Tantas idas e vindas e mais uma vez a Lei Geral de Proteção de Dados (LGPD) gera uma guerra de braços ou "forças" entre as 2 Casas do Congresso.
Semana intensa e cheia de surpresas como sempre. Na 3ª.f dia 25, a Câmara delibera novo prazo de vigência para a LGPD - 31 de dezembro de 2020, após a aprovação da medida provisória (MP) 959/2020 - o que se supõe que esta antecipação, sob o âmbito do entendimento dos parlamentares, representa que deveriam as empresas públicas e privadas estarem trabalhando desde a promulgação da Lei 13.709/2018.
Surpreendentemente dia 26, tarde da noite o Senado resolve omitir o artigo 4º, interpretando e esclarecendo por Nota que a respeito da matéria " O Senado Federal aprovou nesta quarta-feira (26) a medida provisória nº 959/2020 que adiava, em seu art. 4º, o início da vigência da LGPD (Lei Geral de Proteção de Dados). Ocorre que o art. 4º, foi considerado prejudicado e, assim, o adiamento nele previsto não mais acontecerá. No entanto, a LGPD não entrará em vigor imediatamente, mas somente após sanção ou veto do restante do projeto de lei de conversão, nos exatos termos do § 12 do art. 62 da Constituição Federal", que na prática representa que, após a sanção presidencial, dentro do prazo de 15 dias úteis a LGPD passará a ter vigência
Surpresa ou Não? Em Setembro as empresas devem estar com sua Política de Privacidade dentro dos parâmetros e procedimentos estabelecidos em Lei.
Na prática, o mundo jurídico está em polvorosa. E o que falar das empresas que ainda contavam com a alternativa e conveniência de prazo mais longo.
De fato, com o alto fluxo de dados pessoais no universo da pandemia é determinante a definição de prazo que possa representar segurança jurídica para milhões ou bilhões de dados pessoais em circulação no mercado digital nestes últimos meses
Além disso, hoje dia 27, o DOU publicou o Decreto nr. 10.474, que aprova a Estrutura Regimental da Autoridade Nacional de Proteção de Dados ANPD, órgão que fiscalizará e regulamentará determinados procedimentos.
E agora como fica? Aquelas empresas que já tinham atualizado ou criado uma Política de Privacidade, como recentemente o Facebook, Google, Microsoft, vão poder testar e avaliar se as ferramentas adotadas já preenchem os requisitos legais e asseguram a conformidade para os titulares de dados.
Mas a pergunta que se faz é: Aonde estão aquelas empresas que nem sequer iniciaram seu mapeamento de risco?
Neste cenário, dentre tantas crises que estamos vivendo, em especial a da pandemia, é notório que muitas empresas se reinventaram e inovaram seus modelos de negócios, mas podem não ter feito a devida avaliação dos riscos de coleta e tratamento de dados pessoais.
O que importa é que a reputação está em jogo no âmbito da segurança digital com a vigência da lei e repercutirá diretamente no valor econômico dos negócios, e sem um adequado processo de aculturamento de seus grupos podem sujeitar-se a riscos potenciais, tais como vazamento, mal uso dos dados coletados, desvios e falta de ferramentas de segurança cibernética apropriadas. Como assegurar que os instrumentos são suficientes para o "tracking" ou o controle dos dados obtidos
Perda de credibilidade ou risco de reputação são indicativos rápidos e fatais para que as empresas priorizem sua agenda hoje - dediquem equipes ou comitês que, juntamente com orientação jurídica e de TI, possam dar os passos necessários a avaliação e mapeamento de seus processos.
Fato é que não se pode mais aguardar ou ficar à beira da vigência da LGPD, não se trata do cliente "inocentemente" aceitar a política de privacidade, mas sim conhecer para qual "finalidade", como serão tratados os dados pessoais autorizados e como serão armazenados.
Na prática, cada empresa tem seus valores, processo e práticas comerciais, a LGPD deverá incorporar-se ao DNA das equipes, empregados e colaboradores, o que significa dizer que cada membro desta cadeia de valores deve conhece-la, em especial aqueles que manuseiam os dados pessoais no seu dia-a-dia e devem assumir a responsabilidade no tocante a tarefa de controle e tratamento dos dados.
Analisar o fluxo dos dados pessoais dentro da rotina da empresa, conhecimento dos sistemas, processos internos e práticas serão determinantes para o controle e gerenciamento de riscos, além de disponibilizar e dar publicidade a uma Política de Privacidade clara e objetiva.
Se considerarmos a alta rotatividade de postos e a prática do home office, todas empresas públicas ou privadas certamente não estão em conformidade e sequer estão dando a devida atenção que prescinde os dados. Haja vista o exemplo claro que vimos de "apropriação e uso indevido de dados pessoais" na concessão do auxílio emergencial, reflexo de um banco de dados frágil e um país que repercute alto nível de corrupção.
Medida assertiva ou não estamos diante do desafio do Marco Legal de vigência da LGPD! Resta apenas a assistir os capítulos finais, que podem até nos surpreender. No entanto - O momento é agora!
*Thais Carloni, advogada, consultora do Pinheiro Vilella Advogados, palestrante e consultora especializada em Compliance para América Latina. Formação em Direito, Especialização em Direito Empresarial na FGV-SP e Direito Societário no Mackenzie
