Desafios da implementação da LGPD
Por Letícia Gatto
Conforme amplamente divulgado, o Brasil passou a ter, em 14 de agosto de 2018, a sua própria Lei Geral de Proteção de Dados, inspirada na regulamentação europeia denominada General Data Protection Regulation (“GDPR”). A criação da LGPD pode ser considerada um marco legislativo importante para o país, colocando-o em posição de igualdade com diversos outros países ao redor do mundo.
A onda global de preocupação com a proteção dos dados pessoais surge após diversos casos de vazamento de dados em âmbito nacional e internacional. A partir destes acontecimentos constatou-se que não havia, até então, lei ou procedimento adequado, eficaz e específico para a regulamentação do uso de dados e informações sensíveis, deixando a população totalmente exposta para que pessoas ou organizações pudessem utilizar indevidamente as informações captadas, quase sempre, sem autorização formal.
A data de início da vigência da Lei 13.709/18, anteriormente prevista para o dia 15 de agosto de 2020, foi recentemente alterada, pela Medida Provisória 959/20, que ampliou a vacacio legis da lei até 03 de maio de 2021, por conta da pandemia de coronavírus e o contexto de crise econômica eminente, dentre outras razões. [1]
A alteração do início de vigência da Lei foi recebida com alívio por certas empresas, pois a LGPD traz consigo inúmeros desafios, sobretudo quanto a sua implementação. A situação ideal seria se as empresas pudessem criar departamentos especializados no assunto, bem como realizar investimentos em sistemas e na capacidade de armazenamento destes dados.
É justamente quando se discutem os investimentos necessários para a efetiva implementação da LGPD que percebemos que as pequenas e médias empresas enfrentarão as maiores dificuldades. Assim, considerando os altos investimentos para estruturação interna, a terceirização das atividades de controle se mostra a medida mais viável às pequenas e médias empresas.
Chama a atenção, no cenário brasileiro, que se a lei realmente entrasse em vigor em agosto de 2020, poucas empresas estariam aptas a atender às exigências da LGPD, ficando sujeitas às penalidades previstas no art. 52 da referida lei, que podem variar desde sanções brandas, como advertências, até a imposição de multa, que pode chegar até a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
Além da dificuldade de implementação, outro ponto que causa insegurança aos empresários é a indefinição sobre a data de entrada em vigência da Lei e de imposição das penalidades.
Não bastassem todas as dificuldades e inseguranças, o governo brasileiro ainda não estruturou a chamada Autoridade Nacional de Proteção de Dados (“ANPD”), órgão que deverá ser responsável pela regulamentação e fiscalização da nova lei. Embora a criação da ANPD não seja uma condição sine qua non para o início da vigência da LGPD, basta uma breve análise no texto de lei para constatar que a sua criação seria essencial para a regular aplicação e fiscalização da legislação de proteção de dados pessoais, garantindo maior segurança jurídica para as empresas.
Nesse sentido, recentemente, a Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (“FECOMERCIOSP”), conjuntamente com outras entidades do setor empresarial, encaminharam uma carta ao Presidente da República e ao Congresso Nacional, apontando a necessidade da criação da ANPD maneira mais célere, reforçando a necessidade da aprovação da MP 959/20[2].
Quanto às empresas que não iniciaram o processo de adequação à nova Lei ou àquelas que não sabem por onde começar, destacam-se duas soluções efetivas que podem ser adotadas preliminarmente, a saber (i) a criação de políticas internas sobre privacidade e segurança da informação, iniciando esse diálogo com os funcionários e colaboradores, reforçando ou criando uma cultura dentro da companhia; e (ii) estabelecer um canal de comunicação direto com clientes e fornecedores, informando exatamente quais dados pessoais a empresa possui, informando os direitos garantidos pela LGPD e constatando a concordância dos usuários quanto a forma de utilização dos dados.
Apesar das incertezas quanto ao início da vigência e penalidades, além da ausência da criação do órgão regulamentador, recomenda-se fortemente que as empresas evitem a procrastinação e passem a atuar na adequação das informações, processos de mapeamento de dados e fluxo das informações dentro de suas estruturas, uma vez que o processo de adaptação demanda tempo e esforços, utilizando o adiamento do início de vigência da lei como oportunidade de preparação e organização, evitando e prevenindo riscos futuros.
[1] Ressalta-se que a Medida Provisória 959/20 poderá perder sua eficácia, caso não seja votada até 26 de agosto de 2020, resultando na retomada da data anteriormente prevista.
[2] Grupo de federações e associações pede prorrogação efetiva da Lei de Proteção de Dados para maio de 2021 e criação da ANPD – https://www.fecomercio.com.br/noticia/fecomerciosp-e-outras-entidades-pedem-prorrogacao-efetiva-da-lgpd-para-2021-e-criacao-da-anpd – Conteúdo acessado em 07 de agosto de 2020.
