Background

Artigo: O capítulo final sobre a vigência da Lei Geral de Proteção de Dados - Por Maria Nathalia Lopes Fernandes e Paula Giordano Talpo

A publicação da Lei Geral de Proteção de Dados — LGPD (Lei nº 13.709/2018) em 14 de agosto de 2018 iniciou no Brasil o primeiro capítulo de um importante avanço sobre esse tema em nosso ordenamento jurídico. Editada com finalidade de estabelecer regras para a coleta, uso, armazenamento e compartilhamento de dados pessoais por empresas, bem como por entidades e organizações públicas, a Lei Geral de Proteção de Dados — LGPD (Lei nº 13.709/2018) teve um início bastante conturbado, repleto de mudanças decorrentes de decisões do Congresso Nacional e do Presidente da República, o que resultou em uma enorme insegurança jurídica para todos aqueles que estavam na "corrida" para completa adequação à LGPD. A princípio, a LGPD teve sua entrada em vigor prevista para agosto de 2020. No entanto, devido à crise sanitária e econômico-financeira decorrente da pandemia causada pela Covid-19, em 29 de abril de 2020, foi editada a Medida Provisória nº 959 (MP nº 959/2020) pelo Presidente da República, a qual, dentre outras disposições, alterou o artigo 65, II, da LGPD, estabelecendo que sua entrada em vigor ocorreria em 3 de maio de 2021. A Medida Provisória, embora produza efeitos imediatos, deve ser apreciada e votada em um prazo de até 120 dias para que seja convertida em lei. Assim, no dia 26 de agosto de 2020, ao ser levada para votação no Senado, embora a MP nº 959/2020 tenha sido aprovada, a validação do seu artigo 4º, o qual alterava o início da vigência da LGPD, restou prejudicado. Embora a decisão do Senado Federal tenha, aparentemente, resolvido uma questão que se estendia há meses, na realidade, as atenções e preocupações apenas mudaram seu foco, do Congresso para o Presidente da República, uma vez que, segundo disposição constitucional sobre o assunto, o texto deveria seguir para sanção do Presidente da República. Conforme seu histórico de edição comprova, quando se trata de LGPD, tudo é possível. Contudo, em 17 de setembro de 2020, tivemos o capítulo final dessa novela com a sanção presidencial da Lei 14.058, que resulta na vigência da LGPD a partir desta data. Com sua validade, as operações de tratamento de dados pessoais realizadas pelas empresas devem estar em compliance com a legislação. Sabemos que em uma primeira análise, o processo de implementação da LGPD em uma empresa pode parecer muito extenso ou confuso, mas, em linhas gerais, podemos resumi-lo em 5 etapas, quais sejam: (i) designação de responsável; (ii) mapeamento de dados e riscos; (iii) conscientização; (iv) definição de base legal; e (v) atualização. A primeira etapa diz respeito à designação de uma pessoa responsável pela proteção de dados. A LGPD, inclusive, determina que sejam designadas a figura do controlador e operador de dados, sendo o controlador o responsável por tomar as decisões referentes ao tratamento de dados, e o operador, responsável por realizar o tratamento de dados pessoais em nome do controlador. A segunda etapa é uma das mais importantes, uma vez que se trata do mapeamento das atividades da empresa, bem como o perfil de dados com os quais a empresa tem contato. A partir desse primeiro mapeamento, é feita a avaliação dos riscos relacionados ou envolvidos no processamento de dados pela empresa. Avaliado e definidos os riscos, pode-se estabelecer as medidas de mitigação ou de contenção em um eventual incidente de vazamento de dados. A terceira etapa é referente à conscientização de todos os colaboradores, a fim de integrar os princípios e diretrizes da LGPD à cultura da empresa. A quarta e quinta etapa estão fortemente relacionadas, uma vez que o tratamento de dados pessoais é autorizado pela LGPD em determinadas hipóteses específicas, as quais estão expressamente estabelecidas na legislação e são denominadas como "bases legais". Identificada a base legal que possibilita o tratamento de dados pela empresa, é o momento de atualizar e adequar todos os documentos de posse da empresa, ou que tenha sido firmado com seus colaboradores ou terceiros, à LGPD. Válido ressaltar que a LGPD traz um capítulo inteiro dedicado à criação da Autoridade Nacional de Proteção de Dados — ANPD, que, em linhas gerais, deverá zelar pela proteção dos dados pessoais, além de elaborar diretrizes para a Política Nacional e promoções de ações afirmativas sobre esse tema. Assim que constituída, a Autoridade também será responsável por fiscalizar e aplicar sanções administrativas em caso de tratamento de dados realizado em descumprimento à legislação. Nesse campo, válido relembrar que a Lei nº 14.010/2020, publicada em junho, prorrogou a aplicação de penalidades administrativas, previstas para agosto de 2021. Entretanto, independentemente do momento em que o início de sua vigência ocorra, o processo de sua implementação demanda organização e comprometimento de todos os sócios, diretores e demais colaboradores da empresa, uma vez que a adequação à LGPD implica, necessariamente, em mudança na cultura organizacional e corporativa. É importante ressaltar que o processo de implementação da LGPD é contínuo, uma vez que os termos e diretrizes existentes na legislação são dinâmicos e, consequentemente, estão em constante integração e adequação às demandas sociais, a fim de se obter a máxima aplicação e efetividade da LGPD, bem como a maior proteção aos dados pessoais.

* Maria Nathalia Lopes Fernandes é especialista da área de compliance da Lira Advogados.

* Paula Giordano Talpo é especialista da área compliance e direito do trabalho da Lira advogados.

Fonte: Consultor Jurídico (ConJur)