A Lei Geral de Proteção de Dados (LGPD) é um marco legal precioso, pois incrementará a segurança jurídica das empresas que realizam tratamento de dados pessoais, especialmente no que tange as demandas surgidas em razão do fomento da economia digital. Certamente, as relações das empresas com seus consumidores e até colaboradores sofrerão uma significativa mudança. A nova regra deveria viger a partir de agosto deste ano, contudo, o PL 1179/20 (ainda em trâmite na Câmara mas já aprovado no Senado) pretendia postergar-la para janeiro de 2021. Como nada é fácil neste país, veio a Medida Provisória 959/20 e postergou, se aprovada, para 03/05/2021. Porém, a provável prorrogação vigência da LGPD não deixou as empresas livres da adequação.
A própria pandemia que justifica o seu eventual adiamento, multiplicou os riscos para as empresas. Muitas, agora trabalhando em regime de home office, proporcionaram acessos por VPN às suas redes (e seu conteúdo), reuniões remotas compartilhando arquivos e até o uso de equipamentos pessoais ligados à essas redes. Em boa parte, dado o atropelo que a crise causou, sem adaptações de governança, sem adoção de boas práticas de segurança e sem treinamentos. Em tais circunstâncias, acidentes de segurança, especialmente de vazamento de dados, são comuns e expõem as empresas a riscos imensuráveis e de toda sorte.
Redes sociais, sites e todas demais formas de interação e comunicação com o cliente, que impliquem no tratamento de dados pessoais, deverão ser revisados e adequados aos novos padrões legais. Tudo isso implicará numa importante mudança nos contratos (de consumo, de trabalho, de parceria etc), o que exigirá um razoável esforço das empresas.
Tais obrigações precisarão ser seguidas com bastante atenção, especialmente diante das sanções administrativas, que passam por advertências e multas e podem atingir algo em torno de R$ 50 milhões por infração.
Demais disso, recentemente, a PEC 17/2019, que torna a proteção de dados pessoais uma garantia individual, foi aprovada no Senado e deverá aumentar o debate sobre o tema. Vale lembrar que as empresas poderão ganhar um fôlego para sua adaptação, visto que a LGPD deve ser adiada para janeiro de 2021. Parece muito tempo, mas não é, pois são muitos os detalhes que devem ser observados.
Na Europa, em especial, o Regulamento Geral de Proteção de Dados (GDPR), norma que inspirou a legislação brasileira já está vigente desde 2018. Quem busca a competitividade global, para ampliar o seu espectro de negócios, deve se adequar já pois muitos países adotam regramentos que visam tal proteção exigem dos demais regulamentos que protejam tais informações no mesmo nível. A ideia que permeia é de que informação protegida é aquela que tem segurança garantida em todo o seu ciclo de tratamento.
Noutro exemplo, em 2019 a Agência Nacional de Saúde Suplementar – ANS, editou a resolução normativa 443/19 que trata da implementação de programa de governança para gestão de riscos. Demais disso, usualmente tais informações são compartilhadas com outras empresas (farmácias para programas de desconto dos seus produtos, hospitais, clínicas, laboratórios etc). Nesse sentido, o tratamento de dados pessoais é um dos riscos operacionais de uma empresa de saúde, justamente por conta do volume de tais informações, especialmente nestes tempos de pandemia.
Na mesma dinâmica, o cumprimento da LGDP precisará ser comprovado por todos os agentes que tratarem dados pessoais, por meio da elaboração de Relatório de Impacto de Proteção de Dados, no qual os controladores deverão avaliar o ciclo de vida completo do tratamento de dados pessoais (contemplando desde a coleta, o uso, armazenamento, compartilhamento e exclusão dos dados). Surge assim, com fundamental importância e imposição legal, a criação na empresa do Encarregado de Proteção de Dados (o “Data Protection Officer – DPO”), que será o responsável por criar a cultura de proteção de dados dentro das empresas. A instituição do mesmo pode parecer corriqueira, entretanto, muitos serão os processos e procedimentos que deverão ser mapeados e adaptados para sua atuação.
Nas situações em tela, fica evidente a necessidade de se implementar programa de governança de dados pessoais, baseado em políticas e procedimentos, com distribuição de responsabilidades para a sustentação, revisão, monitoramento e garantia da eficiência do referido programa e, por consequência, adequação à LGPD.
Sua empresa está preparada? Já avaliou as vantagens e os riscos que a nova Lei pode trazer ou vai deixar para a derradeira das horas a adaptação? Entre em contato conosco e entenda o que fazer para que sua empresa possa atender a recente legislação.