PLC 53/2018 e GDPR
Foi aprovado no último dia 10 de julho a Lei de Proteção de Dados Pessoais Brasileira (o PLC 53/2018). Assim como o GDPR aprovado na Europa também este ano, o PLC 53/2018 estipula regras e obrigações para empresas e governos na captura, manutenção e utilização de dados clientes e cidadãos.
Mas o que muda com PLC 53/2018 ?
Separamos os principais itens que devem ser observados e que as empresas devem tomar ações:
- Os dados pessoais só podem ser tratados por uma empresa se seu dono consentir de forma clara (ver abaixo o que é considerado dados pessoais).
- Mesmo após o dono do dado consentir seu uso e tratamento, ele poderá revogar essa autorização a qualquer momento.
- Qualquer empresa que trate ou colete dados no Brasil deve seguir as regras, independente da origem da empresa e dos dados ficarem salvos em servidores em outros países.
- Finalizada a relação entre a empresa e dono da informação, ela deve ser excluída.
- O dono do dado deve ter acesso aos seus dados mantidos por uma empresa e poderá solicitar a correção de informações.
- Caso uma empresa deseje compartilhar dados com terceiros, deverá solicitar a permissão do dono do dado.
- As empresas terão 18 meses para se adaptarem após a sanção da lei.
- Será criado um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade e um Autoridade Nacional de Proteção de Dados que será responsável por fiscalizar.
- Em caso de vazamento dos dados a empresa deverá informar a todos os titulares das informações e responderá pelo incidente.
- Fica proibido o processamento de dados que possa gerar discriminação ou outros prejuízos ao dono como raça, opiniões políticas, crenças, condições de saúde e características genéticas.
- Há ainda uma multa prevista de até 2% do faturamento da empresa, desde que menor que R$ 50 milhões em caso de descumprimento.
O que são dados pessoais?
- Nome e apelido
- Endereço de residência
- Endereço eletrônico
- Número de um cartão de identificação
- Dados de localização
- Endereço IP
- Testemunho de conexão (cookies)
- Identificador de publicidade de telefone
- Dados obtidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca
Dados considerados não pessoais
- Número de registro de empresa
- Endereço eletrônico de empresa
- Dados anônimos
Importante dizer que dados anônimos, quando facilmente puderem ser transformados de tal maneira que possam identificar o proprietário, serão considerados pessoais.
Como se preparar para atender as regras da PLC 53/2018 ?
- Informe claramente aos seus usuários quais dados pessoais dele estão sendo capturados e armazenados
- Disponibilize um local dentro do seu site onde o seu cliente possa ver estes dados e possa alterá-los de forma livre.
- Deixar a disposição um botão onde ele possa excluir todos os dados armazenados
- Caso compartilhe esses dados com um parceiro, mesmo que do mesmo grupo econômico, avise o usuário e peça permissão.