Com menos de 60 dias para entrada em vigor da Lei Geral de Proteção de Dados (LGPD), as empresas, em geral, estão cada vez mais atentas à adaptação às novas regras de tratamento de dados pessoais.
Ainda existem muitas dúvidas, por se tratar de uma lei nova e, por isso, a ANPD, o órgão regulador, lançou recentemente um Guia Orientativo sobre os conceitos e exemplos na prática. Para processar de forma eficaz e adequada dados pessoais comuns ou sensíveis, os dez princípios básicos da LGPD devem ser seguidos.
Leia nosso artigo: “ANPD lança Guia Orientativo para as adequações à LGPD”
1) Finalidade:
Com a entrada em vigor da LGPD, é obrigatório ter determinada a finalidade do processamento de dados no momento da coleta. Cada informação pessoal deve ser processada para fins específicos, legais, claros e informados. Em outras palavras, as empresas devem explicar porque usam todos os dados pessoais. Esses fins também devem estar dentro dos limites legais e devem ser claramente acompanhados de todas as informações pertinentes ao titular.
E não só isso, a empresa não tem o direito de alterar a finalidade durante o período de tratamento. Se sua empresa solicita e-mails de clientes com o propósito específico de fazer login na plataforma, você não pode usar o mesmo e-mail para enviar anúncios ou ofertas.
2) Adequação:
Os dados pessoais processados devem cumprir a finalidade comunicada pela empresa. Em outras palavras, deve ser compatível com a destinação à qual se refere, sem apresentar inconsistência.
Por exemplo: se você possui uma clínica médica, não tem justificativa para solicitar dados financeiros de um paciente. E se não é justificável, se torna inadequado.
3) Necessidade:
Em geral, as empresas devem usar apenas os dados necessários para atingir seus objetivos. Busque encontrar um equilíbrio entre o que é realmente importante para o seu negócio e o que é conveniente. Fique atento ao fato de que quanto mais dados você processar, maior será sua responsabilidade, inclusive no caso de vazamentos e incidentes de segurança.
Com isso, o empresário possui a oportunidade de avaliar se sua estrutura de armazenamento e segurança da informação é adequada ao tamanho da sua operação de processamento.
4) Livre acesso:
Os titulares de dados têm direito a aceder a todos os dados que a empresa possui sobre eles, de forma simples e gratuita. Além disso, tem o direito de saber algumas questões, tais como a empresa trata as informações, como processa e por quanto tempo, devem ser especificados aos titulares.
5) Qualidade dos dados:
Os controladores devem garantir que as informações que a empresa possui sobre os dados dos titulares, sejam verdadeiras e atualizadas. Estar atento à exatidão, clareza e relevância dos dados, de acordo com as necessidades e finalidades do processamento de dados, é fundamental.
Conforme a LGPD, os titulares dos dados têm o direito de corrigir dados incompletos, imprecisos ou desatualizados e informações sobre entidades públicas e privadas, com as quais o controlador compartilha os dados, bem como não fornecer consentimento e consequências dessa rejeição.
6) Transparência:
Como vimos no princípio do Livre Acesso, todas as informações fornecidas pela empresa, em todos os seus meios de comunicação, devem ser claras, precisas e verdadeiras, com uma linguagem simples e que fique disponível ao acesso gratuitamente. Além disso, a empresa não pode divulgar secretamente informações pessoais para outras pessoas. Se você fornecer dados pessoais a terceiros, incluindo operadores necessários para a execução do serviço, o titular deve estar ciente disso.
7) Segurança:
A segurança inclui medidas técnicas e de gestão, que podem proteger os dados pessoais de acesso não autorizado e destruição, perda, alteração, comunicação ou disseminação acidental ou ilegal. É dever das empresas buscar procedimentos, medidas e tecnologias, que garantam a proteção dos dados pessoais contra o acesso de terceiros, mesmo que não autorizados, como no caso de uma invasão de hackers. Trabalha com o princípio da prevenção, pois as ferramentas de segurança servem para mitigar e prevenir possíveis incidentes indesejados.
8) Prevenção:
Esse princípio visa permitir que as empresas tomem medidas antecipadas, para evitar danos devido ao processamento de dados pessoais. Em outras palavras, a empresa deve agir antes que ocorra um problema, não apenas depois dele.
A prevenção é derivada dos pilares da Segurança da Informação, nos quais você deve se proteger contra possíveis eventos que possam ocorrer, tomando medidas para prevenir danos relacionados ao processamento de dados pessoais.
Para garantir que as informações sejam protegidas e tenham segurança da informação eficaz, além de investir em tecnologia, é necessário manter a consistência dos processos e a conscientização das pessoas em toda a organização. Portanto, com a formulação de políticas de segurança da informação, consistentes com o uso adequado de processos organizacionais, tecnologia e consciência das pessoas sobre como lidar com as informações e recursos da empresa, um ambiente adequado pode ser fornecido para mitigar os riscos na empresa.
9) Não Discriminação:
O processamento de dados não é permitido para fins discriminatórios, ilegais ou abusivos. Devido a certas características, independentemente de raça ou origem étnica, opiniões políticas, religião ou crença, localização geográfica, filiação sindical, estado genético ou de saúde e orientação sexual, os detentores de dados pessoais não podem ser excluídos no processamento de dados.
Isso não quer dizer que nunca haverá segmentação do processamento de dados, mas tais restrições só podem ocorrer sob certas condições e são estipuladas por lei, como o tratamento de dados de alunos por cotas, de acordo com a Lei de Cotas 12.711/2012.
10) Responsabilização e Prestação de Contas:
Esses princípios estipulam que, o agente (controlador ou operador) que processa os dados pessoais, deve atestar todas as medidas eficazes que possam comprovar o cumprimento da LGPD e a eficácia das medidas tomadas. Isto significa que o controlador ou operador tem o compromisso de prestar contas, tendo em vista as suas responsabilidades, provar ao órgão autorizado que os objetivos propostos, sejam técnicos e/ou preventivos, estão em conformidade com os princípios e bases legais estabelecidos, para comprovar a eficácia e adequação da proteção de dados pessoais.
Conclusão
Além de focar no cumprimento integral da legislação, a empresa também deve ter evidências de todas as medidas tomadas, para comprovar sua integridade e diligência.
Portanto, compreender e internalizar as verdadeiras intenções da LGPD, torna mais fácil para as corporações projetarem seus modelos de negócios e também permite que todas as empresas processem dados na prática. Em suma, esses são os 10 princípios elencados no artigo 6º da LGPD, de forma resumida.
Perfil do Autor
- Atualmente exerce a função de Diretor Tecnologia & Produtos na NowCy. Possui 12 anos de experiência em Infraestrutura de TI e Segurança da Informação. Atuando na coordenação e elaboração de projetos para organizações governamentais e privadas. Possuí dezenas de certificações profissionais, em destaque: Fortinet NSE 1, 2, 3, + Cisco CCNA R&S & CCNP R&S - ITIL - IPv6 Enginner - SentinelOne Core - Picus Security, dentre outras.
Últimas Postagens
Segurança ofensiva28 de agosto de 2024Pentest: O que é, importância e como proteger sua empresa com Testes de Penetração- Cibersegurança7 de agosto de 2024Sentinel One: como a solução se destaca versus a CrowdStrike
- Cibersegurança19 de junho de 2024O que é Phishing e como proteger sua empresa
- Firewall11 de junho de 2024SD-WAN Fortinet: O que é e quais suas funcionalidades
