LGPD para OSCIPs

O que é?  A LGPD visa proteger os direitos à liberdade e à privacidade e estabelece as regras que empresas e governos devem seguir ao coletar e processar dados pessoais (como nomes, CPF, endereços) e dados confidenciais. A presente lei aplica-se às pessoas físicas e jurídicas que tratem dados pessoais, no que respeita ao território nacional.

O que prevê? A empresa ou pessoa que trata dados pessoais deve seguir o:

• Princípio da finalidade
  tratamento para fins lícitos, específicos e explícitos, o titular dos dados deve ser informado
• Princípio da adequação
  dar o contexto do tratamento, tornando- o coerente com a finalidade de informar o titular
• Princípio da necessidade
  Limitar o processamento aos dados necessários para cumprir sua finalidade.
• Princípio do livre acesso
  Garantir aos titulares uma consulta cómoda e gratuita sobre a forma, duração e completude dos seus dados pessoais
• Princípio da qualidade dos dados
   Assegurar que os dados pessoais são atuais e claros e relevantes para as finalidades para as quais são processados.
• Princípio da transparência
  Garantir que os titulares tenham acesso a informações claras, precisas e acessíveis sobre o tratamento e os envolvidos no tratamento.
• Princípio da segurança
  Utilizar medidas técnicas e administrativas que protejam os dados pessoais contra o acesso não autorizado e a destruição, perda, alteração, disseminação ou divulgação acidental ou ilícita.
• Princípio da prevenção
  adotar medidas para evitar a ocorrência de danos como resultado do processamento de dados pessoais.
• Princípio da não discriminação
  Processar dados pessoais apenas para fins não discriminatórios, ilegais ou abusivos.
• Princípio da responsabilização e prestação de contas
  Demonstrar a adoção de medidas eficazes e capazes de comprovar o cumprimento das normas de proteção de dados pessoais.

Para além dos princípios enunciados, as empresas que pretendam tratar dados pessoais só o poderão fazer se tiverem motivos legítimos, e os pressupostos legalmente previstos permitirem a utilização de cada operação de tratamento. A base legal mais conhecida é o consentimento do titular dos dados.

Penalidades:

As penalidades variam de advertências a multas diárias. O valor não pode ultrapassar 2% do faturamento da empresa, com limite de R$ 50 milhões por infração. Outras sanções previsíveis incluem o apagamento definitivo dos dados pessoais recolhidos, a suspensão parcial ou total da utilização das bases de dados relevantes até 12 meses, ou mesmo a proibição de atividades relacionadas ao recolhimento e tratamento de dados.

Como fazer:

O ideal é que cada empresa crie seu próprio programa de governança de privacidade compatível com suas necessidades, a natureza dos dados que processa e sua estrutura. Em geral, a implementação de tais procedimentos envolve a adequação das atividades de processamento aos requisitos legais, revisão de contratos, elaboração de determinados documentos (como políticas de privacidade) e adoção de medidas de segurança, medidas técnicas e gerenciais capazes de proteger os dados pessoais.

São essenciais:

• Definir quem é o controlador e o operador nas atividades de processamento de dados.

• Nomear um Diretor de Proteção de Dados (DPO) e divulgar sua identidade e informações de contato de maneira clara e objetiva

• Desenvolver um relatório de impacto de proteção de dados, a ser submetido à ANPD, se necessário, que deve conter pelo menos uma descrição do tipo de dados coletados, os métodos usados ​​para coletar e proteger as informações e as medidas, salvaguardas e mitigação de riscos tomadas pelo controlador Análise do mecanismo.

• Fornecer uma política de privacidade, que deve ser fornecida em local de fácil acesso, em linguagem acessível ao público, e informar e explicar a todas as partes relevantes como os dados pessoais dos usuários serão processados.

Referências bibliográficas: Wonder.Legal Brasil