No dia 26 de agosto, o Senado votou e aprovou a Medida Provisória nº 959 que, em seu art. 4º, postergava a vigência da Lei Geral de Proteção de Dados (LGPD) para 31 de dezembro de 2020. Na ocasião, o supracitado dispositivo foi retirado do texto legal. E, com isso, a vigência da LGPD passa a observar o prazo de 24 meses após a publicação da Lei nº 13.709 de 2018, nos termos do art. 65, II, da lei 13.853 de 2019.
A referida lei estabelece que dado pessoal é toda informação relacionada a pessoa natural "identificada" ou "identificável" e determina que o tratamento desses dados deve considerar 10 princípios de privacidade, dentre os quais destaco os principais:
- Finalidade: O tratamento de cada informação pessoal deve ser feito com fins específicos, legítimos, explícitos e compatíveis com a finalidade do negócio;
- Segurança: É responsabilidade de cada organização buscar meios tecnológicos que garantam a proteção dos dados pessoais de acessos por terceiros, ainda que não sejam autorizados, como nos casos de invasões por hackers.
Neste cenário, as empresas deverão garantir a segurança dos dados pessoais tratados e comunicar quaisquer incidentes ao órgão regulador, sendo que, dependendo do incidente, o titular dos dados também deverá ser comunicado.
Por outro lado, foi criada uma categoria especial para dados pessoais "sensíveis" que abrangem registros sobre raça, opiniões políticas, crenças, dados de saúde e características genéticas e biométricas. A lei definiu condições específicas para tratamento dessa categoria de dados, como por exemplo, a obtenção de consentimento do titular antes do tratamento.
Outro ponto relevante é que não importa se os dados são de companhias com sedes no exterior ou são tratados em outros países. Basta que tramitem em território nacional. Vale salientar que, caso as determinações não sejam seguidas à risca, as empresas serão multadas em até 2% do faturamento total. Valor que pode se tornar bastante expressivo, principalmente quando falamos de grandes organizações.
Embora as sanções administrativas tenham ficado para agosto de 2021, já que a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) ainda está em processo de estruturação, nada impede que haja um questionamento judicial, pelo Procon ou até mesmo pelo Ministério Público.
Por este motivo, os empresários devem se apressar para iniciar o processo de adequação, que certamente será complexo e moroso. Mais que se adaptar à nova lei, cada organização deve desenvolver um Programa de Governança de Proteção de Dados a partir do objeto do negócio em relação aos dados detidos por ela. De fato, o profissional de TI tem um papel importante nesse movimento., pois é responsabilidade deste departamento gerir as informações, garantir o desenvolvimento do sistema e incorporá-lo nas estruturas tecnológicas e no modelo de negócios.
De mais a mais, o investimento em TI é imprescindível para garantir a conformidade da lei, que traz desafios de gestão e governança de privacidade tais como: a gestão de consentimentos e respectivas revogações, gestão das petições abertas por titulares, gestão do ciclo de vida dos dados pessoais (data mapping & data discovery) e implementação de técnicas de anonimização, uma vez que os dados anonimizados em processo irreversível não serão considerados dados pessoais pela lei.
Por conseguinte, o amadurecimento de cultura concernente à gestão de informações será obrigatório de agora em diante e o quanto antes as empresas de adequarem, menor será o risco de um passivo administrativo ou judicial. Além disso, o atendimento às diretrizes da LGPD, pode ser um diferencial competitivo na fidelização de clientes e parceiros.
*Pamela Moreira, advogada da BMS Projetos & Consultoria
