Os próximos dias prometem mais algumas novidades com a entrada em vigor da LGPD, Lei Geral de Proteção de Dados. Na última semana de agosto (25/08), a Câmara dos Deputados votou e aprovou a Medida Provisória 959/2020, com a inclusão de um texto que pretendia adiar a entrada da Lei Geral de Proteção de Dados (LGPD) para maio de 2021. O que acontece é que no dia seguinte (26/08), ao ser apreciada pelo Senado, os senadores decidiram eliminar o artigo que tratava da LGPD, dessa forma a norma brasileira de proteção de dados deverá entrar em vigor assim que a MP 959/2020 for sancionada ou vetada pelo presidente Jair Bolsonaro, independente da escolha. Porém, mesmo com o início da vigência para agora, as sanções só devem iniciar em agosto/21, conforme prevê a normativa.

Na mesma semana, mais especificamente no dia 27/08, foi publicado no Diário Oficial da União o decreto que apresenta a estrutura regimental da Autoridade Nacional de Proteção de Dados (ANPD), órgão que será responsável por garantir o cumprimento da lei.

Mas enfim, do que se trata essa regulamentação?

A LGPD (Lei geral de proteção de dados), instituída pelo Lei nº 13.709/2018 foi criada com o intuito de disciplinar como os dados pessoais devem ser tratados, isto é, de que forma coletamos, armazenamos, utilizamos, transferimos e eliminamos tais dados.

Possui fundamentação em alguns valores principais como o respeito à privacidade, liberdade de expressão, de informação, de comunicação e de opinião, à inviolabilidade da intimidade, da honra e da imagem entre outros.

Preconiza que todos os dados pessoais (informações relacionadas à pessoa natural identificada ou identificável, como nome, idade, estado civil, documentos etc.) só podem ser tratados para finalidades específicas ou mediante o consentimento do usuário.

A Lei possui aplicação a qualquer pessoa, seja Pessoa Física ou Pessoa Jurídica que trate de dados pessoais on-line ou off-line, e possui aplicação extraterritorial, atingindo empresas que tenham estabelecimento no Brasil, que oferecem serviços no Brasil e que façam a coleta e tratamento de dados no Território Nacional.

A LGPD instituiu a criação de uma agência reguladora intitulada ANPD (Agência Nacional de Proteção de Dados) que atuará principalmente como fiscalizadora da adequação das organizações quanto a lei de proteção de dados, sendo que as instituições que não se adequarem ou que porventura venham a ter incidentes relacionados a segurança dos dados poderão ser autuadas em valores de até 2% do faturamento anual por ocorrência de vazamento, limitado a R$ 50 milhões.

Ela também possui relações com outras legislações específicas das mais diversas áreas de atuação das organizações, como por exemplo o CDC (Código de Defesa do Consumidor), Marco Civil da Internet e normativas de agências reguladoras (BACEN, ANS, SUSEP etc.) entre outras.

Alguns pontos já deverão ter efeito imediato após a entrada da lei, como o direito de oposição/revogação ao tratamento dos dados solicitados pelos titulares, bem como também o direito de eliminação dos dados e a transparência, isto é, caso o titular solicite, cada empresa deverá informar quais dados pessoais possui e para qual finalidade esses dados estão sendo tratados.

Aliás, finalidade de tratamento é uma das questões principais que trata a lei, isto é, o dado só poderá ser utilizado para o fim específico. Uma empresa que coletar um dado para uma finalidade e utilizar para outra sem o consentimento do titular poderá ser alvo de sanções.

Com a efetiva criação da ANPD e sua estruturação completa, devemos começar a receber algumas Resoluções Normativas que irão nos guiar para a correta adequação à norma em vigor, porém como toda a sua estrutura está sendo baseada da norma Europeia de proteção de dados, essa se tornou uma referência para início da nossa adequação, e diversas ações já deverão estar no radar das organizações, sendo elas:

• Diagnóstico da empresa quantos as leis vigentes que versam sobre privacidade, além da própria LGPD. (Cod. Civil, CDC, Marco Civil da Internet etc.);
• Conscientização da alta gestão quanto à adequação da lei, bem como a criação de grupos de trabalhos para a definição de políticas P&PD (Privacidade e Proteção de Dados), e a definição de um Encarregado de Privacidade de Dados (DPO);
• Inventário de dados pessoais através de mapeamento de dados e desenvolvimento do mapa de riscos;
• Confecção e adequação de contratos e termos jurídicos como Código de Conduta, Política de Privacidade e Gestão de Dados Pessoais, Contratos com parceiros (operadores) e com consumidores finais, relatório de impacto etc.;
• Implantação de medidas técnicas e operacionais visando a mitigação dos riscos de vazamento de dados;
• Treinamentos sobre a LPGD e boas práticas de segurança da informação e privacidade de dados.

As empresas devem buscar adequação e conformidade com a lei o mais breve possível afim de mitigar os riscos de incidentes de segurança, principalmente aqueles que colocam em risco os dados pessoais de prospects, clientes ou colaboradores.

Estamos à disposição para auxiliá-los em todas as fases desse processo de adequação.

Leandro Marcilio Schunk, Mestre em Administração de Empresas pela FGV e MBA Extension pela University of California, certificado em Privacy and Data Protection pela EXIN, Professor de Pós Graduação da FGV e Controller Jurídico da Ferreira e Santos Advogados.