A entrada em vigor da Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018) ainda está indefinida. A MP 959/2020, que prorrogou a vigência da LGPD para 3 de maio de 2021, ainda está em tramitação na Câmara dos Deputados, depois de ter a votação do dia 18 de agosto postergada. A MP perde a validade em 26 de agosto de 2020, portanto deve ser votada antes desta data.  Caso a referida MP seja rejeitada ou venha a perder a sua eficácia, a referida lei passará a vigorar imediatamente. Seja ainda neste mês ou em maio de 2021, as empresas terão um período de adaptação à nova lei da LGPD sem punições.

Isso porque a LGPD passará a valer inicialmente sem os dispositivos relativos às sanções administrativas (artigos 52 a 54), que serão aplicados somente a partir de 1. de agosto de 2021, conforme a Lei 14.010/2020. As penalidades em caso de descumprimento da LGPD, quando forem aplicáveis, irá depender da gravidade e da extensão da violação. Pode ser desde uma advertência, da divulgação da infração, eliminação ou bloqueio de dados até a regularização, bem como uma multa de 2% do faturamento da pessoa jurídica ou do grupo no Brasil – desde que limitado a R$ 50 milhões por infração.

Um outro problema é ainda a falta de definição da Autoridade Nacional de Proteção de Dados (ANPD), que seria uma espécie de “xerife” da LGPD, ainda que já tenha sido criado por força da lei. Recentemente, circulou a informação de que está sendo estudada a possibilidade do Conselho Administrativo de Defesa Econômica (CADE) assumir esta função.

Importância

A LGPD brasileira, que foi inspirada na GDPR, Regulamento Geral de Proteção de Dados da União Europeia, vai alterar o  tratamento de dados dos cidadãos brasileiros e deve afetar todos os setores da economia e, companhias de todos os portes. A nova legislação brasileira estabelece regras para coleta, uso, tratamento e armazenamento de dados pessoais e irá afetar as relações entre fornecedores e clientes, empregador e empregados, relações de consumo, marketing, médicas, comerciais transnacionais e nacionais, do contribuinte com o fisco, bem como outras relações nas quais os dados pessoas forem coletados. Em razão disto, todas empresas devem se adequar as novas regras.

Compliance na LGPD

O artigo 50 da Lei da LGPD estabelece que a empresa deve ter um programa de governança em privacidade que, no mínimo:

a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;

c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;

d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

g) conte com planos de resposta a incidentes e remediação; e

h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

Alem disso, a empresa precisa demonstrar a efetividade de seu programa de governança em privacidade quando for pedido pela autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta.

Para tanto, a empresa precisa ser capaz de evidenciar o comprometimento com a segurança de dados e comprovar a existência de processos e políticas internas sobre o tema. A cultura de privacidade deve permear toda a organização, com apoio para implementação dos setores jurídicos, de compliance e de tecnologia da informação. A nova estrutura de governança digital das empresas deve prever a atualização de documentos como contratos, revisão de políticas internas de privacidade e segurança da informação, bem como um mapeamento do processo de obtenção e armazenamento de dados. Também deve efetuar treinamentos com pessoal técnico sobre como se proteger de invasões ou tentativas de roubos de dados, bem como estimular a utilização do canal de denúncias para reportar suspeitas de atitudes ilícitas. Os riscos da falta de proteção de dados pessoais podem ser financeiros e reputacionais.

Guia CNI

Recentemente, a Confederação Nacional da Indústria  (CNI) criou um uma cartilha com orientações sobre como as empresas podem se adaptar a LGPD. Quem tiver interesse, como documento adicional de consulta, acesse:

https://bucket-gw-cni-static-cms-si.s3.amazonaws.com/media/filer_public/d6/29/d6297686-923a-4f69-8d4b-ff81bb4e8eb8/lgpd_o_que_sua_empresa_precisa_saber.pdf

A equipe do escritório Perisson Andrade, Massaro e Salvaterra Advogados está à disposição de sua empresa para auxiliá-la na adequação de programas de compliance à LGPD, na criação de um programa de governança em privacidade, para revisão de contratos e políticas e procedimentos internos ou quaisquer outras orientações adicionais.