A Lei Geral de Proteção de Dados Pessoais (LGPD) já está em vigor desde setembro de 2020. O fato de parte da lei que prevê as sanções ainda não estar em vigor, passava uma falsa impressão às empresas de que ainda não precisariam se preocupar tanto com a lei. Com a entrada em vigor dia 1º de agosto, das sanções administrativas, provavelmente as empresas se preocuparão mais em demonstrar compliance com a LGPD. A avaliação é da advogada Iara Peixoto Melo, coordenadora da área de Proteção de Dados e Direito Digital do Chenut Oliveira Santiago Advogados.
Ela alerta que a Autoridade Nacional de Proteção de Dados (ANPD) passará a fiscalizar e autuar as empresas que estiverem em desacordo com a legislação.
A advogada Flávia Bortolini, especialista em Direito Digital e proteção de dados e associada do Damiani Sociedade de Advogados, afirma que na prática o que muda é que a ANPD poderá multar as empresas que não estiverem adequadas. "As multas podem chegar a R$50 milhões, dependendo da gravidade do ocorrido. As empresas já deveriam estar adequadas, uma vez que em caso de vazamento de dados de usuários, podem responder pelos danos que causarem", ressalta.
Luiz Felipe Rosa Ramos, co-head de Proteção de Dados da Advocacia José Del Chiaro, alerta que as empresas precisam dar prioridade à jornada de adequação à LGPD. "Em especial, estabelecer procedimentos para atender aos direitos dos titulares, como o direito de acessar os seus dados pessoais e solicitar a eliminação de dados tratados em excesso. Precisam, ainda, nomear um encarregado e estabelecer um protocolo de reação a incidentes de segurança. Um programa de adequação robusto não pode evitar o amplo mapeamento dos tratamentos realizados pela organização e a elaboração de uma política de privacidade, com treinamentos específicos", explica.
Maria Cibele Crepaldi Affonso dos Santos, sócia gestora do Costa Tavares Paes Advogados, diz que é indispensável observar os princípios definidos na LGPD. "Por exemplo, a coleta de dados deve se limitar àqueles para a finalidade a que se destinam. Se não é necessário coletar a data de nascimento do consumidor no cadastro que ele fizer para aquisição de produtos no e-commerce, esse é um dado que não deve ser coletado. Da mesma forma, é preciso ter precaução com o envio, e o compartilhamento dos dados para terceiros: se a empresa não tiver obrigação legal, ou motivo e não informar na sua política sobre esse compartilhamento, não pode compartilhar dados com terceiros", analisa.
Segundo ela, "é preciso, também, certificar-se de que, caso o titular do dado solicite a exclusão ou alteração dessas informações da base de registros da empresa, é necessário que ela tenha condição de fazer o que foi solicitado. E mais: apresentar prova do que foi feito, caso necessário".
Wilson Sales Belchior, sócio do RMS Advogados e conselheiro Federal da OAB, diz que um ponto de partida interessante é conhecer as operações que estruturam os processos do negócio. "A partir disso, se torna possível organizar mecanismos para mitigar riscos, atender às exigências da LGPD e adotar boas práticas. Certamente essa atitude será menos custosa quando comparada à exigência de reparar todos os efeitos danosos produzidos por uma eventual infração à legislação de privacidade", ressalta.
Renato Valença, especialista em LGPD do Peixoto & Cury Advogados, diz que as empresas que ainda não deram início ao seu programa de governança em privacidade de dados devem fazer isso o mais rápido possível. "É comum ouvir executivos dizerem 'minha empresa é B2B, por isso não preciso me preocupar'. Isso não é uma verdade. Quase toda organização lida com dados pessoais, nem que sejam os dados das pessoas internas (empregados), e as atuais práticas precisam passar por uma avaliação. Se questionadas, as empresas precisam ter condições de provar que possuem um programa de conformidade adequado às suas atividades, baseado em políticas e regras de boas práticas", finaliza.
