Para quem ainda não sabe muito sobre esse assunto ou não tem certeza se essa lei “vai vingar”, vale explicar que a LGPD foi inspirada no Regulamento Geral sobre a Proteção de Dados – Regulamento (UE) 2016/679, também conhecido como GDPR, que entrou em vigor em maio de 2018, com o propósito de tutelar a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento dos indivíduos.
A LGPD faz parte de uma tendência global, liderada pela União Europeia e já adotada por diversos outros países, de normatização sobre a privacidade e da proteção de dados pessoais. Ao contrário da Europa (que edita normas neste sentido há mais de 25 anos), o Brasil carecia de legislação específica sobre a matéria, contando com previsões esparsas na Constituição Federal e em leis como, por exemplo, o Código Civil, o Marco Civil da Internet, o Código de Defesa do Consumidor, a Lei do Cadastro Positivo, a Lei do Acesso à Informação, dentre outras normas (inclusive setoriais), sendo a LGPD um grande marco no País.
De forma sucinta, uma das principais regras da LGPD é a obrigação, por aqueles responsáveis pelos tratamentos de dados pessoais (que vai desde a recepção e a coleta até a guarda e a eliminação, sem deixar de lado a utilização propriamente dita), sendo o tomador da decisão (controlador) ou seu mero executor (operador), de realizar o enquadramento de cada uma destas operações em uma base legal, ou seja, em uma permissão trazida pela LGPD.
Outra das obrigações-chave da LGPD diz respeito à adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situação acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento considerado inadequado ou ilícito.
Todas essas mudanças fazem com que a LGPD, pode agregar valor às empresas que demonstrarem respeito à privacidade e à proteção dos dados dos indivíduos, tornando-se um diferencial competitivo no mercado.
A LGPD já está em vigor desde setembro de 2020 e a ANPD - a Autoridade Nacional de Proteção de Dados Pessoais - iniciou suas atividades em novembro do mesmo ano. Por força da Lei Federal 14.010/2020, as sanções administrativas previstas na LGPD – que serão aplicadas pela ANPD, entrarão em vigor a partir de 01 de agosto de 2021. Estas sanções vão desde advertência à aplicação de multa de até 2% do faturamento da empresa, além da publicização da infração, do bloqueio e da eliminação dos dados pessoais a que se refere a infração.
Mas isso significa que as pequenas e médias empresas não precisam se preocupar com a LGPD ainda?
Muito pelo contrário: todas as organizações estarão sujeitas, por exemplo, à atuação de outras entidades públicas que militarão em favor dos titulares dos dados pessoais, assim como às demandas individuais dos titulares, inclusive judicialmente, podendo culminar em obrigações de fazer e não fazer e em pagamento de indenizações.
Exigências decorrentes da LGPD, ainda, poderão ser feitas por outras empresas às PMEs – sejam estas clientes, fornecedoras ou até parceiras, já que a LGPD vai exigir a conformidade em toda a extensão das cadeias de tratamentos de dados pessoais.
Posto o senso de urgência, como começar a se adequar? Por onde começar?
Primeiramente, a organização deve assumir e aceitar a situação de risco que se encontra por não ter dado início à implementação das medidas de conformidade à LGPD durante seu período de vacância.
Segundo, é importante ter consciência de que não há soluções únicas, rápidas e mágicas que garantirão o cumprimento da lei (muito menos em horas ou dias). Apesar de estarmos falando de cumprimento de uma legislação, a LGPD exige um olhar holístico das organizações, que envolve desde atividades puramente jurídicas até questões relacionadas à segurança da informação e aos processos organizacionais adotados. Ao adotar recursos milagrosos, o compliance será aparente e não efetivo. Além de possivelmente ter de arcar com sanções, penalidades e indenizações, a empresa ainda terá o ônus de custear futuramente pela implementação de medidas verdadeiramente eficazes – o famoso “quem paga mal, paga duas vezes” (ou até mais, nesse caso).
Em decorrência do parágrafo anterior, o terceiro passo é aceitar que a mudança de cultura é fundamental para estar em conformidade com a LGPD e buscar adaptar toda a organização as novas regras – um dos caminhos é disponibilizar treinamentos de conscientização.
Como passos seguintes, sugere-se disponibilizar um canal de atendimento aos titulares dos dados pessoais e buscar medidas contingenciais para evitar a violação dos direitos desses titulares – tanto para as empresas com forte presença digital como para àquelas que possuem forte estratégia comercial através de outros canais.
A nomeação do encarregado de dados (também conhecido no mercado como “DPO”) pode não parecer urgente (por conta da ausência momentânea da ANPD) mas é importante em função do seu papel de atuar como canal de comunicação entre o controlador e os titulares dos dados (e, futuramente, com a própria ANPD), assim como de disseminação das práticas a serem tomadas em relação à proteção de dados pessoais.
Enquanto essas medidas iniciais são tomadas, as organizações deverão imediatamente dar início aos seus planos de adequação à LGPD, sendo altamente recomendável a busca de profissionais qualificados e preparados para atuar na área. Um processo de conformidade envolve desde a auditoria dos fluxos de tratamento de dados da empresa até a organização do programa de governança de dados e a conscientização dos funcionários e demais envolvidos.