Prepare a casa para a LGPD, que entra em vigor em agosto de 2020. Confira as recomendações abaixo e tenha em mente, sempre, que toda instituição governamental deve, ao tratar dados pessoais, levar em conta o interesse do cidadão e as atribuições legais do serviço público.
É preciso:
ANALISAR as bases jurídicas que devem ser consideradas para se tratar dados pessoais
IDENTIFICAR e ORGANIZAR os dados pessoais, com atenção àqueles que exigem cuidados ainda mais específicos no tratamento (como os pessoais sensíveis e os sobre crianças e adolescentes)
INFORMAR ao titular, antes de efetuar o tratamento, as finalidades da ação (compatíveis com a função pública do órgão), os dados recolhidos, os destinatários dos dados e os direitos dele em matéria de proteção de dados
DIVULGAR de forma clara e atualizada, em site ou outro veículo de fácil acesso, as hipóteses em que, no exercício de suas competências, trata dados pessoais, e a previsão legal, os procedimentos e as práticas utilizadas
ELABORAR medidas técnicas, normas e políticas que contemplem os requisitos da Lei Geral de Proteção de Dados Pessoais para alcançar a conformidade e poder demonstrar isso, caso seja pedido pelo cidadão e pela ANPD
IMPLANTAR um plano de formação e conscientização dos empregados, terceirizados e demais colaboradores sobre a importância da privacidade de dados pessoais
DESIGNAR um encarregado - caso seja necessário (padrões serão definidos pela ANPD, segundo volume de dados tratados, porte da empresa) - que interagirá com o público e com a ANPD
ADAPTAR e revisar procedimentos e formulários, habilitando meios digitais, para atender ao cidadão, em demandas de solicitação e revogação do consentimento e outras mais sobre como seus dados estão sendo tratados
RESPONDER às demandas do cidadão com agilidade. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular: em formato simplificado, imediatamente; ou por declaração clara e completa, fornecida no prazo de até 15 dias, e que indique origem dos dados, critérios utilizados, finalidade do tratamento (observados os segredos comercial e industrial). E, caso faça um determinado pedido e isso seja negado, o cidadão tem direito de saber os motivos da rejeição e, ainda, de fazer uma reclamação à ANPD e/ou uma ação judicial
SABER que o cidadão tem direito a se opor ao tratamento mesmo que este tenha como fim o interesse público. Porém, neste caso, o titular deve apresentar à instituição os motivos, e essa poderá continuar o tratamento dos dados e recusar, assim, o pedido: se demonstrar razões legítimas e imperiosas que prevaleçam sobre os interesses e os direitos do indivíduo; ou caso os dados sejam necessários para declaração, exercício ou defesa de um direito num processo judicial
NÃO ESQUECER que o cidadão titular dos dados também tem direitos, perante um órgão público, regidos por outras legislações, em especial a Lei do Habeas Data, a Lei Geral do Processo Administrativo, e a Lei de Acesso à Informação
EFETUAR análises de riscos e adotar medidas para fazer frente a falhas que possam ferir os direitos e liberdades do cidadão
ESTABELECER protocolos para gerir e, se for o caso, notificar brechas de segurança e vazamentos de dados. Dados pessoais vazados acidental ou ilicitamente a destinatários não autorizados, ou que fiquem temporariamente indisponíveis ou sejam alterados: qualquer violação deve ser notificada ao titular dos dados e à ANPD, sem demora injustificada
NÃO TRANSFERIR a entidades privadas, sem consentimento do titular, dados pessoais constantes de bases a que tenha acesso. Exceto: em casos de execução descentralizada de atividade pública que exija a transferência, observado o disposto na LAI; se for indicado um encarregado para o tratamento de dados pessoais; com respaldo em contratos, convênios ou afins comunicados à ANPD; quando for para prevenir fraudes e irregularidades; para resguardar a segurança e a integridade do titular; quando houver outra previsão legal para tal; ou nos casos em que os dados já forem acessíveis publicamente
LEMBRAR que o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa jurídica de direito privado depende de consentimento do titular, exceto nas hipóteses de dispensa de consentimento previstas na LGPD e nos casos citados no item acima
PROVIDENCIAR os dados em formato interoperável para compartilhamento com outros órgãos públicos, quando isso for necessário para políticas e serviços públicos, descentralização da atividade pública, e para a disseminação e o acesso das informações pela sociedade
ATENTAR que a LGPD permite a transferência de dados além-fronteira, desde que seja: com o consentimento específico do titular; a pedido do titular para que esse possa executar pré-contrato ou contrato; para proteção da vida e da integridade física do titular ou de terceiro; para ajudar na execução de política pública; para país ou organismo internacional que projeta dados pessoais de forma compatível com o Brasil; para cooperar juridicamente com órgãos públicos de inteligência, investigação, ou por conta de compromisso assumido via acordo internacional; para cumprir obrigação legal; com a autorização da ANPD; comprovado que o controlador segue a LGPD na forma de normas globais, selos, certificados e códigos de conduta
