A ENTRADA EM VIGOR NO ORDENAMENTO JURÍDICO DA LEI GERAL DE PROTEÇÃO DE DADOS

 

I - VIGÊNCIA

A Lei nº 13.709/2018, popularmente conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), entrou em vigor no último dia 18 de setembro, após muitas idas e vindas.

Em abril, uma medida provisória editada pelo Presidente Jair Bolsonaro adiou o início da vigência da LGPD para maio de 2021.

Todavia, a Câmara dos Deputados, logo em seguida, acabou decidindo pela diminução do prazo para dezembro deste ano, mas o Senado retirou o trecho sobre o adiamento e o presidente Jair Bolsonaro, acabou por sancionar o projeto, dando início à vigência da Lei.

Inspirada no Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês) estabelecida na legislação européia, a LGPD tem como objetivo regulamentar a coleta, o armazenamento e a manipulação de dados pessoais, garantindo maior transparência em como empresas privadas e públicas lidam com a privacidade e a segurança das informações de clientes e funcionários.

A lei modifica alguns dos artigos do Marco Civil da Internet, estabelece quais dados pessoais são sensíveis e determina que a empresa deve informar ao titular quais dados dele mantém e com qual finalidade. A LGPD também estipula regras sobre responsabilidade e ressarcimento de danos relacionados ao tratamento das informações.

"Com a LGPD, é preciso instalar um programa de governança de proteção de dados pessoais, como outros programas de governança que existem na empresa", explica Samara Schuch, sócia-diretora da área de Privacidade da consultoria KPMG.

Apesar da vigência da LGPD, as punições administrativas por eventuais descumprimentos da lei, como multas que podem chegar a 2% (dois por cento) do faturamento da empresa, limitado a R$ 50 milhões, só passarão a ser aplicadas a partir de agosto de 2021.

Contudo, recomenda-se que o processo de adequação à legislação seja feita de forma imediata, já que é um processo moroso, extramamente complexo, que passa pelo mapeamento de dados existentes e adoção de políticas de compliance, que transcendem o proprio tratamento de dados.

"Qualquer projeto que é implementado em uma empresa tranquilamente leva um ano. Quem não começou tem que começar. Se vier qualquer ação de fiscalização, pelo menos a empresa já está tentando uma conformidade com a lei", afirma Walmir Freitas, diretor da área de Cyber Risk da consultoria de riscos Kroll.

Além disso, a não imposição de sanções administrativas, não impede que titulares dos dados, desde a entrada em vigência da LGPD, busquem o Judicário para questionamento e reparação pecuniária de eventuais violações.

 

II - ADEQUAÇÃO

O primeiro passo, claro, é conhecer a lei e entender quais as bases legais estabelecidas para o tratamento dos dados.

A LGPD traz 10 (dez) bases legais que justificam o tratamento de dados pessoais, sendo elas:

1 – Consentimento

2 – Cumprimento de Obrigação Legal

3 – Execução de Políticas Públicas

4 – Estudo por Órgãos de Pesquisa

5 – Execução de Contrato / Diligências Pré-Contratuais

6 - Exercício Regular de Direitos

7 – Proteção da Vida

8 – Tutela da Saúde

9 – Interesse Legítimo do Controlador / Terceiro

10 – Proteção ao Crédito

 

Necessário, também identificar quais dados são coletados, de que forma são tratados, onde estão e serão armazenados e qual sua a finalidade, além de identificar se os dados são sensíveis de acordo com a nova legislação.

Aqui, o principal é avaliar a quantidade de informação coletada, já que muitos dados coletados pela maioria das empresas não são realmente necessários para a finalidade / atividade desempenhada.

Após o mapeamento dos dados da empresa, a prioridade passa a ser a garantia dos direitos do titular dos dados estabelecidos pela LGPD, além da transparência ao interagir com esse titular.

De fato, a LGPD coloca como princípio fundametal a garantia de que as pessoas possam ter controle sobre quais dados são tratados sobre ela, onde esses dados são armazenados e por quanto tempo, sendo imprescindível o estabelecimento de um mecanismo de gestão de solicitações dos titulares de dados.

Necessário, ainda, por se tratar de outro princípio fundametal da LGPD, oferecer transparência, através de políticas de privacidade, como aquelas de sites e aplicativos ou até as enviadas por email, tanto em relação a dados de consumidores como de funcionários e colaboradores.

Destaca-se, ainda, a segurança da informação, com avaliação e diagnóstico dos riscos e implantação de novos sistemas para proteger os dados contra acesso de terceiros não autorizados ou hackers, que também é considerada uma obrigação ao controlador / operador de dados pessoais.

Outra ação que deve ser tomada é a nomeação do Encarregado pelo Tratamento de Dados Pessoais (chamado de Data Protection Officer, DPO, na legislação europeia). Ele é responsável pelo desenvolvimento e pela implementação das políticas de proteção de dados e privacidade dentro da empresa, devendo exercer esse papel de maneira independente, e uma de suas funções é a disseminação do conhecimento, da cultura e das regras para o tratamento de dados pessoais na empresa.

Recomenda-se, ainda, o treinamento de funcionários e colaboradores para conscientizá-los sobre a importância de boas práticas e sobre os riscos envolvidos no tratamento de dados, além do estabelecimento de políticas e procedimentos internos envolvendo a proteção das informações. Também é importante a criação de protocolos de respostas a incidentes e de diretrizes para a elaboração de relatórios, de acordo com o que é exigido na lei.

 

III - FISCALIZAÇÃO

A LGPD prevê  criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão que será responsável por regular a LGPD, interpretando a lei, fiscalizando e aplicando sanções.

 O órgão, no entanto, embora criado pelo Executivo, ainda não foi estruturado e não está operando.

Mesmo sem a ANPD em atividade, no entanto, outros órgãos podem aplicar sanções. Órgãos fiscalizadores ou de controle podem continuar exigindo o cumprimento da lei e aplicando as suas penalidades normalmente, como o órgão de defesa do consumidor, o Ministério Público e o próprio Judiciário.

Como já mencionado anteriormente, nas 2 (duas) semanas de viência da LGPD, tem-se notícias de algumas dezenas de ações judiciais já propostas, inclusive ações civis públicas, exigindo-se não apenas o cumprimento dos direitos dos titulares dos dados, mas, sobretudo, o pagamento de indenizações por violações e prejuízos materiais e morais por elas advindas.

 

1

LEANDRO MARCANTONIO

Advogado especializado em Direito Eletrônico e responsável pela área de Direito Digital do escritório Donaire e Marcantonio Sociedade de Advogados