Finalmente a LGPD (Lei Geral de Proteção de Dados — Lei nº 13.709/2018) entrou em vigor. Mais exatamente no dia 18 de setembro.
Depois de quase dez anos de discussões entre Congresso Nacional e sociedade, sendo dois anos de vacância (prazo determinado para a sociedade como um todo se adequar à lei), e em um ano com tantas idas e vindas, em que muitas pessoas estavam esperando até o último momento para ver se a lei iria vingar mesmo, obviamente que esse dia chegou. Agora temos um marco regulatório em relação a privacidade e proteção de dados pessoais em nosso país.
A finalidade da LGPD é a proteção dos dados pessoais, objetivando assim salvaguardar as informações de pessoas físicas. A lei se aplica a toda operação de tratamento de dados pessoais realizada por empresas privadas, órgãos públicos ou até mesmo por pessoas físicas, seja em ambiente online ou offline, independentemente do país onde esses responsáveis pelo tratamento estejam localizados ou do local dos dados que serão alvo deste tratamento.
As disposições gerais da LGPD já estão valendo.
Ou seja: agora qualquer cidadão, titular dos dados pessoais, poderá questionar as empresas privadas ou órgãos públicos sobre como é feito o tratamento da sua informação pessoal. Esse questionamento poderá vir através de canais específicos de contato disponibilizados pela instituição, que deverá nomear um encarregado: indivíduo ou setor responsável pelo atendimento das questões relacionadas a privacidade e proteção de dados pessoais dentro da organização. Será o encarregado o canal de comunicação entre os agentes de tratamento de dados (controlador e operador), a Autoridade Nacional de Proteção de Dados (ANPD), o titular dos dados pessoais (pessoa física) e eventualmente outras autoridades públicas que fizerem questionamentos. O encarregado será o porta-voz da privacidade e da proteção de dados na instituição, devendo zelar pelo cumprimento da LGPD na organização e atendendo às solicitações dos titulares dos dados e autoridades.
Além disso, os titulares dos dados pessoais eventualmente poderão, a partir de agora, ingressarem com ações judiciais referentes a descumprimento da LGPD, caso não sejam atendidos em solicitações anteriores ou compreendam que houve alguma infração à nova lei ou até mesmo em relação à legislação anterior já vigente no país, no que se refere à tratamento de dados pessoais (por exemplo: Código de Defesa do Consumidor).
Porém, apesar de o cidadão poder já questionar o tratamento de seus dados pessoais e até ingressar com ações judiciais relacionadas, as sanções (que incluem as multas) só terão vigência em 1º/8/2021.
A ANPD foi criada, porém ainda não foi estruturada. Isso deverá ocorrer nos próximos meses. Enquanto isso, entende-se que o Ministério Público eventualmente poderá cumprir o papel de fiscal da lei, contudo, sem imposição de multas.
Portanto, nesse momento, há sete sugestões de ações emergenciais para cumprimento da LGPD:
1) Definição do cargo de encarregado na instituição, juntamente com o seu canal de contato específico, que deverá ser divulgado publicamente no site da organização. Assim, os titulares dos dados pessoais, ao entrarem em contato com a instituição, já saberão para onde direcionarem seus questionamentos relacionados ao tratamento de dados pessoais.
2) Revisão dos termos de uso e política de privacidade de seus sites, aplicativos e portais, com a menção do encarregado e contato respectivo nestes documentos, bem como verificação de outros detalhes importantes relacionados à privacidade.
3) Plano de ação, pois é possível a elaboração de um plano de ação para implantação da LGPD, com descritivo das medidas emergenciais já adotadas, dos procedimentos em andamento e as atividades que ainda serão desenvolvidas, com cronograma específico para atendimento de cada etapa. Desta forma, a instituição já demonstra que está em processo de adequação à lei e consegue informar o prazo em que pretende finalizar a implantação, atendendo assim à eventuais questionamentos dos titulares dos dados, dos órgãos públicos e da ANPD.
4) Revisão da documentação jurídica, pois é essencial que a instituição revise seus contratos, termos e aditivos, analisando-se um tipo de contrato por categoria (como “tipos de contratos”, podemos exemplificar os seguintes: colaborador CLT, colaborador PJ, cliente, fornecedor, prestador de serviços, estagiário, terceirizado etc.) A revisão detalhada da documentação jurídica básica que vincula as principais relações jurídicas e comerciais da instituição é muito importante, pois, por mais que a empresa não tenha clientes pessoa física, ela possui colaboradores, e estes, como pessoas físicas que são, devem ter a proteção de seus dados pessoais de forma adequada, de acordo com a LGPD.
5) Revisão do consentimento para verificar a forma e as condições impostas no processo de obtenção dos dados pessoais que serão objeto do tratamento, a fim de garantir de que a manifestação do indivíduo é feita de forma expressa, livre, inequívoca e específica para as finalidades necessárias. Caso isso não ocorra, o tratamento dos dados pessoais deverá ocorrer com fundamentação em outra base legal da LGPD.
6) Garantia dos direitos dos titulares, já que a LGPD define expressamente alguns direitos dos titulares dos dados pessoais (artigo 18 da lei), tais como: acesso, retificação, exclusão, portabilidade, anonimização, revogação do consentimento, entre outros. A instituição deve garantir meios válidos para que no processo de tratamento dos dados pessoais, possa atender à tais direitos quando for questionada.
7) Conscientização, pois é importante também que em algum momento a instituição se preocupe em conscientizar todos os seus colaboradores sobre a LGPD e o impacto de suas atividades no processo de tratamento de dados pessoais, a fim de cada funcionário compreenda a importância de sua atividade ao lidar com informações sensíveis de terceiros. Sem criar cultura interna de proteção de dados não há como atingir conformidade legal, pois as empresas são feitas de pessoas.
Fonte: Consultor Jurídico