A Lei geral de Proteção de Dados estipula uma série de obrigações sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, tanto na forma online como offline.
Com a entrada em vigor da lei, qualquer empresa que realizar uma operação com um dado pessoal sem possuir uma base legal, estará cometendo uma prática ilegal.
O texto da Lei prevê 10 princípios, que podem ser considerados um conjunto de boas práticas para o tratamento de dados pessoais, e, vale lembrar que essas práticas não são opcionais, mas sim obrigatórias. Segue a lista dos princípios.
1º Finalidade: Todos os dados que serão coletados deverão ter no ato do seu recolhimento a indicação com clara e completa que justifique sua coleta, ou seja uma finalidade específica informada e aceita pelo titular.
2º Adequação: A coleta de dados precisa ser compatível com a finalidade informada, o conjunto de informações que a empresa precisa deve fazer sentido, ou seja ser adequada com a razão da coleta, por exemplo uma loja online de vestuário não precisa pedir dados sobre a saúde do seu cliente.
3º Necessidade: As empresas devem coletar/usar/armazenar apenas os dados necessários para a finalidade, utilizando os dados pertinentes e proporcionais para função e atividade, é importante lembrar que, quanto mais dados coletados e armazenados maiores as responsabilidades.
4º Livre acesso: O titular dos dados tem o direito de consultar todos os dados que a empresa tenha de forma simples, facilitada e gratuita. E do mesmo modo deve comunicar ao titular com linguagem clara e acessível como seus dados são tratados.
5º Qualidade dos dados: garantia que as informações são verdadeira e atualizadas de acordo com as necessidades informando e permitindo que o titular possa corrigir os dados incompletos e inexatos.
6º Transparência: O titular do dado precisa ter informações claras e precisas, facilmente acessíveis sobre como os dados estão sendo manipulados, bem como quais agentes de tratamento de acesso. Se os dados são repassados para terceiros o titular deverá saber mesmo que faça parte do processo e atividade fim.
7º Segurança: É responsabilidade da empresa buscar procedimentos e medidas técnicas e administrativas para proteger os dados pessoais dos quais tem domínio, para evitar acessos não autorizados ou ainda situações acidentais e ilícitas, ou de destruição, perda, alteração, comunicação indevida, difusão.
8º Prevenção: orienta que as empresas devem adotar medidas preventivas para evitar a ocorrência de danos em virtude do tratamento e armazenamento de dados pessoais, ou seja agir antecipadamente para promover a segurança com meios preventivos e ordenados.
9º Não discriminação: os dados pessoais não devem ser usados para discriminação dos titulares, por meio da utilização de dados sensíveis como informações raciais, étnicas, religiosas, sobre a saúde entre outras que possam levar a discriminação.
10º Responsabilização: Além de cumprir integralmente a lei, as empresas devem ter provas e evidências para demonstrar boa fé em relação às práticas, ou seja demonstrar eficácias das ações, como por exemplo comprovar treinamento de equipe, consultorias especializadas.
.