** Desde quando foi aprovada, em agosto de 2018, muito tem sido discutido sobre os impactos que a LGPD, a Lei Geral de Proteção de Dados (Lei 13.709/18), terá sobre as empresas. A expectativa era de que a nova lei entrasse em vigor em agosto de 2020 — no entanto, ainda está pouco claro de quando a legislação terá sua exigência e eficácia de forma plena, ou seja, quando as empresas devem estar compliance e estarão sujeitas as punições em razão da violação das proteções aos dados pessoais em seu poder. (Conteúdo revisado, vide penúltimo paragrafo).

Mesmo diante desse cenário, uma coisa é certa, a obrigatoriedade da legislação está próxima e as empresas precisam endereçar as ações necessárias.

Para que sua organização esteja preparada, abaixo explicamos em que ponto se encontra a LGPD e o que sua empresa precisa para não ser pega de surpresa quando a lei, finalmente, for aplicada. Vamos lá?

A importância da LGPD para o cenário brasileiro

A aprovação da LGPD pelo plenário brasileiro acompanhou um movimento mundial de discussão sobre como os dados pessoais coletados por empresas, através de seus diferentes meios, principalmente pela evolução das tecnologias e pela internet são utilizados por essas e armazenados. 

Isso porque o conceito de privacidade foi diretamente afetado pela ascensão da internet. Se antes era muito mais difícil para uma empresa descobrir nome e outras informações pessoais dos seus potenciais clientes, hoje uma rápida pesquisa ou simplesmente pelo compartilhamento entre empresas, pode não somente fornecer esses dados, mas ainda, como muito mais infos que permitem à organização criar produtos e serviços, inclusive através de e anúncios muito mais segmentados.

Se por um lado isso traz benefícios ao mercado na forma de vendas mais assertivas, por outro, o consumidor era prejudicado, uma vez que não tinha controle de quais informações sobre ele poderiam ser usadas para fins comerciais.

A LGPD, assim como a GDPR (o regulamento de proteção de dados europeu) e a CCPA (a lei de privacidade do consumidor da Califórnia), foi criada como forma de garantir os direitos à privacidade através da proteção de dados pessoais — assegurados a todo brasileiro pela Constituição Federal — e o controle sobre o uso das próprias informações a qualquer cidadão.

Quais as adequações exigidas pela LGPD?

A LGPD deu mais poder ao titular sobre como seus dados pessoais são utilizados e armazenados e ainda quais direitos devem ser respeitados. Com a aprovação da lei, é obrigatório que as empresas realizem o tratamento de acordo com a a finalidade de uso. Elas também devem garantir a segurança das informações armazenadas e assegurar mecanismos que notifiquem o titular em caso de uma violação que resulte em risco ou dano relevante.

Outra mudança é que a organização precisa conseguir acessar os dados armazenados rapidamente, caso seja demandado pelo titular. Este também pode solicitar que as infos sejam deletadas dos sistemas da empresa a qualquer momento ou que elas sejam transferidas a outro fornecedor.

A LGPD ainda estabeleceu a diferença entre controlador, empresa que tem poder de decisão sobre o uso dos dados, e o operador, empresa contratada pelo controlador para o tratamento dos dados. Isso significa que, mesmo que sua empresa contrate um fornecedor de data center em nuvem, onde os dados pessoais serão armazenados, ela ainda possui responsabilidade sobre como essas infos serão tratadas.

Por último, a LGPD determinou as penalidades em caso de violação da nova lei. As empresas poderão ser advertidas e até mesmo multadas no montante de até 2% do seu faturamento anual, limitadas em R$ 50 milhões por infração. Outras penalidades incluem a publicização do fato (o que pode afetar a reputação da empresa), o bloqueio e até mesmo a determinação pela eliminação dos dados pessoais que se refere a infração.

Para fiscalizar as medidas, foi criada a ANPD — Agência Nacional de Proteção de Dados —, que funcionará como um órgão da administração pública federal, integrante da Presidência da República, responsável por estabelecer as diretrizes da Política Nacional de Proteção de Dados, além da fiscalização e aplicação das sanções relativas a legislação de proteção de dados.

Vigência da LGPD: o que se sabe até hoje?

Conforme falamos, o texto da LGPD previa que a lei entrasse em vigor em agosto de 2020. No entanto, a edição da MP n°959, de 2020, mudou os rumos e trouxe incertezas quanto à data final de adequação para as empresas.

A MP n° 959, editada ontem na câmara, prevê o adiamento da vigência da LGPD para Janeiro de 2021. O prazo para que seja votada no Senado vence em 27 de agosto e hoje, 26 deste mesmo mês, a votação segue para a casa. 

Inicialmente, a MP n° 959, que também trata de outros assuntos como a extensão do auxílio emergencial, seria votada no último dia 18, mas foi retirada de última hora da agenda pelo presidente da Câmara dos Deputados, Rodrigo Maia, que alegou falta de consenso para a votação fosse realizada.

A MP 959/20 adiou a obrigatoriedade de conformidade da LGPD para 01 de Janeiro de 2021 e a lei 14.010/18 estabeleceu especificamente que o processo de fiscalização e sanções previstas na LGPD poderão ser realizadas à partir de 1º de agosto de 2021.
Considerando ainda que a MP 959/2020 precisa ser apreciada até o dia 27 deste mês, pois se caducar a obrigatoriedade de conformidade volta para agosto de 2020 ou sendo aprovada e convertida em lei, poderá estabelecer uma nova data para a conformidade da lei 13.709/18.

Isso significa que não preciso me preparar?

Não exatamente. Por mais que ainda não esteja claro quando o governo passará a fiscalizar a aplicação das determinações da LGPD, as empresas ainda podem sentir outros impactos do não cumprimento às medidas.

O consumidor brasileiro está mais consciente dos seus direitos e dará prioridade àquelas organizações que são transparentes com ele. Isso significa informar, de maneira clara, sobre a coleta de dados e sobre a finalidade de uso para que a reputação da empresa não seja afetada.

Além disso, a segurança dos dados é e continuará sendo um dos tópicos mais importantes para qualquer organização, visto que um vazamento pode manchar a imagem da empresa e ter altos custos com a perda e possível recuperação de dados comerciais sigilosos.

Também, vale salientar que adequar os processos internos à LGPD pode ser demorado, especialmente para empresas que nunca se preocuparam sobre o assunto. Mesmo que a vigência seja adiada para maio, é importante iniciar o processo de adequação agora, para evitar problemas no futuro.

Algumas dicas para ajudar sua empresa incluem:

  • Descubra onde todos os seus dados atuais estão armazenados, os tipos que estão sendo mantidos e os processos de acesso, armazenamento, backup e controle;
  • Prepara-se para responder a solicitações de acesso aos dados, coletar as informações de todas as fontes sobre os dados dos títulares e devolvê-los;
  • Estabeleça um processo para que os dados sejam excluídos do armazenamento quando for o caso;
  • Você precisa ser capaz de responder a um órgão regulador onde coletou os dados e como titular consentiu com a coleta, dependendo do caso;
  • Supondo que seja um controlador, você é responsável pela manutenção segura desses, independentemente de quem estiver realizando o tratamento destes;
  • Invista em tecnologia que possa detectar violações ocorridas e fazer perícias forenses para investigar como os dados foram perdidos (ou alterados);
  • Estabeleça um plano de comunicação que reduza o impacto na sua equipe de apoio, fornecendo as informações mais precisas aos titulares dos dados em caso de uma violação;
  • Se ocorrer uma violação ou o regulador investigar a organização, é preciso ter documentos para explicar os fluxos de dados completos. 
  • Nomeie ou contrate um profissional ou empresa especializada para realizar a função de DPO (Data Protection Officer / Encarregado de Dados) para obter toda a orientação, gestão e suporte durante o processo de implementação e manutenção do compliance organizacional.
Caso ainda tenha dúvidas, entre em contato conosco! Estamos sempre prontos a ajudá-lo!

** O Senado Federal derrubou ontem, 26/08, a postergação da LGPD que estava prevista para iniciar no dia 31/12. Com isso, a medida passará a valer após a sanção presidencial, que está prevista para acontecer em até 15 dias, contados a partir do dia que a presidência receber o texto da casa.

O que muda? Em teoria, as empresas precisam estar em compliance com as normas da LGPD de imediato, porém, devido a ANPD (Agência Nacional de Proteção de Dados) ainda não estar em funcionamento, as advertências e multas, que serão aplicadas por este órgão regulador, passarão a ser aplicadas somente em agosto de 2020. (Editado as 14h00 do dia 27/08).