Os direitos assegurados ao titular são bastante amplos, refletindo boa parte do modelo europeu de proteção de dados (Regulamento Geral de Proteção de Dados – GPDR). A tutela efetiva desses direitos essencialmente depende de uma autoridade de proteção de dados independente e com corpo técnico qualificado capaz de aplicar e interpretar a lei de modo equilibrado.
Do ponto de vista das empresas, é preciso considerar que pessoas têm diferentes preocupações sobre privacidade. Assim, as empresas devem seguir boas práticas de transparência e clareza quanto aos dados que coletam, de modo que o titular possa fazer suas próprias escolhas sobre como eles são utilizados, bem como, no caso de serviços online, oferecer ferramentas e configurações que permitam a implementação prática dessas escolhas feitas pelo titular.
Fiscalização de lei
A LGPD estabelece, em seu art. 53, atribuições de eventual órgão competente para zelar pela implementação e fiscalização da lei. Esse órgão deverá ser o responsável por elaborar, entre outras coisas, diretriz para uma Política Nacional de Proteção de Dados Pessoais e Privacidade e promover estudos sobre proteção de dados e privacidade.
Segurança e Sigilo
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (art. 46).
Padrões técnicos mínimos poderão ser definidos pela ANPD. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares (art. 49).
Responsabilidades
Os diferentes agentes envolvidos no tratamento de dados – o controlador e o operador – podem ser solidariamente responsabilizados por incidentes de segurança da informação e/ou o uso indevido e não autorizado dos dados, ou pela não conformidade com a lei (artigo 42, §1º, I).
Todavia, a responsabilidade do operador, àquele que pratica o tratamento de dados em nome e a mando do controlador, pode ser limitada às suas obrigações contratuais e de segurança da informação, caso não viole as regras lhe impostas pela LGPD (artigo 43). Importante, portanto, definir se uma empresa deve ser encarada como um controlador ou um operador, ou ambos, para definir os limites da sua responsabilidade.
Fonte: