08 de agosto, de 2021 | 09:30

Dados de usuários devem ser tratados com cuidado, aponta analista

Com a Lei Geral de Proteção de Dados (LGPD), que passou a ter penalidades previstas desde o dia 1º de agosto deste ano, o processamento e armazenamento de dados pessoais de terceiros passa a ser regulamentado. Neste cenário, o analista de Suporte Nível I e graduado em Ciência da Computação, Ronan Fernandes Castro, que atua em Ipatinga, avalia como as empresas devem proceder diante de novas regras.

Ronan pontua que a adequação à LGPD tem sido um processo desafiador para empresas no Brasil. A dificuldade na gestão certamente aumenta com a utilização de terceiros nas atividades da empresa e isso muitas vezes envolve o tratamento dos dados pessoais. Ele acrescenta que nos projetos de implementação, quando as empresas se deparam com a necessidade de exigir e monitorar os seus fornecedores quanto à proteção de dados e segurança da informação, surgem algumas incertezas: como exigir e acompanhar os terceiros no tocante à conformidade com a LGPD? Como não inviabilizar negócios com esses terceiros que não estão em parte ou totalmente em conformidade com a lei?

“A LGPD estabelece quais controles poderão estabelecer regras de boas práticas, implementando ações educativas e desenvolvendo mecanismos internos de supervisão e mitigação de riscos, devendo manter os registros das operações de tratamento de dados pessoais. Diante desse cenário, é fundamental que a empresa que contrata serviços ou utiliza produtos de terceiros, via de regra denominada como controladora, para realizar tratamento de dados pessoais, conheça os riscos associados e certifique-se de contratar fornecedores que estejam engajados com a proteção de dados”, alerta.

O analista salienta que deve sempre haver um procedimento de avaliação da proteção de dados pessoais em terceiros da empresa, com o apoio do responsável pelo Tratamento dos Dados Pessoais, onde deve ser aplicado nos momentos da contratação e da renovação contratual. “No entanto, esse procedimento também é importante para a manutenção e quando houver encerramento da relação entre os agentes de tratamento de dados pessoais”, avalia.

Como evitar dores de cabeça

O profissional aconselha sobre como proceder ao lidar com dados de outras pessoas. “É fundamental solicitar o consentimento do titular para acesso aos seus dados. Há casos específicos em que a empresa ou instituição não fica obrigada a pedir o consentimento do indivíduo para coleta e tratamento. Entretanto, os dados coletados sem consentimento podem ser utilizados apenas para os fins específicos. Os dados sensíveis (como a origem racial ou étnica, a convicção religiosa do titular e etc.) devem ser tratados somente com o consentimento do titular, que deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular”, frisa.

Um ponto importante é que a lei exige que o consentimento seja solicitado para fins específicos do controlador e que as autorizações genéricas para o tratamento de dados pessoais serão nulas. Caso ocorram mudanças da finalidade para o tratamento de dados pessoais que não sejam compatíveis com o consentimento originalmente fornecido pelo titular, o cidadão deve ser informado sobre isso previamente e tem o direito de revogar a concordância.

Como adequar um site à lei geral de proteção de dados

Ronan Fernandes Castro aponta que todo site que coleta informações de seus usuários, seja por tecnologias de rastreamento, como o Google Analytics, ou por meio de formulários, passa a ser obrigado a expor sua política de privacidade para a aceitação de seus clientes, informando as operações realizadas com os Dados Pessoais de forma automatizada ou não.

“Ou seja, é a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, armazenamento, arquivamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”, elenca.

Para a devida adequação do site ao exigido por lei, são necessários quatro passos: segurança de tráfego, SSL; Todos os projetos que trafegam dados de usuários devem ter essas informações criptografas por meio da instalação de um Certificado de Segurança Digital; Formatação da política de privacidade; Texto contendo todos os tipos de dados, as formas de captação, os tipos de uso e as maneiras como o usuário pode ter informação, assim como domínio em cima de seus dados pessoais armazenados; Canal de comunicação; Sistema para o cliente solicitar a alteração ou exclusão de seus dados pessoais no site; Mensagem de aceite, uma mensagem deve ser exibida em todas as páginas para que o usuário aceite os termos de sua Política de Privacidade.

Quais empresas devem se adequar?

Todas as empresas que armazenam, coletam ou processam dados pessoais precisam se adequar à Lei Geral Proteção de Dados (LGPD). Isso porque, ainda que uma empresa, seja ela de pequeno, médio ou grande porte, não tenha, por exemplo, contato direto com consumidores, ela tem certamente, dados pessoais de funcionários, clientes, fornecedores, parceiros, etc.

Desta forma, a lei exige que todas as empresas que fazem “tratamento” de dados pessoais devem se adequar a ela, e, em linhas gerais, implementar medidas de segurança para preservação desses dados, garantir consentimento do titular ao tratamento e uso de seus dados, bem como prover fácil acesso aos dados e de revogação do consentimento já dado pelo titular (dono dos dados pessoais).