O tratamento de dados é o tema central da LGPD que no seu Artigo 5°, item X, define tratamento como sendo toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Já no seu Artigo 6° a Lei dispõe sobre os princípios que devem ser obervados no tratamento de dados pessoais. Ao todo são 10 princípios: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilidação. Quando estamos executando projetos de consultoria para adequação à LGPD, observamos que quanto maior for o entendimento dos princípios , melhor será o desempenho dos trabalhos para adequação .
O princípio da finalidade, por exemplo, estabelece que o tratamento dos dados deve ser realizado para propósitos legítimos, específicos e explícitos. Esta finalidade deve ser informada ao titular dos dados, o qual deve fornecer autorização (o que a Lei chama de consentimento) para sua utilização. O titular é o proprietário dos dados e os fornece para uma determinada empresa para um determinado propósito. Então, como empresa, precisamos ter bem claro que podemos manter os dados pessoais dos clientes, solicitantes de serviços ou quem nos contrata, enquanto durar a prestação do serviço. Uma vez finalizada a prestação do serviço, temos que eliminar os dados pessoais devem ser eliminados dos registros.
Grande parte das empresas têm por prática manter os dados pessoais em seus registros. A LGPD pede que tais dados sejam eliminados. Assim, a não ser que exista o embasamento legal para a manutenção dos dados pessoais dos clientes nos registros, estes dados deverão ser eliminados. A empresa deverá tomar as providencias necessárias para que estes dados sejam excluídos de suas bases de dados, dos locais onde foram compartilhados ou armazenados. Isto deve ser realizado definindo políticas, redefinindo procedimentos, atualizando softwares e demais medidas necessárias para este fim.
A LGPD, mesmo sendo uma lei, não requer somente revisão de contratos e atenção à parte jurídica. Requer um entendimento mais abrangente sobre o core business da corporação, conhecimento de sistemas de gestão e implementação de processos, bem como, uma componente muito importante de tecnologia da informação. Ou seja, é um trabalho multidisciplinar que deve ser conduzido por profissionais com expertise em projetos de definições estratégicas, sistemas de gestão e qualidade.
Jader Volkmer
Sócio da Datavision
Consulting
Sócio da TresC
Assessoria Empresarial