A LGPD está prestes a entrar em vigor. O que fazer?

Mônica Villani - A LGPD está prestes a entrar em vigor

Nas últimas semanas, o início da vigência da LGPD – a Lei Geral de Proteção de Dados Pessoais (Lei Federal 13.709/2018) voltou a ser discutida e, ao que tudo indica, definida.

A Presidência da República tem até o dia 17 de setembro de 2020 para sancionar a redação da MP 959, aprovada na última semana de agosto (primeiro pela Câmara dos Deputados, depois pelo Senado Federal), cuja versão final não contém mais a determinação de prorrogação da LGPD para 03 de maio de 2021, o que conferiria à lei vigência imediata após esta data (com a necessidade de se regular a aplicação da lei e seus efeitos supervenientes entre 14 de agosto e 17 de setembro).

Vale lembrar que parte da LGPD já está em vigor desde 28 de dezembro de 2018 – são as disposições que tratam da criação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Sua estrutura ainda está sendo desenhada, como podemos observar no recente Decreto Federal 10.474/2020.

Além disso, sabemos que, por força da Lei Federal 14.010/2020, as sanções administrativas previstas na LGPD – que serão aplicadas pela ANPD, só entrarão em vigor a partir de 01 de agosto de 2021. Entretanto, não podemos nos esquecer que, com o próximo início de vigência de todas as demais disposições da LGPD, as marcas e demais organizações estarão sujeitas, por exemplo, à atuação de outras entidades públicas que militarão em favor dos titulares dos dados pessoais, assim como às demandas individuais dos titulares, inclusive judicialmente, podendo culminar em obrigações de fazer e não fazer e em pagamento de indenizações.

Não obstante ter sido publicada há mais de 2 anos, pesquisas apontam que mais da metade das empresas brasileiras ainda não estão em conformidade com a LGPD – há, ainda, empresas que confundem as abreviações LGPD e LGBT (que diz respeito à comunidade LGBTQIA+). E a justificativa está longe de ser a pandemia da Covid-19 – há impactos, nesses números, tanto da cultura do brasileiro de não agir preventivamente quando da crença de que a LGPD “não vai vingar” ou não que sua aplicação não será fortemente fiscalizada – enquanto isso, se esquecem de quanto valor o respeito à privacidade e à proteção dos dados dos indivíduos pode ser agregado às marcas e o diferencial competitivo que isso pode causar.

Mas a cultura de respeito à privacidade e proteção dos dados pessoais não é “made in Brazil”. Trata-se de uma tendência global, liderada pela União Europeia e já adotada por diversos outros países em todos os continentes. A inexistência de normas, de autoridade fiscalizadora e do efetivo cumprimento da lei afetará a confiabilidade do país diante dos demais, e o Brasil precisa estar no jogo.

E, com o iminente senso de urgência, como começar a se adequar? Por onde começar?

Primeiramente, a organização deve assumir e aceitar a situação de risco que se encontra por não ter dado início à implementação das medidas de conformidade à LGPD durante seu período de vacância.

Segundo, é importante ter consciência de que não há soluções únicas, rápidas e mágicas que garantirão o cumprimento da lei (muito menos em horas ou dias). Apesar de estarmos falando de cumprimento de uma legislação, a LGPD exige um olhar holístico das organizações, que envolve desde atividades puramente jurídicas até questões relacionadas à segurança da informação e aos processos organizacionais adotados. Ao adotar recursos milagrosos, o compliance será aparente e não efetivo. Além de possivelmente ter de arcar com sanções, penalidades e indenizações, a empresa ainda terá o ônus de custear futuramente pela implementação de medidas verdadeiramente eficazes – o famoso “quem paga mal, paga duas vezes” (ou até mais, nesse caso).

Em decorrência do parágrafo anterior, o terceiro passo é aceitar que a mudança de cultura é fundamental para estar em conformidade com a LGPD e buscar adaptar toda a organização as novas regras – um dos caminhos é disponibilizar treinamentos de conscientização.

Como passos seguintes, sugere-se disponibilizar um canal de atendimento aos titulares dos dados pessoais e buscar medidas contingenciais para evitar a violação dos direitos desses titulares – tanto para as marcas com forte presença digital como para àquelas que possuem forte estratégia comercial através de outros canais.

A nomeação do encarregado de dados (também conhecido no mercado como “DPO”) pode não parecer urgente (por conta da ausência momentânea da ANPD) mas é importante em função do seu papel de atuar como canal de comunicação entre o controlador e os titulares dos dados (e, futuramente, com a própria ANPD), assim como de disseminação das práticas a serem tomadas em relação à proteção de dados pessoais.

Enquanto essas medidas iniciais são tomadas, as marcas e demais organizações deverão imediatamente dar início aos seus planos de adequação à LGPD, sendo fundamental a observância de dois macro pilares: o do enquadramento aos tratamentos às hipóteses legais e o da prevenção a incidentes de segurança.

O fluxograma abaixo representa apenas um exemplo de como realizar esse plano, devendo-se levar em consideração as necessidades individuais de cada organização e que a realização de uma ou algumas etapas é insuficiente para a plena conformidade à LGPD e moderação dos riscos decorrentes do seu descumprimento.

Fluxograma LGPD

 

Por

Mônica Villani, advogada e sócia do escritório Mônica Villani Advogados, com atuação especializada em direito empresarial e das startups, compliance de proteção de dados, com certificações EXIN PDPE® e ISFS®. Membro da Comissão de Direito Digital e Compliance da OAB de São Bernardo do Campo/SP. Assistente do LAB de Inovação da Faculdade de Direito de São Bernardo do Campo.

https://linktr.ee/monicavillaniadvogados

https://www.linkedin.com/in/mônica-villani/

Leia outros artigos de Mônica Villani:

https://marcaspelomundo.com.br/opiniao/a-retomada-das-atividades-presenciais-e-seus-principais-cuidados/

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *