Nas últimas semanas, o início da vigência da LGPD – a Lei Geral de Proteção de Dados Pessoais (Lei Federal 13.709/2018) voltou a ser discutida e, ao que tudo indica, definida.
A Presidência da República tem até o dia 17 de setembro de 2020 para sancionar a redação da MP 959, aprovada na última semana de agosto (primeiro pela Câmara dos Deputados, depois pelo Senado Federal), cuja versão final não contém mais a determinação de prorrogação da LGPD para 03 de maio de 2021, o que conferiria à lei vigência imediata após esta data (com a necessidade de se regular a aplicação da lei e seus efeitos supervenientes entre 14 de agosto e 17 de setembro).
Vale lembrar que parte da LGPD já está em vigor desde 28 de dezembro de 2018 – são as disposições que tratam da criação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Sua estrutura ainda está sendo desenhada, como podemos observar no recente Decreto Federal 10.474/2020.
Além disso, sabemos que, por força da Lei Federal 14.010/2020, as sanções administrativas previstas na LGPD – que serão aplicadas pela ANPD, só entrarão em vigor a partir de 01 de agosto de 2021. Entretanto, não podemos nos esquecer que, com o próximo início de vigência de todas as demais disposições da LGPD, as marcas e demais organizações estarão sujeitas, por exemplo, à atuação de outras entidades públicas que militarão em favor dos titulares dos dados pessoais, assim como às demandas individuais dos titulares, inclusive judicialmente, podendo culminar em obrigações de fazer e não fazer e em pagamento de indenizações.
Não obstante ter sido publicada há mais de 2 anos, pesquisas apontam que mais da metade das empresas brasileiras ainda não estão em conformidade com a LGPD – há, ainda, empresas que confundem as abreviações LGPD e LGBT (que diz respeito à comunidade LGBTQIA+). E a justificativa está longe de ser a pandemia da Covid-19 – há impactos, nesses números, tanto da cultura do brasileiro de não agir preventivamente quando da crença de que a LGPD “não vai vingar” ou não que sua aplicação não será fortemente fiscalizada – enquanto isso, se esquecem de quanto valor o respeito à privacidade e à proteção dos dados dos indivíduos pode ser agregado às marcas e o diferencial competitivo que isso pode causar.
Mas a cultura de respeito à privacidade e proteção dos dados pessoais não é “made in Brazil”. Trata-se de uma tendência global, liderada pela União Europeia e já adotada por diversos outros países em todos os continentes. A inexistência de normas, de autoridade fiscalizadora e do efetivo cumprimento da lei afetará a confiabilidade do país diante dos demais, e o Brasil precisa estar no jogo.
E, com o iminente senso de urgência, como começar a se adequar? Por onde começar?
Primeiramente, a organização deve assumir e aceitar a situação de risco que se encontra por não ter dado início à implementação das medidas de conformidade à LGPD durante seu período de vacância.
Segundo, é importante ter consciência de que não há soluções únicas, rápidas e mágicas que garantirão o cumprimento da lei (muito menos em horas ou dias). Apesar de estarmos falando de cumprimento de uma legislação, a LGPD exige um olhar holístico das organizações, que envolve desde atividades puramente jurídicas até questões relacionadas à segurança da informação e aos processos organizacionais adotados. Ao adotar recursos milagrosos, o compliance será aparente e não efetivo. Além de possivelmente ter de arcar com sanções, penalidades e indenizações, a empresa ainda terá o ônus de custear futuramente pela implementação de medidas verdadeiramente eficazes – o famoso “quem paga mal, paga duas vezes” (ou até mais, nesse caso).
Em decorrência do parágrafo anterior, o terceiro passo é aceitar que a mudança de cultura é fundamental para estar em conformidade com a LGPD e buscar adaptar toda a organização as novas regras – um dos caminhos é disponibilizar treinamentos de conscientização.
Como passos seguintes, sugere-se disponibilizar um canal de atendimento aos titulares dos dados pessoais e buscar medidas contingenciais para evitar a violação dos direitos desses titulares – tanto para as marcas com forte presença digital como para àquelas que possuem forte estratégia comercial através de outros canais.
A nomeação do encarregado de dados (também conhecido no mercado como “DPO”) pode não parecer urgente (por conta da ausência momentânea da ANPD) mas é importante em função do seu papel de atuar como canal de comunicação entre o controlador e os titulares dos dados (e, futuramente, com a própria ANPD), assim como de disseminação das práticas a serem tomadas em relação à proteção de dados pessoais.
Enquanto essas medidas iniciais são tomadas, as marcas e demais organizações deverão imediatamente dar início aos seus planos de adequação à LGPD, sendo fundamental a observância de dois macro pilares: o do enquadramento aos tratamentos às hipóteses legais e o da prevenção a incidentes de segurança.
O fluxograma abaixo representa apenas um exemplo de como realizar esse plano, devendo-se levar em consideração as necessidades individuais de cada organização e que a realização de uma ou algumas etapas é insuficiente para a plena conformidade à LGPD e moderação dos riscos decorrentes do seu descumprimento.
Por
Mônica Villani, advogada e sócia do escritório Mônica Villani Advogados, com atuação especializada em direito empresarial e das startups, compliance de proteção de dados, com certificações EXIN PDPE® e ISFS®. Membro da Comissão de Direito Digital e Compliance da OAB de São Bernardo do Campo/SP. Assistente do LAB de Inovação da Faculdade de Direito de São Bernardo do Campo.
https://linktr.ee/monicavillaniadvogados
https://www.linkedin.com/in/mônica-villani/
Leia outros artigos de Mônica Villani: