Senado acaba com discussão sobre adiamento da Lei, retira jabuti do texto de MP e Lei Geral de Proteção de Dados vigora desde 18 de setembro.
Nem agosto de 2021, nem maio de 2021, muito menos dezembro de 2020. Nem governo, nem deputados. A Lei Geral de Proteção de Dados (LGPD) já está em vigor desde o dia 18 de setembro, para a tranquilidade de uns e desespero de outros. Muitos que apostavam em um adiamento, mesmo a lei tendo sido aprovada em 2018, agora terão de correr contra o tempo.
No dia 26 de agosto de 2020 a MPV 959/2020 voltou ao Senado, sua casa de origem, para que os parlamentares aprovassem o texto modificado pelos deputados um dia antes. A Medida Provisória perderia sua validade naquele mesmo dia, caso não fosse votada.
A MP continha dois temas distintos. Um deles tratava da operacionalização bancária de auxílios criados durante a pandemia da Covid-19 e outro tratava do adiamento para entrada em vigor da LGPD.
A Medida foi editada por Jair Bolsonaro em abril, e tentava adiar o início das regras de proteção de dados para maio de 2021. A Câmara aprovou o texto com um prazo menor, no fim de 2020, mas o Senado rejeitou o trecho por completo.
O governo sancionou na quinta, 17 de setembro, a Medida Provisória 959, já sem o trecho que propunha um novo adiamento da Lei Geral de Proteção de Dados Pessoais. Como o Senado havia determinado vigência imediata, a lei começou a valer no dia seguinte (18).
Para que a lei passasse a valer, o executivo federal criou no dia 26 de agosto, com dois anos de atraso, a estrutura da Agência Nacional de Proteção de Dados (ANPD), órgão da Presidência da República que vai fiscalizar o cumprimento da legislação.
Empresas
Pesquisa realizada, em março deste ano, pela consultoria de riscos e compliance ICTS Protiviti mostra que 84% das companhias ainda não estão preparadas para a implementação das novas regras. Ainda que a aplicação de multas por descumprimento ocorra somente a partir de agosto de 2021, o processo para que se adequem não é simples.
O cenário se agrava quando se constata que a letargia para a adequação retrocedeu durante a pandemia. Em outro estudo, realizado por meio do Portal LGPD criado pela ICTS Protiviti, para informar o grau de maturidade das empresas à LGPD, apontou que no segundo trimestre deste ano foi registrada uma queda de 89% no interesse das organizações avaliarem seus processos para a adoção de medidas exigidas pela Lei.
“Frente a esses dados, agora é preciso acelerar este processo, pois mesmo que as sanções tenham sido adiadas para agosto de 2021, quando a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) passará a aplicar as penalidades, como multa de até 2% do faturamento por incidente, há riscos para as empresas. Órgãos como o Procon e o Ministério Público
podem basear-se nos princípios da LGPD para penalizar infratores”, alerta André Cilurzo, especialista em LGPD e diretor associado da ICTS Protiviti.
O levantamento revela que entre agosto de 2019 e março de 2020 havia uma média de 29,8 registros de análise de maturidade. Porém, entre abril e junho deste ano, a média mensal caiu para 3,3 registros por mês. Segundo a empresa, a queda significativa neste período se deveu à conjunção dos problemas ocasionados pela Covid-19 e às indefinições daquele período em relação à vigência da LGPD.
O estudo, que contou com a participação de 192 companhias, mostra que as participantes não utilizaram a ampliação do prazo de vigência da legislação para se prepararem. Segundo o levantamento, as empresas possuem alguns mecanismos para atendimento à LGPD, porém carecem de foco, maturação e eficiência operacional para lidar com a lei.
Os dados da pesquisa mostram ainda que 41,3% das empresas indicam possuírem políticas e normativas para o tema. O dado representa um avanço nessa área em relação a primeira pesquisa feita pela consultoria, na qual 37% afirmam ter essas medidas.
Porém, apenas 12,5% dizem possuir medidas protetivas para prevenção do risco de vazamento de informações de dados pessoais, indicador que no estudo anterior apontava 13,5%.
“Há vários pontos para considerarmos, entre eles, a insegurança jurídica no tratamento de dados de pessoas físicas, o aumento de procedimentos para transação de dados internacionais, que reduz a eficiência operacional das empresas, e ainda possíveis danos aos cidadãos por vazamento de informações, sem contrapartida reparatória”, comenta André Cilurzo.
Com a entrada em vigor da LGPD, o Instituto Information Management ouviu especialistas no assunto. William Faria, DPO (Data Protection Officer), que atende o setor de segurança da informação da GFT Brasil e é advogado, aponta os impactos para as empresas com a chegada da nova lei.
Segundo ele, as empresas precisam iniciar imediatamente seu programa de adequação à LGPD e reforçar a sua Cibersegurança. Isso implicará em gastos, mas que devem ser encarados como investimentos para gerar competitividade.
Na Europa, ficou claro que as empresas que se adequaram à GDPR (General Data Protection Regulation) tiveram crescimento financeiro e reputacional perante os clientes.
“Em relação à fiscalização e sanções pela Autoridade Nacional de Proteção de Dados não terá impacto imediato pois só ocorrerá em agosto de 2021”, explica Faria.
Porém, o especialista alerta: “A partir de agora, as empresas devem disponibilizar canais de atendimento para permitir que o Titular de Dados (Pessoa Física) possa exercer seus direitos tais como, confirmação de existência de seus dados na empresa, solicitação de exclusão das suas informações, lista de atividades realizadas com seus dados pela empresa, entre outros. Isso sob a pena de sofrerem uma enxurrada de processos cíveis amparados pelo Código do Consumidor (CDC) C, além de poder sofrer a qualquer momento uma fiscalização do Procon ou do Ministério Público” aponta.
William Faria diz que a dificuldade da fiscalização se dará pela própria falta de estrutura da Agência Nacional de Proteção de Dados (ANPD) que, somente no dia 27 de agosto, teve seu decreto de estruturação publicado no Diário Oficial. Além de ser um órgão ligado ao governo, e não ao Estado, ficará sujeita à política de plantão de quem está no comando do governo.
“Em relação às organizações, a falta de controle delas com o uso dados que possuem vão dificultar as fiscalizações. No entanto, também servirá de arma contra elas mesmas, pois caberá à instituição provar que tem os cuidados com os dados pessoais ou que não possui esses dados, o ônus da prova será sempre da organização. O pior cenário para as empresas será sofrer, não uma fiscalização por um órgão, mas se submeter a milhares de pedidos dos titulares de dados sem que estejam prontas para isso” afirma o executivo.
Para William as empresas precisam tomar, de imediato e urgente, os seguintes passos:
1) Nomear imediatamente um Encarregado de Proteção de Dados que se responsabilize pelas solicitações dos titulares de dados e da ANPD;
2) Disponibilizar um canal de atendimento em sua página web para receber as solicitações dos titulares de dados.
3) Publicar sua política de privacidade.
“Agora, há também outras etapas que devem ser realizadas o quanto antes, como mapeamento dos Dados Pessoais e classificação, geração de Relatório de Análise de Impacto de Dados (documento legal que deve ser enviado para a ANPD). Disponibilização de um portal para que os titulares possam exercer seus direitos, adequação dos processos de negócio para garantir a privacidade, atualização dos procedimentos de Cibersegurança para garantir a proteção das informações pessoais e a manutenção de um programa de gestão de privacidade de maneira perene na organização”, aponta.
William diz que as empresas estrangeiras, principalmente as europeias, já estão todas adequadas com a GDPR e possuem mecanismos para garantir a privacidade dos dados dos cidadãos europeus. Agora, só vão precisar fazer pequenas adequações à LGPD se utilizarem os dados de cidadãos residentes no Brasil independentemente da nacionalidade.
“A implantação da LGPD dará mais segurança jurídica para que as empresas europeias possam investir e manter serviços aqui no Brasil. Isso será um ganho em forma de investimentos e aporte estrangeiro no Brasil, além de dar credibilidade às empresas brasileiras no mercado exterior, especialmente na Europa”, afirma Faria.
Para o especialista, somente com uma fiscalização rígida da ANPD ou Judicial é que se poderá garantir efetivamente que uma empresa está cumprindo com a regulamentação de proteção de dados. Entretanto, existem alguns dispositivos que permitem saber o nível de preocupação e cuidado que a empresa tem com o tema.
São eles:
A publicação de uma política de privacidade na rede gera a transparência necessária
A disponibilização imediata do histórico de tratamento que os dados pessoais foram submetidos, por meio de um dossiê disponível em portal de privacidade e disponível somente ao titular que o solicitar.
Disponibilização de forma antecipatória para a ANPD do Relatório Análise de Impacto de Tratamento de Dados o famoso (DPIA), onde a empresa demonstrará ter mapeado cada tratamento, enquadrando-o em uma das 10 bases legais referenciadas na LGPD e a identificação do nível de impacto e vulnerabilidades encontrados no processo, descrevendo seu plano de ação para combater as vulnerabilidades encontradas e forma de contingência, mitigação e comunicação para caso ocorra um vazamento de dados pessoais naquele tratamento.
“Essas medidas podem demonstrar o nível que uma empresa possui com relação aos cuidados com a privacidade de dados dos cidadãos e serão levadas em conta para uma eventual sanção por parte da ANPD, logo que demonstram o princípio da Boa Fé” ressalta William.
William Faria diz que existe um processo para fornecer os dados que forem pedidos. “O Artigo 19 da LGPD determina que as empresas devem fornecer confirmação de existência ou o acesso a dados pessoais, mediante requisição do titular em formato simplificado de forma imediata (instantânea) ou por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, em um prazo de até 15 (quinze) dias, contado a partir da data do requerimento do titular”, explica.
De acordo com o DPO da GFT Brasil, existem duas hipóteses para o caso de exigência de exclusão de dados. “A primeira do Art. 16, segundo a qual os dados pessoais serão eliminados após o término de seu tratamento desde que não sejam necessários para cumprimento de obrigação legal ou regulatória pelo controlador, estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Outra hipótese está firmada no Art. 18, em que o Titular de dados pode solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei”, esclarece.
E ele continua: “A maioria das empresas tem optado por anonimizar os dados e continuar a utilizá-los em seus BI (Business Inteligence) e assim manter informações de inteligência sem identificar mais quem é o dono da informação”, finaliza William Faria.
Urgência
O advogado Fabiano Zavanella é doutorando em Direito pela USP e Mestre em Direito pela PUC/SP, com MBA em Direito Empresarial pela FGV/SP. Ele é sócio do Rocha, Calderon e Advogados Associados e Diretor Executivo do Instituto Brasileiro de Estudos e Pesquisas em Ciências Políticas e Jurídicas (IPOJUR). Para o advogado, não existe possibilidade de recurso contra a entrada em vigor da lei. “A LGPD é de 2018, ou seja, já tivemos um período de vacância bastante considerável e, apesar do cenário desfavorável por conta da pandemia, não me parece que há espaço ou movimentação política para mudar o cenário, ou seja, a lei já está em vigor e devemos adotar todos cuidados necessários para adequar as rotinas das empresas a tais previsões”, alerta Fabiano.
Fabiano, que também é professor nos cursos de pós-graduação e extensão em Direito Empresarial do IBMEC, da Escola Paulista de Direito (EPD) e do Complexo Damásio Educacional em São Paulo, fala das mudanças que a LGPD traz para a proteção de dados. “A LGPD é uma lei robusta com uma série de critérios, conceitos, definições e obrigações impostas a qualquer tipo de tratamento dos dados pessoais por pessoa natural ou pessoa jurídica, com o objetivo de proteger a intimidade, a privacidade e a dignidade — preceitos fundamentais garantido pela própria Constituição Federal —, desde que se tenha uma finalidade de proveito econômico advindo desse tratamento”, aponta.
Para Zavanella, as empresas devem revisitar todas suas rotinas, padrões, políticas internas e, sobretudo, os sistemas de segurança de dados e informações sobre seus empregados e sobre o negócio em si, já que os dados são considerados o bem mais precioso na sociedade da informação. “Muitos setores ou empreendimentos depositam no tratamento de dados uma importância central dentro da atividade tanto para divulgação de seus pro dutos, serviços e boas práticas, como também para apurar seus resultados e estratégia. Mas isso não mais acontecerá de maneira irrestrita, sob pena de sanções prevista na LGPD, que passam ser aplicadas apenas em agosto de 2021”, explica. O advogado prossegue: “As sanções previstas na LGPD estão no artigo 52 e, dentre tais, podemos destacar (serão melhor reguladas e operacionalizadas pela Autoridade Nacional de Proteção de Dados): Advertência, bloqueio de dados, publicização da infração e multa, que pode chegar a até R$ 50 milhões, dentre outras que seguem um critério de razoabilidade e lógica a partir da extensão e gravidade da falta”, ressalta.
Ainda não existe prazo para o governo implantar a Autoridade Nacional de Proteção de Dados. No entanto, o decreto 10.474, de 26 de agosto de 2020, aprovou a estrutura regimental e o quadro de cargos e funções de confiança da Autoridade Nacional de Proteção de Dados. “A nomeação do conselho diretor e do diretor presidente depende de aprovação do Senado, sendo certo que as atividades das comissões permanentes daquela casa estão suspensas por conta da pandemia, logo ainda deveremos aguardar por essa definição para conhecer os ocupantes das respectivas cadeiras”, ressalta.
De acordo com o advogado, as sanções só poderão ser aplicadas a partir de agosto de 2021. Ele acredita que há tempo hábil para movimentação política no sentido de aprovar e nomear os cargos de direção da ANPD. “O ideal é que isso aconteça o quanto antes para que tenhamos definição sobre uma série de assuntos e dúvidas advindas da própria interpretação da lei e dos desdobramentos dela no cenário empresarial atual do Brasil, em especial pelas graves dificuldades econômico-financeiras impostas pela pandemia que alijam qualquer tipo de investimento em tal sentido”, conclui Fabiano Zavanella.
As principais competências da ANPD:
1) Zelar pela proteção de dados pessoais;
2) Fiscalizar e aplicar sanções em caso de descumprimento da LGPD;
3) Tratar de casos de segredos comercial e industrial;
4) Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
5) Elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
6) Estimular adoção de padrões que facilitem o controle dos titulares sobre seus dados pessoais.
Entrevista do advogado Fabiano Zavanella, sócio do Rocha, Calderon e Advogados Associados, para a Revista Information Management (IMA). Para ler o conteúdo na íntegra diretamente no Portal da publicação, clique aqui
