1. Construa seu registro e catalogue seus dados pessoais
Em primeiro lugar, gerenciar os dados pessoais que foram coletados é uma atividade que possui a obrigação de manter registradas as operações de tratamento de dados de acordo com o que prevê o artigo 37 da LGPD.
O registro dos dados é um documento de levantamento e análise do tratamento de dados pessoais realizado que deverá refletir a realidade dos processos de tratamento, bem como identificar:
– as partes interessadas/envolvidas;
– as categorias de dados processados;
– para que serve o tratamento, quem acessa aos dados e com quem eles são comunicados;
– o prazo de conservação;
– como funciona a segurança dos dados.
Além de uma obrigação jurídica, o registro é, sobretudo, uma ferramenta de orientação para verificar se a atividade está em conformidade com a LGPD. Ele permite documentar e obter uma visão geral dos processos de tratamento de dados.
Leia mais: Blog Solere – Dicas para elaborar projetos de TI de acordo com a LGPD
2. Defina uma finalidade para os dados pessoais
A finalidade corresponde ao uso que você fará com aqueles dados coletados. Esse fim deve ser respeitado durante toda a construção e seu uso nos processos de tratamento de dados. Ela deve ser clara, compreensível e respeitada. Não é possível usar os dados para outro objetivo além daquele definido.
3. Verifique a pertinência dos dados pessoais
Os dados coletados devem ser apenas aqueles estritamente necessários para atender a finalidade definida.
4. Trata-se de um dado pessoal sensível?
Os dados pessoais sensíveis são as informações que revelam a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou associação a sindicatos dos seus titulares. Também são considerados dados sensíveis informações genéticas, biométricas, os dados relacionados à saúde, vida sexual ou orientação pessoas das pessoas.
Em razão dessa sensibilidade, o tratamento desses dados só é possível em hipóteses limitadas previstas no art. 11 da LGPD.
Leia mais: Blog Solere – Melhores soluções para armazenamento de dados
Devo fazer um relatório de impacto à proteção de dados pessoais? Se sim, como?
Quando um tratamento de dados pessoais representa um risco elevado para os direitos e liberdades das pessoas envolvidas, um relatório de impacto sobre a proteção de dados deve ser elaborado.
A princípio compete à Agência Nacional de Proteção de Dados estabelecer quais são as operações de tratamento para as quais o relatório é obrigatório. Essa lista ainda não foi criada, contudo, é possível extrair da legislação internacional que o tratamento que preenche ao menos 2 dos 9 critérios da European Data Protection Board deve elaborar esse relatório de impacto.
Os 9 critérios consistem em:
– Avaliação/scoring, os quais incluem comparação/criação de perfis;
– Decisão automatizada com efeito legal ou similar;
– Vigilância sistemática;
– Coleta de dados sensíveis ou altamente pessoais;
– Coleta de dados pessoais em larga escala;
– Cruzamento de dados;
– Tratamento de dados pessoais de vulneráveis (idosos, crianças e adolescentes, por exemplo);
– Uso inovador (uso de novas tecnologias);
– Exclusão do benefício de um direito/contrato
Como instalar a portabilidade de dados?
O direito à portabilidade oferece às pessoas a possibilidade de recuperar uma parte de seus dados em um formato aberto e legível por máquina. Elas podem também recuperar esses dados com um propósito de uso pessoal, de armazenamento em um dispositivo ou nuvem de dados privada, por exemplo.
Ademais, é possível que as pessoas escolham transferir seus dados pessoais de uma empresa para outra, seja por ela mesma, seja diretamente pela empresa que detém os dados – ressalvadas as hipóteses em que a transferência direta entre empresas não seja tecnicamente possível.
Leia mais: Blog Solere – A LGPD e o armazenamento de dados pessoais na nuvem (cloud computing)
Como gerenciar as transferências internacionais de dados de acordo com a LGPD?
Em regra, a transferência internacional de dados é permitida nos casos em que os países internacionais ou organismos internacionais proporcionam grau de proteção de dados pessoais adequados ao previsto pela LGPD.
Também é possível a transferência quando forem oferecidas e comprovadas garantias de cumprimento dos princípios, dos direitos do titular de dados e do regime de proteção de dados previsto na Lei nacional. Outras hipóteses em que se permite a transferência são casos de cooperação internacional; obrigação legal; proteção da vida ou incolumidade física do titular ou terceiro; ou quando a autoridade nacional autorizar.
Em conclusão, este texto procura tratar sobre como gerenciar os dados em conformidade com a LGPD. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.