Escrito por Amanda Lara, consultora de proteção de dados, pesquisadora de Direito Digital e Tecnologia Jurídica, está no Instagram como @amandalarasso, membro voluntário do Instituto Goiano de Direito Digital – IGDD.
Os holofotes estão direcionados à Lei Geral de Proteção de Dados Pessoais – LGPD que foi aprovada em 14 de agosto de 2018 e teve boa parte de seu texto vigente a partir de setembro de 2020. Isso porque, no dia 26 de agosto deste ano, o Senado Federal deliberou pela derrubada do artigo 4º da Medida Provisória 959/2020 que determinava a “vacatio legis” da LGPD para o dia 31 de maio de 2021.
Com a decisão do Senado houve diversas informações equivocadas quanto a vigência da lei, em tese, porque, com a derrubada do artigo 4º da Medida Provisória 959/2020, a LGPD voltaria ao “status quo”, ou seja, com vigência retroativa ao dia 13 de agosto de 2020. Contudo, a LGPD só passou a vigorar no dia 18 de setembro de 2020, após a sanção do Presidente da República no Projeto de lei 1.179/2020, que se converteu na Lei 14.010/2020, fruto da Medida Provisória 959/2020. Em outras palavras, a legislação brasileira que trata da proteção de dados pessoais já está em vigor.
A Lei Geral de Proteção de Dados Pessoais trouxe um grande número de obrigações que terão impacto direto na operação de qualquer empresa que lide com dados pessoais. Isso porque ela prevê a proteção específica à privacidade e aos dados pessoais dos cidadãos, determinando como as empresas, as organizações e o poder público deverão coletar, usar, processar e armazenar esses dados no desempenho de suas atividades. A lei impacta atividades de instituições financeiras, hotéis, agências de turismo, hospitais, planos de saúde, farmácias, restaurantes, varejistas, universidades, provedores de serviços de internet, prestadores de serviço de telecomunicação, empresas de tecnologia, agências de publicidade, escritórios de advocacia e contabilidade, órgãos públicos entre outros.
Além disso, a Lei 13.709/2018 também afetará diretamente as relações entre fornecedores de produtos e serviços e seus clientes, relações de consumo, relações entre empregadores e seus empregados, dentro outras relações que impliquem coleta e tratamento de dados, tanto no ambiente online como offline.
O fato é que muitas empresas, entidades e o próprio governo não estão preparados para a mudança cultural que a nova legislação exigirá: atualmente os dados podem estar espalhados por vários sistemas, podem estar em poder de parceiros ou ainda sendo tratados para várias finalidades distintas dentro da mesma organização.
Embora a aplicação das sanções definidas na LGPD comece a partir de agosto de 2021, bem como existam inúmeras dúvidas sobre a nova legislação e haja necessidade de algumas regulamentações pontuais a serem discutidas e elaboradoras pela Autoridade Nacional de Proteção de Dados – ANPD, boa parte da lei já está em vigor e as empresas precisam estar em adequação se quiserem se manter competitivas no mercado, pois já é possível a responsabilização pelo tratamento de dados pessoais por meio de ações judiciais, antes baseadas em leis esparsas como Regulamentações do Bacen, Código de Defesa do Consumidor, Lei de acesso à informação, na nova realidade são reforçadas pela Lei Geral de Proteção de Dados Pessoais.
Nesse sentido, para garantir a proteção dos dados dentro de uma empresa, há alguns aspectos importantes que precisam ser concretizados, tais como, indicar explicitamente um Data Privacy Officer (encarregado pelo tratamento de dados pessoais); definir os agentes de tratamento (operador e controlador); ter um inventário, uma política de retenção e backup de dados tratados pela empresa; é necessária uma revisão ou ajustes de contratos com terceiros e a redação de um código de conduta para funcionários e terceiros para proteger a privacidade dos titulares dos dados; é preciso fazer gestão de consentimentos, definir políticas e emitir avisos de privacidade; é necessário ter um plano de ação de respostas a incidentes com dados ou violações de privacidade; ter ferramentas para gerenciamento de conformidade com a LGPD entre outras condutas.
A implementação de um projeto de adequação, nos termos e exigências da lei, não é tarefa fácil e demanda elevado tempo em sua implantação. As empresas podem contratar uma consultoria ou escritório jurídico ou ambos para se adequar à Lei Geral de Proteção de Dados. O importante é não ficar inerte perante esse cenário de proteção de dados que o país está passando. Portanto, para uma empresa manter o reconhecimento e o diferencial no mercado é melhor apostar na cultura e conhecimento de privacidade e proteção de dados pessoais.
Essa urgência na necessidade de adaptação já se manifesta através das consequências enfrentadas por muitas empresas que enfrentam ações coletivas por órgãos competentes diante de infrações à LGPD, originando processos judiciais que dão início a uma nova jurisprudência e estabelecerão os rumos para a abordagem na aplicação da lei e na efetiva responsabilização, não havendo mais formas de protelar as consequências da tão falada proteção dos dados pessoais no contexto brasileiro.
