comerciais, nivelamento do Brasil aos demais países que já possuem legislação sobre proteção de dados pessoais.

Dessa forma, fica evidente o grande trabalho a ser executado pelas organizações, sejam elas privadas ou públicas. A caminhada para chegar no dia 14 de agosto de 2020, totalmente preparadas e aptas a executar o tratamento de dados de acordo com os ditames da Lei Geral de Proteção de Dados.

---

A Lopes, Machado Auditores não se responsabiliza, nem de forma individual, nem de forma solidária, pelas opiniões, idéias e conceitos emitidos nos textos, por serem de inteira responsabilidade de seu(s) autor(es).