Anote na agenda: LGPD vigente no dia 18 de setembro!

Publish date:

Leonardo Caríssimi

Desde há quase dois anos, quando agosto de 2020 foi definido como o início da vigência da LGPD (Lei Geral de Proteção de Dados), se esperava que este mês seria marcante para organizações e titulares de dados no brasileiros. No entanto, o que talvez não se esperava era que passaríamos por tantas emoções nesta reta final para vigência da lei. Houve diferentes Medidas Provisórias, Projetos de Lei e Decretos, e um clima de insegurança jurídica instaurado em decorrência de idas e vindas, contudo cá estamos com a ANPD (Agencia Nacional de Proteção de Dados) estabelecida e a LGPD quase vigente. Aliás após alguns veículos de comunicação anunciarem que a lei estaria vigente no dia 27 de agosto e isso repercutir forte no mercado e em redes sociais, o Senado se apressou a esclarecer que a lei ainda não está vigente e depende de sanção presidencial.

Considerando o prazo legal para tal, de 15 das uteis a partir da aprovação no Senado, a LGPD estará vigente a partir de 18 de setembro, senão antes. E, segundo manifestam juristas especialistas no assunto, não há espaço para veto e novas alterações. Agora vai! Importante lembrar que as multas administrativas, aquelas aplicadas pela ANPD, estão valendo apenas a partir de agosto de 2021.

Com tudo isso, a pergunta que fica é: quais as implicações de estar ou não estar aderente á LGPD nos próximos 11 meses?

Assegure-se de que alguns temas-chave sejam endereçados com urgência pela sua organização, tais como:

  • Política de Privacidade de Dados: é necessário que esteja pronta e publicada. Destaque que a Política deve atingir clientes, consumidores, parceiros, funcionários, terceiros, etc – todos os tipos de titulares de dados que interagem com a sua organização. E na prática em muitos casos a Política pode desdobrar-se em outros documentos normativos, pois é necessário dar transparência aos tratamentos de dados realizados, suas finalidades e bases legais.
  • Definição e publicização do Encarregado (DPO): importante definir quem executará o papel de Encarregado (DPO – Data Privacy Officer) e publicar seu canal de contato. Vale lembrar que o DPO pode ser um funcionário ou um terceiro, e que seu perfil e responsabilidades vão depender do porte da organização e do volume de dados pessoais tratados. Em muitos casos será necessário um departamento de DPO; em outros, um comitê será estabelecido; e em outros poderá ser “as a Service”. Independente do caso, além de estar nomeado o DPO deve estar capacitado e ter papeis e responsabilidade definidos, bem como seus principais processos estabelecidos. Idealmente ferramentas de mercado devem ser implementadas para automatizar seu trabalho, e reduzir custos, riscos e erros.
  • Gestão de Consentimento: segundo a LGPD, o titular de dados deve exercer o seu direito de consentimento de modo “informado, livre, inequívoco e expresso”. Além disso, a finalidade do tratamento de dados deve ser explicitada. Isso implica em propiciar canais (digitais ou não) de interação com os titulares, e que por trás permitam a gestão do consentimento (optar por dar e retirar o consentimento), sempre observando outras bases legais que possam sobrepor legitimamente a vontade do titular de dados.
  • Gestão de Direitos de Titulares: outro importante conjunto de direitos dos titulares já exigíveis com a LGPD são o direito de acesso, retificação, conhecer o propósito do tratamento, tempo de retenção, se há decisão automatizada, quais as medidas de segurança usadas para proteger os dados, entre outros. De forma similar ao caso anterior, a Gestão de Direitos de Titulares envolve desde a disponibilização de canais para receber as requisições dos titulares, passando por autenticação do requisitante, workflows de aprovação, consulta as bases de dados, bases legais e finalidades. Estas etapas devem ser executadas no tempo da lei, ter registros apropriados para evidenciar o cumprimento da mesma, e gerenciado com métricas e indicadores. Para atendimento, os dados pessoais tratados devem ser conhecidos e classificados de acordo com finalidade e base legal. Com isso, ressalta-se a importância de que o processo de mapeamento de dados pessoais seja automatizado com ferramentas apropriadas. Reduzira custo, tempo de atendimento, erros e riscos.
  • Contratos: finalmente, outro importante elemento é assegurar que os contratos definam claramente papeis e responsabilidades das partes na execução das atividades contratuais. Não negligenciar contratos de trabalho com os próprios funcionários: não se trata apenas de contratos entre pessoas jurídicas!
  • Reforçar a ciber segurança: não poderia deixar de ter destaque o tema de ciber segurança, pois os dados dos titulares precisam ser protegidos de vazamentos e acessos indevidos. A revisão das políticas, processos e controles de segurança – que já era de vital importância para proteção dos dados de negócio – agora tem relevância expandida para a proteção dos dados pessoais.

A última questão a endereçar é: na ausência de multas até agosto de 2021, quais as implicações de não estar conforme com a LGPD?

O primeiro ponto a esclarecer é de que no período até agosto de 2021 outros órgãos podem assumir papel de fiscalização e aplicação de multas, tais como o Procon e o Ministério Público. Já temos casos recentes, amplamente divulgados, de multas aplicadas por estes órgãos por casos flagrantes de violação de privacidade de titulares ou vazamentos de dados.

Outro fator importante é a possibilidade dada pela LGPD de responsabilização. O controlador ou operador de dados pessoais que causar dano patrimonial, moral, individual ou coletivo, por violação à lei ou por deixar de adotar as medidas de segurança previstas nela, deve repará-lo. Com isso, alguns descumprimentos de deveres podem causar judicialização a partir de agora.

Finalmente, é válido apontar o risco negativo de impacto na imagem. Aquele que desrespeitar o direito dos titulares poderá ter a imagem atingida severamente.

O início da vigência da lei e o estabelecimento da ANPD não marcam o fim da história; na verdade trata-se apenas do primeiro passo. Claramente nos próximos anos haverá uma evolução em termos de normas complementares, doutrina e jurisprudência que formatara pouco a pouco a nossa legislação de privacidade de dados. Testemunhamos o mesmo com a legislação ambiental e a legislação de proteção dos consumidores, apenas para citar dois ramos do direito mais recentes.

O mais importante em muitas jornadas é mesmo o primeiro passo. No final do dia, o início da vigência da LGPD coloca o Brasil em sintonia com o mundo ao reconhecer que, em uma sociedade cada vez mais digital o direito à privacidade se tornou um direito fundamental da pessoa natural. A Lei é muito bem-vinda e é extremamente importante. E chegou. Assegure-se de estar preparado.