Vamos falar sobre a Lei Geral de Proteção de Dados?

Um dos passos importantes na implementação da LGPD dentro de uma empresa é entender o fluxo dos dados, isto é, o curso pelo qual o dado possui desde a entrada na empresa, até o seu efetivo descarte. Abaixo segue uma explanação acerca de cada etapa.

1º COLETA: essa é uma das fases mais críticas, pois é o momento de inserção dos dados dentro da empresa. Nesse momento é necessário que se verifique a necessidade daquela coleta, e que sejam coletados da forma legal e com a obtenção de consentimento de seus titulares, quando necessário.

A Lei conceitua tal consentimento em seu artigo 5º inciso XII, como: "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada".

Destaca-se que o titular dos dados é aquela pessoa a quem pertence as informações, e se tratando de dados sensíveis, é acompanhado do consentimento e a ciência inequívoca do titular dos dados acerca da razão da coleta.

2º PROCESSAMENTO: maneira pela qual a empresa utiliza os dados coletados, de acordo com a finalidade preestabelecida.

Essencial que se tenha cuidado e proteção aos dados coletados, independentemente da fase, uma vez que muitas vezes a violação de segurança ocorre através de acessos indevidos, que podem ser evitados se tivessem sido tomados os devidos cuidados.

Um exemplo prático neste ponto é quanto ao tratamento de dados de maneira eletrônica. Tais dados não podem simplesmente ficar expostos na tela do computador sem que o operador desses dados esteja utilizando, a fim de evitar incidentes de violação.

3º TRANSFERÊNCIA: há casos em que se faz necessária a transferência dos dados, seja interna ou externamente, isto é, através do envio de documentos de um departamento para outro dentro da empresa ou até mesmo para uma empresa terceira prestadora de serviços, configurando-se, neste último, a transferência externa.

As empresas que cedem os dados pessoais deverão se assegurar que estejam fornecendo os dados para serem tratados por empresas terceiras, que de igual maneira estejam aptas a recebe-los e garantir a sua confidencialidade e privacidade.

4º ARMAZENAMENTO: Cuidados extras para evitar a violação de segurança, incluindo os acessos indevidos. Os dados podem ser armazenados de maneiras diferentes, a depender de seu formato, seja eletrônico ou em mídias físicas (documentos em papel), diversificando os modos de operação dos controladores de dados pessoais

Neste ponto a Lei não determinou o tempo pelo qual podem ser armazenados os dados pessoais por aqueles que os manuseiam. Entretanto, dispõe que o término do tratamento de dados ocorrerá no momento em que identificada a finalidade pretendida, ou que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade.

Os dados eletrônicos, por exemplo devem ser armazenados de acordo com a política de TI;

· Protegidos por senha;

· Encontrados facilmente pelos agentes de tratamento (caso de auditoria interna).

Os documentos em papel devem ser armazenados em local livre de acessos indevidos.

5º DESCARTE: Ocorre após o término do tratamento do dado ou a ausência de hipóteses que legitimam a continuidade do tratamento, ou a fim de atender às solicitações de seus titulares.

Não importa qual o meio em que a informação chegou até a empresa - papel, virtual, equipamentos eletrônicos -, ou como ela é armazenada, a fase do descarte é essencial e deve ser protegida assim como todas as fases anteriores.

Existem algumas opções, como picotar documentos em papel, excluir informações da nuvem e formatar HDs físicos para garantir que os dados não sejam mais acessados, mas é preciso criar uma política clara dentro da empresa para isso e cumpri-la.