Mônica Villani explica no artigo a seguir o que é a Lei Geral de Proteção de Dados Pessoais, conhecida como LGPD
Para quem ainda não sabe muito sobre esse assunto ou não tem certeza se essa lei “vai vingar”, vale explicar que a LGPD foi inspirada no Regulamento Geral sobre a Proteção de Dados – Regulamento (UE) 2016/679, também conhecido como GDPR, e entrou em vigor em maio de 2018 com o propósito de tutelar a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento dos indivíduos.
A LGPD faz parte de uma tendência global, liderada pela União Europeia e já adotada por diversos outros países, de normatização sobre a privacidade e da proteção de dados pessoais.
Ao contrário da Europa (que edita normas neste sentido há mais de 25 anos), o Brasil carecia de legislação específica sobre a matéria, contando com previsões esparsas na Constituição Federal e em leis como, por exemplo, o Código Civil, o Marco Civil da Internet, o Código de Defesa do Consumidor, a Lei do Cadastro Positivo, a Lei do Acesso à Informação, dentre outras normas (inclusive setoriais), sendo a LGPD um grande marco no País.
De forma sucinta, uma das principais regras da LGPD é a obrigação, por aqueles responsáveis pelos tratamentos de dados pessoais (que vai desde a recepção e a coleta até a guarda e a eliminação, sem deixar de lado a utilização propriamente dita), sendo o tomador da decisão (controlador) ou seu mero executor (operador), de realizar o enquadramento de cada uma destas operações em uma base legal, ou seja, em uma permissão trazida pela LGPD.
Outra das obrigações-chave da LGPD diz respeito à adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situação acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento considerado inadequado ou ilícito.
Todas essas mudanças fazem com que a LGPD, pode agregar valor às empresas que demonstrarem respeito à privacidade e à proteção dos dados dos indivíduos, tornando-se um diferencial competitivo no mercado.
Apesar de publicada há mais de três anos, o início da vigência de grande parte de seus dispositivos é atual. Isto porque parte da LGPD já está em vigor desde 28 de dezembro de 2018 – são as disposições que tratam da criação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD).
Estas sanções vão desde advertência à aplicação de multa de até 2% do faturamento da empresa, além da publicização da infração, do bloqueio e da eliminação dos dados pessoais a que se refere a infração.
Pequenas e médias empresas não precisam se preocupar com a LGPD ainda?
Muito pelo contrário: todas as organizações estarão sujeitas, por exemplo, à atuação de outras entidades públicas que militarão em favor dos titulares dos dados pessoais, assim como às demandas individuais dos titulares, inclusive judicialmente, podendo culminar em obrigações de fazer e não fazer e em pagamento de indenizações.
Exigências decorrentes da LGPD, ainda, poderão ser feitas por outras empresas às PMEs – sejam estas clientes, fornecedoras ou até parceiras, já que a LGPD vai exigir a conformidade em toda a extensão das cadeias de tratamentos de dados pessoais.
Como se adequar?
O importante é procurar ajuda especializada, sendo altamente recomendável a busca de profissionais qualificados e preparados para atuar na área. Um processo de conformidade envolve desde a auditoria dos fluxos de tratamento de dados da empresa até a organização do programa de governança de dados e a conscientização dos funcionários e demais envolvidos.
O primeiro passo é a organização assumir e aceitar a situação de risco que se encontra por não ter dado início à implementação das medidas de conformidade à LGPD.
É importante ter consciência de que não há soluções únicas, rápidas e mágicas que garantirão o cumprimento da lei (muito menos em horas ou dias). Apesar de estarmos falando de cumprimento de uma legislação, a LGPD exige um olhar holístico das organizações, que envolve desde atividades puramente jurídicas até questões relacionadas à segurança da informação e aos processos organizacionais adotados.
Ao adotar recursos milagrosos, o compliance será aparente e não efetivo. Além de possivelmente ter de arcar com sanções, penalidades e indenizações, a empresa ainda terá o ônus de custear futuramente pela implementação de medidas verdadeiramente eficazes – o famoso “quem paga mal, paga duas vezes” (ou até mais, nesse caso).
O terceiro passo é aceitar que a mudança de cultura é fundamental para estar em conformidade com a LGPD e buscar adaptar toda a organização as novas regras – um dos caminhos é disponibilizar treinamentos de conscientização.
É interessante também disponibilizar um canal de atendimento aos titulares dos dados pessoais e buscar medidas contingenciais para evitar a violação dos direitos desses titulares – tanto para as empresas com forte presença digital como para àquelas que possuem forte estratégia comercial através de outros canais.
A nomeação do encarregado de dados (também conhecido no mercado como “DPO”) igualmente precisa ser observada. Pode não parecer urgente (por conta da ausência momentânea da ANPD) mas é importante em função do seu papel de atuar como canal de comunicação entre o controlador e os titulares dos dados (e, futuramente, com a própria ANPD), assim como de disseminação das práticas a serem tomadas em relação à proteção de dados pessoais.
*Mônica Villani (www.monicavillani.adv.br) é advogada e sócia do escritório Mônica Villani Advogados, com atuação especializada em direito empresarial e das startups e compliance de privacidade e proteção de dados, com certificações EXIN PDPE®, PDPF® e ISFS®. Membro da Comissão de Direito Digital e Compliance da OAB de São Bernardo do Campo/SP. Professora no LAB de Inovação da Faculdade de Direito de São Bernardo do Campo e na Privacy Academy.
Curtir (0)