Apresentação ¹

Este artigo expõe, de forma breve, os principais impactos gerados pela entrada em vigor da Lei nº 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados Pessoais (“LGPD” ou “Lei”), bem como apresenta algumas ações a serem tomadas por aqueles que estão a ela sujeitos.

Após algumas prorrogações e tentativas de adiamento da data de entrada em vigor da Lei, desde 18 de setembro de 2020 não há qualquer dúvida de que a LGPD está valendo e todos aqueles que são afetados devem estar em conformidade com seus dispositivos.

  1. O que a LGPD traz de novidade?

A privacidade e a proteção de dados já eram institutos protegidos por diversas normas brasileiras, ainda que de forma difusa. A Lei nº 8.078/1990 (“Código de Defesa do Consumidor”), a Lei nº 12.414/2011 (“Lei do Cadastro Positivo”) e a Lei nº 12.965/2014 (“Marco Civil da Internet”) são exemplos de leis que tratavam dessas matérias em alguns de seus artigos.

Com a promulgação da LGPD, a proteção a dados pessoais no Brasil ganha ênfase e status. As normas anteriores continuam valendo, pois a nova Lei não veio revogá-las. Além de compilar inúmeros deveres e sanções para aqueles que tratam dados pessoais, sejam físicos ou digitais, algumas questões foram melhor identificadas e definidas pela LGPD, como, por exemplo, os direitos dos titulares de dados pessoais. Merecem destaque, ainda, a criação de um ente fiscalizador próprio: a Autoridade Nacional de Proteção de Dados (“ANPD”) e a necessidade de nomeação de um encarregado pela proteção de dados, também conhecido como Data Protection Officer (“DPO”).

Por mais que pessoas, físicas ou jurídicas, já cuidassem do sigilo e da privacidade de dados de clientes, pacientes, alunos, colaboradores, etc., a LGPD trouxe uma nova dinâmica no relacionamento entre os titulares de dados pessoais e os agentes de tratamento, o que impõe a revisão e a criação de políticas internas, relatórios de impacto e processos de gestão e tratamento de dados.

  1. Como agir no curto e no médio prazos?

Como dito acima, em razão das diversas tentativas de adiamento, a entrada em vigor da LGPD em setembro de 2020 foi uma surpresa para muitos, o que ocasionou uma busca por soluções imediatas e simplistas. E o mercado não ficou atrás, pois foi possível acompanhar a oferta de softwares que “adequavam” uma empresa em poucas horas!!! Tão temerário e preocupante que diversos profissionais que atuam com proteção de dados se manifestaram contrariamente a qualquer “produto milagroso”.

Contudo, para aqueles que não estão em compliance com a Lei, existem algumas medidas emergenciais mínimas que podem, e devem, ser implementadas, como:

  1. Contratar um consultor em LGPD.

Um projeto de implementação robusto deve ser conduzido por especialistas em proteção de dados. Não é suficiente adquirir um software para cuidar de todas as etapas de adequação à LGPD. Também não é prudente apenas adotar as medidas emergenciais ora sugeridas e concluir que se está totalmente adequado à Lei.

Comparando com o papel de uma auditoria externa, a consultoria poderá conduzir de forma imparcial e independente todas as etapas do projeto de implementação. Por ser especializado na legislação aplicável, o consultor poderá indicar aos responsáveis todas as medidas necessárias para se alcançar a conformidade com a lei, bem como indicar as prioridades que os agentes de tratamento devem considerar. Além disso, é bastante relevante acompanhar a rotina de proteção de dados após a conclusão da adequação para que sejam validadas as ações adotadas no projeto de implementação.

  1. Nomear um DPO.

Um DPO deve conhecer a legislação e entender sobre tecnologia e segurança da informação. Ele pode ser, e é até desejável que seja, o líder de uma equipe multidisciplinar, o que minimiza a discussão sobre a área de atuação deste profissional.

Caso o controlador dos dados seja uma pessoa jurídica, é imprescindível que o encarregado tenha conhecimento sobre a empresa e seu negócio, além de ter bom relacionamento interpessoal para transitar pelos diversos setores da companhia.

Existem profissionais que prestam serviços que o mercado denominou de “DPO as a service”. Caso você não queira destacar um funcionário de sua empresa para o cargo ou não queira contratar um novo colaborador, é possível contratar um terceiro para atuar como DPO.

Deve-se ressaltar que o DPO não age como mero canal de comunicação com os titulares de dados e a ANPD. Ele é peça fundamental na construção de uma cultura de proteção de dados e deve acompanhar todo o processo de adequação à Lei, podendo promover treinamentos, esclarecer dúvidas, construir política de privacidade e outras atribuições.

Para finalizar esse tópico, cumpre lembrar que a identidade do DPO e informações de contato devem ser publicamente disponibilizadas, ou seja, o site da empresa deve conter, de forma clara e objetiva, os dados de contato do encarregado.

  • Criar mecanismos para atender quaisquer requisições dos titulares.

A LGPD trouxe diversos direitos aos titulares de dados pessoais. A ANPD deve regular prazos de atendimento, mas hoje já se espera que qualquer pedido amparado pela Lei seja devidamente cumprido em um prazo razoável.

Ao pensar em uma pessoa jurídica que trate um alto volume de dados pessoais e que tenha milhares de titulares em sua base, conclui-se que um software poderá ser uma opção segura para o correto e tempestivo atendimento de um pedido formulado por um titular.

Uma medida mais simples e de rápida adoção é a criação de um canal institucional de comunicação, como um e-mail próprio para receber as demandas dos titulares de dados pessoais. Nesse caso, deverá ser construído um processo interno para formalizar o fluxo desde o recebimento da demanda até o envio da resposta ao titular.

  1. Atentar para a Política de Privacidade e de Proteção de Dados.

Caso não exista, elabore uma Política de Privacidade e de Proteção de Dados (“Política”) para divulgar amplamente como são tratados os dados, físicos e digitais, bem como esclarecer aos titulares de dados pessoais como eles podem acessá-los e atualizá-los, além de exercer seus direitos relativos a eles. A Política deve priorizar a visibilidade às atividades de coleta de dados por meios digital e físico. Além disso, a Política pode conter as seguintes informações:

  • Base jurídica do tratamento de dados pessoais;
  • Prazo de armazenamento dos dados pessoais;
  • Informações de contato do encarregado da organização;
  • Informações sobre o tratamento de dados sensíveis;
  • Informações sobre o uso de cookies.

O rol de informações apresentado acima não é exaustivo e existem diversas outras matérias que podem estar contidas na Política de Privacidade.

Vale lembrar que as políticas de privacidade já existentes carecem de revisão à luz do que a LGPD exige. E a cada mudança legislativa ou na forma de tratamento de dados, uma nova versão da Política precisa ser elaborada para não deixar de ser atual.

  1. Treinamento de Equipe e seu registro.

Além das sanções previstas na LGPD e demais penalidades que podem ser aplicadas pelo Poder Judiciário, por exemplo, não estar em conformidade com a LGPD pode acarretar em um risco reputacional.

Hoje sabe-se que o fator humano é relevante para a ocorrência de incidentes de segurança. Não apenas os hackers são responsáveis por vazamentos de dados que gerem danos aos titulares.

Portanto, o treinamento da equipe que trata dados pessoais é relevante e sensível. Todos os responsáveis por lidar com dados pessoais precisam entender o papel fundamental da sua proteção e do que a Lei exige. Palestras, workshops e cartilhas educativas são os meios mais comuns para difundir a cultura de proteção de dados.

Ao final de um treinamento deve-se pedir ao colaborador que assine um Termo de Confidencialidade e Responsabilidade de Dados Pessoais, o qual formalizará os compromissos relacionados às obrigações da legislação.

  1. O que esperar nos próximos meses?

De agosto/2020 até hoje, tivemos avanços relativos à ANPD. Em 27/08/2020 foi publicado no Diário Oficial da União o Decreto n. 10.474, que aprova a estrutura regimental da ANPD. Em 15/10/2018 o Presidente Jair Bolsonaro indicou os 05 (cinco) nomes para compor a Diretoria da ANPD, os quais foram aprovados pelo Senado Federal, após sabatina, em 20/10/2020.

Com isso, temos uma ANPD apta a exercer suas atribuições. Espera-se que sejam reguladas as matérias da LGPD que necessitam de definição ou esclarecimento. Além do aspecto fiscalizador, a ANPD é o órgão regulador, e como tal, espera-se que ela oriente sobre a aplicação da Lei.

Os artigos da LGPD que tratam das sanções administrativas entrarão em vigor em 1⁰ de agosto de 2021, o que pode gerar a falsa impressão de que nenhuma penalidade poderá ser aplicada aos agentes de tratamento antes dessa data. Cumpre esclarecer, portanto, que a ANPD não poderá aplicar as sanções previstas na LGPD antes dessa data, mas outros órgãos, como os de defesa do consumidor, Ministério Público e o Poder Judiciário poderão autuar e condenar os agentes de tratamento por descumprimento de qualquer norma de proteção de dados, não apenas a LGPD.

Outro aspecto a considerar nos próximos meses é a conclusão da adequação de órgãos públicos à LGPD. Eles também estão sujeitos e muitos divulgaram suas iniciativas a partir do segundo trimestre de 2020, como diversos tribunais de justiça e agências reguladoras.

¹ – Este documento foi produzido por Renata Rodrigues e destina-se aos clientes e integrantes do Renata Rodrigues Advocacia. O presente material tem caráter meramente informativo e não busca orientar qualquer pessoa para fins legais, não podendo ser utilizado como opinião legal.

Conclusão

Após um período de incerteza sobre a entrada em vigor da LGPD, desde 18/09/2020 ela está vigente, e ainda que a ANPD não esteja em pleno funcionamento, não há desculpas para não se estar adequado à nova Lei.

Importante ressaltar que todo projeto de implementação precisa considerar o atual status do tratamento de dados pessoais, em meio físico e digital, pelos agentes de tratamento. No caso de uma pessoa jurídica, por exemplo, faz-se necessário verificar o que já existe em termos de segurança da informação, o tamanho da empresa, o setor de atuação e o volume e o tipo de dados tratados.

Diante de todo o exposto, é possível concluir que a adequação à LGPD não é um processo rápido, simples e automático. O mercado vem amadurecendo e deixando de encarar a Lei como um “gasto” ou uma simples obrigação legal. Investir em proteção de dados é um diferencial positivo e uma grande vantagem competitiva. É claro que a pandemia pode ter atrasado cronogramas de implementação ou acarretado maiores dificuldades financeiras para os agentes de tratamento. Mas é fundamental prezar pela qualidade em um projeto de adequação buscando manter a urgência na adoção de medidas mínimas para atendimento das diretrizes legais.

Para mais informações sobre privacidade, proteção de dados e outros temas de Direito Empresarial, visite também o Instagram “@rr_advocacia_” e o canal “Renata Rodrigues Adv” no YouTube.

BAIXAR ESTE ARTIGO EM PDF