Apresentação ¹

O presente artigo tem por objetivo discorrer sobre algumas ações que precisam ser constantemente tomadas por todos aqueles que estão sujeitos à Lei nº 13.709/2018, mais conhecida como a Lei Geral de Proteção de Dados Pessoais (“LGPD” ou “Lei”).

  1. Breves considerações sobre a data de entrada em vigor da LGPD.

A LGPD foi promulgada em 14 de agosto de 2018 e sua redação original previa a entrada em vigor 18 meses após a sua publicação, ou seja, em 16/02/2020. Em 08/07/2019 foi sancionada a Lei nº 13.853, fruto da conversão da Medida Provisória nº 869, de 27/12/2018, que alterou a nova Lei, inclusive sua vigência, e criou a Autoridade Nacional de Proteção de Dados (“ANPD”). A partir desse momento, o cenário passou a ser:

  • ANPD e Conselho Nacional (artigos 55-A a 55-L, 58-A e 58-B) em vigor desde 28/12/2018; e
  • Demais artigos (“quase toda” a LGPD) em vigor a partir de 16/08/2020.

Em 2020, inúmeros projetos de lei foram submetidos ao Congresso Nacional com o intuito de postergar a data de vigência da maior parte da LGPD, sob os mais diversos argumentos, desde a não criação da ANPD até os impactos econômicos causados pela pandemia do COVID-19.

Depois dos trâmites na Câmara e no Senado, foi sancionada a Lei nº 14.010, de 10 de junho de 2020, a qual dispõe sobre o “Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado (“RJET”) no período da pandemia do coronavírus (Covid-19)”, e que altera a Lei no que tange à entrada em vigor dos artigos 52, 53 e 54, que apresentam sanções administrativas aplicáveis pela ANPD. Diante disso, o cenário passou a ser:

  • ANPD e Conselho Nacional (artigos 55-A a 55-L, 58-A e 58-B) em vigor desde 28/12/2018;
  • Sanções Administrativas Aplicáveis pela ANPD (artigos 52, 53 e 54): em vigor a partir de 01/08/2021; e
  • Demais artigos (“quase toda” a LGPD) em vigor a partir de 16/08/2020.

Enquanto o Congresso Nacional analisava os demais projetos de lei, o Presidente da República, Jair Bolsonaro, editou a Medida Provisória nº 959, de 29/04/2020 (“MP 959”), a qual cuidava de aspectos operacionais do pagamento do auxílio emergencial, além de tratar do adiamento da maior parte da LGPD em um único artigo ao final do texto da medida provisória. Considerando que o Senado Federal já havia votado o adiamento da Lei anteriormente, quando aprovou o RJET, o referido artigo da MP 959, que postergava a data de entrada em vigor da LGPD para 03/05/2021, restou prejudicado e não foi apreciado.

Portanto, na prática, o artigo 65 da Lei, o qual versa sobre a vigência da Lei e seus artigos, passou a ter o seguinte formato:

  • ANPD e Conselho Nacional (artigos 55-A a 55-L, 58-A e 58-B) em vigor desde 28/12/2018;
  • Sanções Administrativas Aplicáveis pela ANPD (artigos 52, 53 e 54): em vigor a partir de 01/08/2021; e
  • Demais artigos (“quase toda” a LGPD) em vigor a partir de 16/08/2020, com efeitos práticos a partir de 18/09/2020.

Diante de toda a indecisão sobre a vigência da LGPD, houve um número razoável de agentes de tratamento que não estava adequado à Lei em setembro de 2020. Até hoje é possível encontrar ofertas milagrosas de software e de serviços que prometem a implementação das diretrizes da LGPD em poucas horas ou dias!!!

Além de rechaçar a ideia de um projeto imediatista, faz-se necessário esclarecer que a adaptação de uma empresa é um trabalho permanente. Existem diversas atividades de acompanhamento que precisam ser realizadas periodicamente para que o controlador não perca o status de estar em compliance com a nova Lei.

  1. A busca de conformidade à Lei não é um simples projeto de implementação.

Não existe uma receita pronta ou uma fórmula padrão a ser aplicada em todo e qualquer projeto de implementação. Cada caso precisa ser analisado individual e concretamente para que a harmonização com a LGPD seja alcançada de forma eficaz.

Contudo, existem algumas etapas básicas e frequentemente comuns a muitos projetos de adequação à Lei, quais sejam, (i) estudo, (ii) planejamento, (iii) mapeamento, (iv) análise de risco, (v) plano de ação e (vi) implementação. Tais etapas podem ser realizadas de forma segregada ou concomitante e a ordem não precisa necessariamente ser engessada.

Em linhas gerais, as etapas anteriormente discriminadas consistem em:

  1. Estudo: análise da LGPD e demais leis que regulamentam o negócio;
  2. Planejamento: determinação da forma de execução do Projeto ²;
  • Mapeamento: levantamento dos dados tratados pela empresa e suas características;
  1. Análise de Risco: verificação dos pontos de desconformidade com a LGPD;
  2. Plano de Ação: definição do conjunto de medidas a serem adotadas para implementação do Projeto; e
  3. Implementação: adoção das medidas contidas no Plano de Ação.

Mais uma vez, cumpre destacar que é a realidade de cada pessoa, física ou jurídica, e que esteja sujeita à LGPD, que irá determinar o passo a passo a ser seguido para que se esteja em compliance com a Lei.

E aqui passo ao principal tema desse artigo, que merece um maior detalhamento.

Não obstante todo o exposto anteriormente, existe uma etapa final que é comum a todos os Projetos: o monitoramento. Há quem diga que é uma etapa propriamente dita, pois tem uma duração indefinida, pois se prolonga no tempo. De todo modo, o monitoramento engloba o acompanhamento das rotinas e processos internos estabelecidos para a boa e correta manutenção das práticas exigidas na LGPD.

Ou seja, a proteção de dados requer a adoção continuada de uma série de medidas. Ainda que tenha terminado de ajustar seu negócio à nova Lei, é preciso ter uma rotina padronizada para, dentre outras obrigações:

  • atualizar, conforme necessário, política de privacidade, termos de uso, programas de segurança da informação;
  • verificar se as ações implementadas são eficientes e eficazes, como, exemplificativamente, acompanhar se os direitos dos titulares estão sendo tempestiva e satisfatoriamente atendidos no dia a dia;
  • analisar se o ciclo de vida dos dados está sendo respeitado e as eliminações necessárias ocorrem mediante o que fora programado em tabela de temporalidade;
  • repetir o processo para cada novo dado que seja necessário coletar de seus clientes, pacientes, fornecedores, etc.; e
  • acompanhar a legislação aplicável, especialmente regulamentações que poderão ser editadas pela ANPD, de modo que sejam realizados os ajustes necessários no tratamento de dados pessoais existente.

O rol de tarefas elencadas acima não é exaustivo e outros afazeres podem ser necessários após a implementação. O importante é compreender que estar ajustado à LGPD demanda um esforço diário e não há data para terminar.

Vale ressaltar, ainda, a existência de duas comunicações que se perpetuam no tempo: (i) àquela relacionada ao diálogo controlador e titular de dados e (ii) àquela a ser mantida entre o controlador e a ANPD, ambas conduzidas pelo encarregado ou Data Protection Officer (“DPO”).

Ainda que o projeto de implementação tenha criado rotinas e modelos para a realização dessas comunicações, o DPO deverá estar atento a cada peculiaridade presente nos casos concretos. Somente no dia a dia será possível avaliar, por exemplo, se os modelos de reporte de incidente de segurança criados durante o projeto de adequação suprem as necessidades da ANPD e dos titulares.

Tanto o DPO como demais áreas que lidam com dados pessoais devem se engajar a aprimorar os processos e controles internos. Considerando que as possibilidades de melhoria são constantes, é incorreto afirmar que a adaptação à LGPD se encerra quando a empresa termina seu Projeto. A fase de monitoramento tem duração indeterminada, razão pela qual muitos autores e profissionais de proteção de dados não reduzem essa atividade a uma simples fase.

¹ – Este documento foi produzido por Renata Rodrigues e destina-se aos clientes e integrantes do Renata Rodrigues Advocacia. O presente material tem caráter meramente informativo e não busca orientar qualquer pessoa para fins legais, não podendo ser utilizado como opinião legal.

² – Para facilitar a leitura deste material, chamaremos de “Projeto” o processo de adequação de uma empresa à LGPD.

Conclusão

Quando se fala em adequação à nova Lei e seus programas de conformidade, é possível simplificar e dividir aqueles que estão sujeitos à LGPD em 03 (três) grupos distintos: (i) aqueles que ainda não começaram a implementar as diretrizes da Lei, (ii) aqueles que estão “no meio” do processo de adequação, e (iii) aqueles que já terminaram o Projeto e entendem que cumprem os dispositivos da legislação aplicável no que tange à proteção de dados.

E o único ponto em comum entre tais grupos é: nenhum deles estará sempre 100% (cem por cento) pronto e adequado. A cultura de privacidade e proteção de dados não é uma tendência passageira e pressupõe uma mudança de mentalidade e organizacional para seu sucesso.

Observar a LGPD e demais normativos que cuidam de proteção de dados exige rotina e atenção diária de todos aqueles que estão envolvidos com o tratamento de dados pessoais. Tomando uma empresa como exemplo, é relevante apontar que não apenas o DPO, o departamento Jurídico e a área de Tecnologia e Segurança da Informação estão envolvidos. Recursos Humanos, Marketing, Administrativo e Financeiro são exemplos de setores que cuidam de dados pessoais e precisam colaborar na construção de uma nova e forte cultura de respeito à privacidade e que esteja alinhada com a legislação vigente.

Resta claro que não se pode falar em curto e médio prazos ao tratar de proteção de dados. Saber que existem atividades a serem desenvolvidas ao longo do tempo, com vistas à manutenção do status de atendimento à legislação, reforça o caráter permanente do cuidado que todos os envolvidos precisam adotar ao desempenhar suas tarefas. Não se deve implementar um Projeto e acreditar ser suficiente para obedecer ao que a Lei requisita. Definitivamente, o jogo não termina quando o juiz apita.

Para mais informações sobre privacidade, proteção de dados e outros temas de Direito Empresarial, visite também o Instagram “@rr_advocacia_” e o canal “Renata Rodrigues Adv” no YouTube.

BAIXAR ESTE ARTIGO EM PDF