A Lei Geral de Proteção de Dados (LGPD), legislação sancionada em 2018 e inspirada em um modelo europeu, que estabelece padrões sobre os quais dados são pessoais ou sensíveis e traz regras acerca de como essas informações devem ser tratadas e armazenadas por empresas, entrou em vigor no dia 18 de setembro. Depois de tantas manobras legislativas, o texto da Medida Provisória 959/2020, foi publicado nessa data no Diário Oficial da União.
A grande questão é que o Brasil não está preparado para essa lei e as empresas poderão pagar um preço alto, se não estiverem em conformidade. E doa a quem doer, a LGPD chegou. As empresas terão que estar preparadas para o 1º dia da entrada em vigor da LGPD. Normalmente levaria de 60 a 90 dias para as empresas estarem em conformidade, mas a partir de agora é necessário um plano emergencial de 30 dias para não ficarem expostas à violação.
Abaixo estão as recomendações para a adequação à LGPD:
1. Publicar a Política de Privacidade atualizada nos canais digitais; 2. Indicar (nomear) o Encarregado (DPO) e divulgar publicamente o contato (art. 41, parágrafo 1º.); 3. Ajustar clausulado de contratos (Controlador - Operador); 4. Atualizar a Política do RH; 5. Fazer o aviso de privacidade em ambientes de tratamento de dados (como para visitantes - entrada, recepção); 6. Iniciar gestão de consentimentos (ideal com uso de uma ferramenta); 7. Iniciar atendimento de requisição de titulares (atender os direitos previstos artigo 18); 8. Realizar campanha educativa LGPD (veja campanha com Instituto iStart www.campanhacidadaniadigital.com.br, desenvolvida por PG Advogados ); 9. Estar preparado para medidas preventivas e para resposta incidentes (cumprir dever de report do art. 48) 10. Iniciar relacionamento com a Autoridade Nacional de Proteção de Dados (ANPD) e verificar caso de protocolar Código Melhores Práticas, com cláusulas padrão (transferência internacional), consulta pública e outros.
E o que ainda falta Regulamentar na Lei LGPD pela ANPD:
? art 4, III (segurança pública) por lei ? art 12, § 3º (anonimização) ? art. 18, IV (portabilidade)) ? art 19, § 4º (prazo direito titulares) ? art 20, § 2º (auditoria de algoritmos) ? art 26, V, § 2º (comunicar contrato e convênio ) ? art 27 (comunicação de compartilhamento dados Adm Pública e ente Privado) ? arts 29 e 32 (requisição de relatório impacto) ? art 30 (normas complementares para comunicação e uso compartilhado dados pessoais) ? art 31(penalidades administrativas aplicadas a órgão públicos) ? arts 33, 34, 35 e 36 (transferência internacional) ? art 40 (padrões de interoperabilidade) ? art 41, § 1º (atribuições do encarregado DPO) ? art 48 (dever de report) ? art 50 (protocolo guia de conduta) ? art. 55, j, VIII (critérios específicos para pequenas empresas) ? art 61 (extraterritorialidade) ? art 62 (acesso dados sistema educação) ? art 63 (tratamento base legada)
Além da preocupação das empresas em relação a não estarem preparadas para a entrada em vigor da lei e existe uma lacuna: O Brasil quer saber quem vai assumir a ANPD, pois quando a lei foi sancionada, em 2018, estabeleceu que a partir de dezembro daquele ano, o governo criaria a ANPD para zelar pela aplicação das regras previstas na LGPD, bem como elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, mas a Autoridade ainda não foi devidamente estruturada, apesar de ter sido criada em lei não iniciou operações até o momento.
A própria lei precisa ainda ter vários artigos regulamentados, o que faz com que as instituições que realizem projetos de conformidade possam a vir ter que refazer novamente se houver mudanças futuras, conforme tabela acima. Todas essas incertezas, que demostram que a lei e a Autoridade ainda não estão prontas poderão levar à judicialização do tema, especialmente nas esferas trabalhistas e consumeristas.
*Patrícia Peck Pinheiro é sócia de PG Advogados e PhD em Direito Digital. Especialista em Cibersegurança, Proteção de Dados, Propriedade Intelectual e inovação tecnológica. Autora de 24 livros publicados sobre Direito e Tecnologia
