Já mencionamos em artigos anteriores o que é a LGPD, criamos um passo a passo para facilitar a adequação da sua empresa à Lei e, mostramos como mapear os dados dos titulares, então é hora de saber como atender às solicitações dos titulares dos dados e como ele pode exercer seus direitos.
Vamos recapitular alguns conceitos:
Titular dos dados:
O titular de dados pessoais é a pessoa física a quem se referem os dados pessoais que são objeto de tratamento.
Direitos do titular dos dados:
- Confirmação da existência de tratamento;
- Acesso aos seus dados pessoais;
- Correção de dados pessoais incompletos, errados ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
- Portabilidade dos dados pessoais para outro fornecedor de um serviço ou produto, mediante requisição expressa;
- Solicitação de exclusão dos dados pessoais tratados com base no seu consentimento;
- Recebimento de informação sobre quem teve permissão do controlador para a utilização de seus dados;
- Recebimento de informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- Revogação de seu consentimento para utilização dos dados de forma geral ou em algum processo específico.
Esses direitos previstos em lei permitem ao titular solicitar, a qualquer momento, informações, relatórios e até a exclusão dos seus dados. As solicitações podem ser de diversos tipos, como alguns abaixo:
- saber quais são os dados que a empresa possui;
- qual o tratamento dado a eles;
- quem tem acesso a eles e se foram compartilhados;
- solicitar uma cópia eletrônica dos seus dados;
- e até, suspender o tratamento dos dados, dependendo da situação.
Assim que recebida a solicitação, a empresa deverá informar que a mesma será atendida e os dados serão processados. O prazo previsto na lei para fornecer ao titular um relatório completo e compreensível sobre a sua solicitação é de 15 dias. No entanto, é necessário saber reconhecer se a solicitação requisitada pelo titular se aplica aos direitos previstos na LGPD e não fere alguma outra lei. Podemos citar como exemplos: a Legislação Trabalhista; a Lei nº 13.787/18 que dispõe sobre a guarda, o armazenamento e o manuseio de prontuário de paciente e exige que os dados deste sejam armazenados por 20 anos, a partir da data do último registro; ou a Lei n° 12.965/2014, conhecida como Marco Civil da internet, que prevê que os dados de acesso às aplicações de internet deverão ser mantidos por 6 meses, entre outras que podem afetar diretamente o seu segmento empresarial.
Nesta etapa, o trabalho do encarregado de dados ou DPO (Data Protection Officer) é essencial, pois é ele quem deverá entender qual é a requisição feita pelo titular e se está em conformidade com a LGPD e as legislações específicas do setor da empresa, zelar pelos dados dentro da organização, caso não exista um canal oficial, deve estar atento por quais meios as solicitações possam ser geradas (e-mail, SAC, telefones, site, etc) e estabelecer prazos e responsáveis por atender às demandas dos titulares. É importante também garantir que seus fornecedores e parceiros estejam em conformidade com a LGPD, pois mesmo tendo dados em posse de operadores, é dever do controlador atender às solicitações dos titulares.
Além disso, deverão ser tomados todos os cuidados necessários com a privacidade dos dados e garantir, primeiramente, a segurança ao titular; ou seja, a empresa deverá ser capaz de identificar se a pessoa que está solicitando os dados, realmente é seu titular.
A exposição de dados ou vazamentos pode gerar prejuízos tanto à empresa quanto ao titular, como por exemplo, a utilização indevida dos serviços, fraudes e multa à empresa.
E como a empresa pode atender às solicitações do titular, garantir prazos e a segurança do usuário?
- Estabelecendo um fluxo de atendimento das requisições e padrões de respostas claras e transparentes, criando um canal oficial e de fácil acesso, para que o titular de dados possa fazer as solicitações para a empresa e exercer seus direitos.
- Designando um DPO para zelar pelos dados, pelo cumprimento da Política de Privacidade por todos os colaboradores, parceiros e fornecedores e para ser o ponto de contato entre o titular de dados e a empresa.
- Garantindo que o DPO faça parte do processo, analisando se a solicitação do titular é válida, acionando as áreas da empresa nas quais os dados devem ser levantados, se as respostas propostas estão de acordo com as diretrizes da LGPD, a fim de não correr nenhum risco, e se há base legal para o processamento e tratamento dos dados dos titulares.
- Oferecendo, sempre que necessário, treinamentos aos colaboradores.
- Mapeando e analisando constantemente o ciclo de vida dos dados dos clientes e seu processo de tratamento, manuseamento, acesso, armazenamento e descarte.
- Classificando os dados dos titulares, sabendo quais são, onde estão e quem os manipula e trata, de maneira organizada, clara e de fácil localização por parte da empresa. Essa operação é importante, pois ajudará no processo de atendimento às solicitações do titular dos dados e tomada de decisões.
- Realizando periodicamente avaliações de risco e executando seu gerenciamento de acordo com o Plano de Ação determinado.
- Garantindo a segurança dos dados dos titulares, aplicando políticas de privacidade e sistemas de segurança que certifiquem que a pessoa solicitante realmente é a titular dos dados. Sua empresa pode aplicar algumas técnicas para validar a identidade do titular, por exemplo conciliando os dados já existentes na base, com informações que o titular de dados deverá fornecer no momento da requisição.
Como vimos, a adequação à LGPD e o atendimento das requisições dos titulares de dados fazem parte de um processo minucioso e que exige total dedicação dos envolvidos, seja na parte jurídica, tecnológica ou operacional, contando com apoio de todos os departamentos. Nesta fase será muito importante e mais seguro contar com uma ferramenta que ajude sua equipe a organizar todos os dados e gerenciar solicitações dos titulares. Assim, será possível ter o controle total dos pedidos: data em que a requisição foi feita, prazo para resposta, se o pedido foi atendido, em quanto tempo, qual foi o tratamento dado, entre outros.
Para ter um canal de solicitação para os titulares e uma ferramenta para fazer o gerenciamento das requisições (sem arcar com os custos e tempo do investimento), crie agora a sua conta gratuitamente, clicando no botão abaixo.
