ARTIGO
51
Não obstante as discussões que devem acontecer no decorrer dos próximos meses sobre
o regime de atuação da entidade fiscalizadora da LGPD e suas atribuições, já foi iniciado o
prazo para que as empresas entrem em conformidade com a nova lei.
As empresas terão 18 meses para a regularização de suas atividades, o que exigirá mu-
danças técnicas, procedimentais e culturais consideráveis.
A principal consequência é a exigência de maior transparência em relação ao tratamento
de dados, devendo as empresas estar preparadas para fornecer aos titulares informações
sobre o tratamento realizado, permitir acesso aos dados e efetuar correções apontadas
pelos titulares, bem como excluir tais dados nos casos previstos por lei, inclusive em ca-
sos de revogação do consentimento. Adicionalmente, os titulares de dados pessoais pas-
sam a ter direito a portabilidade dos dados de um fornecedor para o outro.
As empresas deverão respeitar as hipóteses legais para o tratamento de dados pessoais,
dos quais destaca-se a obtenção de consentimento, livre, informado e inequívoco do titu-
lar dos dados. Apesar da lei prever a hipótese de tratamento em razão de interesse legíti-
mo do controlador, esse tratamento não poderá prevalecer sobre os direitos e liberdades
fundamentais do titular.
A partir da entrada em vigor da lei, as empresas devem tratar somente o mínimo de da-
dos necessários para a realização de suas finalidades, devendo ainda eliminar tais dados
após a finalidade para os quais estes foram coletados ter sido concluída, ou caso tais da-
dos deixem de ser necessários ou pertinentes para tal finalidade.
O tratamento dos dados pessoais de crianças passa a exigir o consentimento específico e
em destaque de ao menos um dos pais ou responsável legal da criança.
As empresas deverão registrar todas as atividades de tratamento realizadas, incluindo
informações relativas ao tipo de dado, o prazo do tratamento e a fundamentação para
este. Também será necessário elaborar relatórios de impacto à proteção de dados pesso-
ais em relação a tratamentos que podem gerar riscos às liberdades civis e aos direitos fun-
damentais dos titulares, bem como medidas, salvaguardas e mecanismos de mitigação.
As empresas deverão ainda indicar um Data Protection Officer (oficial de proteção de
dados, definido na LGPD como “encarregado”), cuja função será de servir como canal de
comunicação entre os titulares dos dados e a empresa, bem como supervisionar e fisca-
lizar o cumprimento das regras de proteção de dados pessoais por esta. De acordo com
a Lei, a autoridade nacional a ser criada poderá estabelecer hipóteses de dispensa dessa
exigência, conforme a natureza e o porte da entidade ou o volume de operações de tra-
tamento de dados.
