A Lei nº 13.709/2018, Lei Geral de Proteção de Dados (LGPD), é a norma que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado. O objetivo é o de proteger os direitos fundamentais de liberdade e de privacidade e permitir o livre desenvolvimento da personalidade da pessoa natural.
A LGPD é, com acerto, uma das mais importantes normas recém promulgadas e que vem inaugurar uma nova cultura de privacidade e proteção de dados e informações no país, o que demandará a conscientização de toda a sociedade brasileira.
A proteção de dados e informações pessoais tem como fundamentos o respeito à privacidade, a autodeterminação informativa, a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem, o desenvolvimento econômico e tecnológico e a inovação, a livre iniciativa, a livre concorrência e a defesa do consumidor, os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
A LGPD se aplica, portanto, a qualquer operação de tratamento de dados e informações realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estes estejam localizados, desde que a operação de tratamento seja realizada ou os dados obtidos no território nacional.
Dada a gravidade e importância do tema, algumas orientações para tratamento dos dados e informações são oportunas e necessárias.
Nesse diapasão, as políticas de governança e tratamento dos dados e informações pelas pessoas jurídicas de direito público e privado devem ser conduzidas com ética, responsabilidade, transparência, segurança, privacidade, qualidade e observar as seguintes orientações:
a) Estabelecer mecanismos adequados para assegurar a proteção e o sigilo dos dados e informações disponibilizados no âmbito do registro de suas operações de forma a impedir qualquer tipo de acesso indevido;
b) Estar em conformidade com a legislação e a regulamentação vigentes que tratam da proteção e do sigilo de dados e informações, inclusive de dados pessoais;
c) Assegurar as condições adequadas de segurança da informação, inclusive no que se refere à segurança cibernética;
d) Prever mecanismos para assegurar que a propriedade dos dados e informações objeto de registro seja preservada;
e) Proibir a comercialização ou a disponibilização gratuita dos dados e informações de clientes, colaboradores, parceiros de negócios e fornecedores, sejam eles na forma individualizada ou agregada, salvo com o consentimento expresso do respectivo titular dos dados;
f) Proibir a utilização ou a manipulação dos dados e informações registrados, exceto quando observados os requisitos da legislação vigente e ou as condições contratualmente estabelecidas clientes, colaboradores, parceiros de negócios e fornecedores;
g) Proibir a troca de informações com clientes, concorrentes, colaboradores, parceiros de negócios e fornecedores, salvo se autorizados pelo titular dos dados e ou pela legislação;
h) Eliminar, em caso de portabilidade dos dados para outro sistema de registro, todos os dados e informações registradas no sistema anterior em conformidade com a legislação vigente e ou as condições contratualmente estabelecidas; e,
i) Assegurar as condições adequadas para preservar a proteção e o sigilo de dados e informações que lhes forem disponibilizados, sob pena de responsabilização por danos causados por seu uso indevido.
Deste modo, para estar em conformidade com a LGPD, além das políticas governança e de tratamento de dados e informações, devem as pessoas jurídicas de direito público e privado mapear os seus processos (quais os dados coletados, o seu formato, a sua finalidade, o seu ciclo de vida?), rever as medidas técnicas de segurança dos dados e revisar todos os contratos celebrados para adequá-los à norma.