Incerteza jurídica sobre data de vigência da LGPD gera impactos ?

Incerteza jurídica sobre data de vigência da LGPD gera impactos na conformidade? Qual é o efeito prático para empresas que ainda não se adequaram à regulação de privacidade e proteção de dados?

Hoje trago aos leitores do nosso blog o excelente texto de : Cecília Almada Cunha publicado pelo site Jota

Desde agosto de 2018, só se fala sobre a nova Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18). Hoje, o prazo de vacatio legis (prazo legal entre a promulgação e a entrada em vigor da lei), trazido pela nova Medida Provisória 959/20, dispõe que a lei passará a vigorar a partir do dia 03 de maio de 2021.

Essa medida provisória, apesar de produzir efeitos imediatos, depende de aprovação do Congresso para transformação definitiva em lei. Não bastasse essa questão, a Câmara dos Deputados apreciou o projeto de lei nomeado Regime Jurídico Emergencial e Transitório das Relações jurídicas de Direito Privado (RJET) no que tange à eficácia dos artigos que correspondem às sanções previstas no caso de violação da LGPD, restando definido que os mesmos passarão a vigorar a partir de agosto de 2021, sob a justificativa de “não onerar as empresas em face das enormes dificuldades técnicas econômicas advindas da pandemia”.

Atualmente, para a vigência da lei, vale a data de vigência trazida pela MP publicada no Diário Oficial em 29 de abril de 2020, mas, afinal, qual é o efeito prático dessa alteração? Considerando os cenários possíveis para a LGPD entrar em vigor, qual o efeito prático para as empresas que ainda não iniciaram sua jornada pela conformidade com a regulação de privacidade e proteção de dados?

Com objetivo de esclarecer a questão independente do cenário jurídico, há que se mencionar algumas considerações relevantes e um passo a passo, principalmente para as organizações que ainda não iniciaram o processo de adequação.

A primeira consideração é que, independente da data para entrada em vigor da lei, ainda estamos em tempo de começar. Caso o prazo de maio de 2021 venha a ser ratificado, é de se considerar um ganho de “fôlego” pelas empresas, mas nada mudou quanto à necessidade latente de o Brasil implementar uma cultura de proteção de dados. É mais que uma questão jurídica, é uma questão de oportunidades de negócio.

Prorrogada ou mantida a vigência, a Lei nº 13.709/18 veio para ficar. As empresas, portanto, precisam se adequar sob pena de se encontrarem em uma situação competitivamente desfavorável. Isso porque a empresa que demonstra a proatividade na adequação à LGPD, demonstra muito mais do que a preocupação com as possíveis sanções da lei: demonstra sua preocupação com seus clientes, investidores e parceiros. A verdade é uma só: o mercado já aplica indiretamente a LGPD.

É muito importante reconhecer essa lei como oportunidade de sair na frente, aumentando o seu valor intangível através de uma boa reputação no mercado uma vez que, não raro nos dias de hoje, vemos anos de confiança no mercado seriamente afetados por conta de um incidente de segurança cibernética mal gerenciado, principalmente em tempos de Covid-19, em que estamos (quase todos) operando online, o que contribui para a potencialidade de eventos inesperados.

O primeiro passo em direção à conformidade é introduzir o tema internamente, corroborando na criação de uma Cultura de Privacidade e Proteção de Dados. Isso pode ser feito por apresentações, workshops, elaboração de dinâmicas nas áreas e aplicação de testes de conhecimento e de jogos didáticos sobre a temática.

A proteção de dados pessoais nas corporações não é condicionada a uma excelente ferramenta de segurança da informação. Por trás de uma tecnologia incrível, existe uma pessoa, passível de erros e sucessos, operando. Essa pessoa, sim, é o ativo mais importante da cadeia, por isso é primordial investir em capacitação e treinamento.

Difundido o conhecimento e a semente da Cultura de Privacidade e Proteção de Dados, o próximo passo é compreender internamente o fluxo dos dados pessoais através dos seguintes vieses: clientes, colaboradores, parceiros e fornecedores. Afinal, como os dados pessoais são coletados? Quais dados pessoais são coletados? Para quais finalidades? Com quem são compartilhados? Onde são armazenados? Existe algum mecanismo de retenção e eliminação dos dados após o término de tratamento?

Esse passo é anterior à elaboração das tão faladas políticas de privacidade e proteção de dados pessoais e consiste em nada mais nada menos do que a organização pisar no freio e olhar pra dentro das operações, promovendo maior autoconhecimento corporativo e, consequentemente, obtendo maior poder, conhecimento e capacidade de gerência assertiva sobre os próprios processos de negócios.

Desta forma, ficará cristalino aos olhos de qualquer um que a empresa que mantém muitos dados pessoais, seja digitalmente ou em meios físicos, não é uma organização necessariamente poderosa. Ao final do processo de mapeamento dos dados, a organização conseguirá avaliar que muitos dados mantidos estão desatualizados, inexatos, incorretos, ou são irrelevantes para operação sendo, portanto, descartáveis. Perceba que neste momento a organização possuirá menos dados, porém maior poder gerencial, uma vez que os dados mantidos poderão ser melhor estruturados.

Através da eliminação dos dados desnecessários e com o inventário dos dados pessoais em mãos, o terceiro passo consistirá em analisar, com relação aos dados corretos e exatos, quais são necessários e adequados para alcançar as finalidades pretendidas.

Isso porque as atividades de tratamento de dados pessoais, conforme prevê o art. 7º da Lei nº 13.709/18, deverão observar, dentre outros, os princípios da finalidade, adequação e necessidade, o que significa dizer que a realização do tratamento deverá se dar para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades e que os dados deverão ser compatíveis, adequados e necessários a esse tratamento, ou seja, mínimos.

A vantagem de se tratar apenas os dados mínimos é privilegiar os dados que realmente importam e facilitar o contra de sua qualidade, como a exatidão e a pertinência, além de reduzir a responsabilidade sobre os dados que foram eliminados.

Desta forma, a empresa atenderá ao princípio da responsabilização e prestação de contas, que consiste na demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Após a fase de autoconhecimento, será possível identificar os gaps envolvidos e a empresa poderá definir e gerenciar internamente o seu apetite de risco. Os processos internos, nos quais foram identificados tratamentos de dados pessoais, darão ensejo à legitimação dos procedimentos operacionais com a consequente formulação de regramentos internos.

É neste momento que entra em cena a formalização das políticas, como a de privacidade, proteção de dados pessoais e de segurança da informação, das regras internas como de monitoramento de pessoal (seja por ferramentas de Data Loss Prevention, ou por sistema de circuito fechado de televisão), padrões de tecnologia da informação, como a verificação do acesso individualizado realizado em vários níveis, e etc.

Nesta ocasião, também deverão ser adotadas medidas técnicas, organizacionais e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, transmissão ou difusão e para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

A formalização e produção de evidências de que a organização está se valendo das ações esperadas para se adequar à lei são requisitos fundamentais para o processo de adequação, uma vez que serão necessariamente considerados pela Autoridade Nacional de Proteção de Dados Pessoais, em caso de uma fiscalização.

Existem critérios subjetivos de boas práticas e governança para a aplicação da dosimetria da sanção, o que significa dizer que, nos termos da lei, a boa-fé do infrator, a sua cooperação, a adoção de política de boas práticas e governança, e a pronta ação de medidas corretivas e a transparência em casos de eventos de vazamento de dados serão consideradas no caso concreto como critérios.

Outra oportunidade de “sair na frente” é estabelecer alguns padrões e regras específicas para o setor através de uma validação da autoridade a esse respeito. Isso porque o Art. 50 § 3º da Lei Geral de Proteção de Dados permite a possibilidade da autorregulação regulada ao prever que regras de boas práticas e de governança poderão ser reconhecidas e divulgadas pela Autoridade Nacional.

Caberá, então, à organização a incumbência de designar um Encarregado de Dados Pessoais, pessoa (natural ou jurídica, podendo até mesmo ser terceiro em relação à organização) que será o canal de comunicação entre a organização e os titulares dos dados e a Autoridade Nacional, além de monitorar o cumprimento das políticas e regras internas e continuar, de forma incremental, o processo de conformidade e fomento à Cultura de Privacidade e Proteção de Dados.

Conclui-se, desta forma, que embora o Projeto de Privacidade e Proteção de Dados Pessoais possua início, meio e fim, o processo de monitoramento das melhorias é contínuo e o mero início da jornada pela conformidade já representa, para a organização, sair de uma posição passiva para uma posição ativa de conhecer o seu risco e, portanto, poder atuar com mais segurança jurídica, trazendo para a sua realidade corporativa a possibilidade de interferir nos processos de negócios com mais ingerência, gerando uma verdadeira oportunidade frente ao mercado