Atualização. A LGPD está prestes a entrar em vigor. Embora a Medida Provisória 959/20 tivesse adiado o início da vigência da LGPD para 03 de maio de 2021, o Senado rejeitou o adiamento no Projeto de Lei de Conversão nº 34/2020 (PLV), por entender que o assunto já havia sido deliberado anteriormente. Dessa forma, a LGPD entrará em vigor assim que o Presidente Jair Bolsonaro sancionar ou vetar os demais dispositivos da MP 959/20. As eventuais punições por descumprimento da lei somente serão aplicadas a partir de 1º de agosto de 2021.
Outra importante atualização diz respeito a publicação do Decreto 10.474 de 26 de agosto de 2020, que cria a estrutura regimental da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela regulação do setor, com legitimidade para fiscalizar e aplicar sanções. Seria o órgão equivalente a ANS para setor de saúde, BACEN para o setor bancário, ANEEL para o setor elétrico etc.
Retomando a implantação do programa de proteção de dados, vale relembrar que a LGPD tem como pilares a transparência e a segurança dos dados tratados pelas empresas em relação aos titulares. Nesse sentido, emergem duas possíveis fontes de maior litigiosidade. A primeira em relação aos dados dos consumidores e a segunda em relação aos dados dos empregados.
O gráfico abaixo demonstra a diferença entre a adequação das grandes empresas e pequenas em relação aos quesitos indicados.
Uma das prioridades no início da implantação é a realização de capacitação de toda equipe envolvida (Art. 50 da LGPD). É preciso que haja conscientização dos agentes sobre as novas obrigações, direitos dos titulares e medidas a serem adotadas em caso de incidentes de segurança e/ou requisições. Em resumo, é preciso uma mudança de mind set. Isso pode levar algum tempo para ser assimilado, uma vez que a maioria ainda não é um nativo digital e o modo analógico não exigia obrigações como informações sobre transferência internacional, prazo de conservação e destruição, por exemplo.
A par dos riscos levantados no relatório realizado durante a fase de avaliação, deve-se buscar implantar medidas corretivas e preventivas. A segurança e proteção da informação relacionada aos dados pessoais encontra um bom roteiro na norma ISO/IEC 27002, que fornece diretrizes para boas práticas. Os agentes de tratamento possuem obrigação de garantir a segurança da informação relacionada aos dados pessoais, sob pena de serem pessoalmente responsabilizados (Arts. 46 e 47). Além disso, a lei exige que novos sistemas que envolvam tratamento de dados devam ser concebidos cumprindo-se regras de segurança e privacidade (“privacy by design”) e as configurações mais seguras devem vir como padrão (“privacy by default”) (Art. 49).
A atualização de políticas de privacidade e termos de uso ajudarão a dar transparência nas ações da empresa relacionada ao tratamento de dados. Internamente, recomenda-se a elaboração de manuais que contenham as regras claras dirigidas às pessoas que acessam os dados e o roteiro nas hipóteses de ocorrência de incidente de segurança e/ou atendimento a requisição dos titulares de dados como solicitação de extrato, correção, descarte seguro etc.
Os contratos com empresas terceirizadas em que os dados pessoais são compartilhados devem ser revisados para incluir obrigações de adequação à LGPD e a responsabilidade por eventuais inadequações.
Em resumo, a implantação do programa deve estar alinhada com a capacitação dos operadores e utilização de medidas tecnológicas, se possível informatizada. Ambas devem caminhar juntas.
