Background

Artigo: A LGPD entrou em vigor. E agora? – Por Pamela Moreira

No dia 26 de agosto, o Senado votou e aprovou a Medida Provisória nº 959, que, em seu artigo 4º, postergava o início da vigência da Lei Geral de Proteção de Dados (LGPD) para 31 de dezembro deste ano. Na ocasião, o supracitado dispositivo foi retirado do texto legal. E, com isso, a vigência da LGPD passa a observar o prazo de 24 meses após a publicação da Lei nº 13.709, de 2018, nos termos do artigo 65, II, da Lei 13.853, de 2019. A referida lei estabelece que dado pessoal é toda informação relacionada a pessoa natural "identificada" ou "identificável" e determina que o tratamento desses dados deve considerar dez princípios de privacidade, entre os quais destaco os principais: 1) Finalidade: O tratamento de cada informação pessoal deve ser feito com fins específicos, legítimos, explícitos e compatíveis com a finalidade do negócio; 2) Segurança: É responsabilidade de cada organização buscar meios tecnológicos que garantam a proteção dos dados pessoais de acessos por terceiros, ainda que não sejam autorizados, como nos casos de invasões por hackers. Nesse cenário, as empresas deverão garantir a segurança dos dados pessoais tratados e comunicar quaisquer incidentes ao órgão regulador, sendo que, dependendo do incidente, o titular dos dados também deverá ser comunicado. Por outro lado, foi criada uma categoria especial para dados pessoais "sensíveis", que abrange registros sobre raça, opiniões políticas, crenças, dados de saúde e características genéticas e biométricas. A lei definiu condições específicas para tratamento dessa categoria de dados, como por exemplo a obtenção de consentimento do titular antes do tratamento. Outro ponto relevante é que não importa se os dados são de companhias com sedes no exterior ou se são tratados em outros países. Basta que tramitem em território nacional. Vale salientar que, caso as determinações não sejam seguidas à risca, as empresas serão multadas em até 2% do faturamento total. Valor que pode se tornar bastante expressivo, principalmente quando falamos de grandes organizações. Embora as sanções administrativas tenham ficado para agosto de 2021, já que a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) ainda está em processo de estruturação, nada impede que haja um questionamento judicial pelo Procon ou até mesmo pelo Ministério Público. Por esse motivo, os empresários devem se apressar para iniciar o processo de adequação, que certamente será complexo e moroso. Mais do que se adaptar à nova lei, cada organização deve desenvolver um Programa de Governança de Proteção de Dados a partir do objeto do negócio em relação aos dados detidos por ela. De fato, o profissional de TI tem um papel importante nesse movimento, pois é responsabilidade desse departamento gerir as informações, garantir o desenvolvimento do sistema e incorporá-lo às estruturas tecnológicas e ao modelo de negócios. De mais a mais, o investimento em TI é imprescindível para garantir a conformidade da lei, que traz desafios de gestão e governança de privacidade tais como: gestão de consentimentos e respectivas revogações, gestão das petições abertas por titulares, gestão do ciclo de vida dos dados pessoais (data mapping e data discovery) e implementação de técnicas de anonimização, uma vez que os dados anonimizados em processo irreversível não serão considerados dados pessoais pela lei. Por conseguinte, o amadurecimento da cultura concernente à gestão de informações será obrigatório de agora em diante e o quanto antes as empresas se adequarem, menor será o risco de um passivo administrativo ou judicial. Além disso, o atendimento às diretrizes da LGPD pode ser um diferencial competitivo na fidelização de clientes e parceiros. * Pamela Moreira é advogada da BMS Projetos & Consultoria. Fonte: Consultor Jurídico (ConJur)