Com um texto direto e de fácil entendimento, a cartilha da Associação Brasileira de Provedores de Internet e Telecomunicações (Abrint) é uma aliada dos ISPs para adequação de suas práticas a Lei Geral de Proteção de dados, cuja vigência imediata foi aprovada nesta quarta-feira, 26, no Senado, mas que ainda depende da sanção presidencial. Nesta quinta-feira, 27, o governo publicou a estrutura regimental da Autoridade Nacional de Proteção de Dados, o que leva a supor de que a vigência da LGPD em agosto será confirmada.
A cartilha da Abrint explica os propósitos da lei e ensina o papel dos provedores perante a norma. Um deles é de que o ISP é considerado um controlador dos dados, pois cabe a ele as decisões referentes ao tratamento de dados pessoais dos seus clientes e potenciais clientes, bem como seus empregados. Todos aqueles que realizam o tratamento de dados pessoais em nome do controlador (desde funcionários até terceiros que recebem ou lidam de qualquer forma com esses dados) são chamados de operador dos dados.
E exemplifica: “Quando o seu provedor envia uma lista de clientes inadimplentes para uma empresa terceirizada de cobrança, você está sujeito às regras de tratamento de dados da LGPD, enquanto Controlador, e a empresa de cobrança está sujeita às regras da norma na qualidade de Operador”, diz a cartilha. Também cita as situações em que o provedor deve pedir autorização do titular dos dados e as situações que não precisam do consentimento, como para cumprimento de obrigações regulatórias.
Princípios
Traz ainda os princípios para tratamento de dados, que os ISPs devem seguir. Os provedores têm o dever de apontar uma finalidade clara, justa e explícita antes de utilizar um dado, bem como devem adequar o tratamento a essa finalidade, devendo limitar-se ao que foi proposto ou ao que seja esperado pelo cliente, diz a cartilha. Aponta também casos de descumprimentos da LGPD e da responsabilização, citando casos amplamente divulgados.
Em outro ponto, a cartilha estimula que o provedor crie sua própria política de tratamento de dados por meio da estruturação de um mapa de processos. E ressalta que um aspecto essencial para ser mapeado é o grau de confiabilidade dos próprios sistemas utilizados pelo provedor ou contratados de terceiros. “A descrição detalhada do ciclo de vida dos dados pessoais no seu provedor, associada à consulta e a colaboração com os agentes envolvidos, permite identificar os pontos de fragilidade da operação, que podem representar algum risco aos direitos dos titulares dos dados”, ensina.
A cartilha compartilha um modelo de contrato de prestação de serviços completamente adequado às exigências da LGPD. Assim como uma sugestão de Acordo voltado para terceiros, na qualidade de operadores do tratamento de dados e um modelo de política de privacidade. Por fim, disponibiliza um modelo de contrato de trabalho com colaborador.
No Comment