A maioria das empresas estão se movimentando ou já fizeram algo para se adequar a lei, então verificar com o que eles já tem preparado para os itens a seguir e outros que possam surgir.
É solicitado que o titular dos dados tenha autonomia para editar seus dados, mantendo atualizado e podendo apagar quando quiser.
A lei não especifica como isso será feito, apenas que deve existir um meio do cliente fazer isso. Pode ser uma solicitação por telefone, e-mail, ou ter acesso a um painel para isso.
O consentimento é um dos principais pontos tratados na lei. Muita coisa é permitida tendo o consentimento, mas ele não pode ser algo genérico, deve ser de fácil entendimento e dando autorização para cada item específico.
Criar um sistema que registre os aceites dos titulares dos dados por e-mail ou SMS. Isso não está bem definido na lei fala apenas no artigo 8 do capittulo II:
Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
Então aquele "outro meio" ficou muito abrangente é o tipo de definição que a ANPD vai fazer ainda. Então acho que ter algum registro como e-mail é mais seguro caso algo mude.
É solicitado na lei que seja documentado como serão tratados esses dados, políticas de prevenção, plano de ação em caso de vazamento ou outra infração nos dados. Então precisa ser criado todo um planos de ação até mesmo para ser apresentado para a ANPD em caso de fiscalização.
Notificar por e-mail, sms, telefone ou outro meio quando tiver alguma alteração nos termos de privacidade.
O controlador é a empresa ou responsável dela e o titular dos dos dados os donos da informação (clientes, usuários, funcionários), mas os oradores e encarregados devem ser definidos também na documentação de como será tratado os dados.
Sempre que possível usar técnicas que desvincule a informação com a pessoa. Por exemplo pode ser escondida parte da informação com x ou caracteres como ocorre nos registros de cartão de crédito.
A lei cobra saber, que se justifique a finalidade dos dados, então quanto menos pedirmos mais fácil será para o titular fornecer a informação e menos teremos que justificar na documentação. Então sempre que possível não registrar informação desnecessária por exemplo nome de pai e mãe para venda, quantidade de membros na família, escolaridade, signo.
A maior fragilidade nos sistemas são as pessoas normalmente, então acredito que seja necessário a criação de termos de responsabilidade e também seria necessário treinamentos e palestras para consciencialização sobre segurança de dados.
Criar contratos para solicitar o comprometimento dos parceiros com o uso dos dados.
Multas previstas de 2% do faturamento até 50 milhões por infração.
Antes terá advertência e depois também pode ter multas diárias até a regulamentação e bloqueio dos dados em questão até que seja regularizado, eliminação dos mesmos, bloqueio da base por até 6 meses.
Isso não será feito de uma hora para outra a lei estipulas notificações e tempo para adequação.
Esses são alguns dos motivos que considero muito importante para que a lei seja bem trabalhada. Pois a multa é alta e se aplicarmos as medidas necessárias podemos usar para mostrar aos clientes a seriedade e comprometimento que tratamos seus dados.