Como se adequar às normas da Lei Geral de Proteção de Dados?
O dia 26/08/2020 foi uma surpresa para todos aqueles que acompanham as votações no Congresso Nacional e que se interessam pela Lei Geral de Proteção de Dados Pessoais (LGPD). Na ocasião, o Senado Federal afastou a votação do trecho da Medida Provisória n° 959/2020, que afetava a vigência da referida lei. Agora, diante da vigência da lei, é tempo de a Administração Pública e as empresas correrem para se adequar às suas disposições.
Para quem não acompanhou a discussão: a redação original da LGPD, no seu art. 65, dispunha inicialmente que a lei entraria em vigor em 14/02/2020, dois anos após a sua publicação. Contudo, a Lei n° 13.853/2019 adiou sua vigência para 14/08/2020. Nesse ínterim, foi editada a Lei n° 14.010/2020 (estabelece o Regime Jurídico Especial Transitório – RJET), que determinou, dentre outras medidas, que apenas as sanções da LGPD seriam adiadas para 2021, enquanto os outros artigos entrariam em vigor em agosto de 2020. Veio então, logo depois, a Medida Provisória n° 959 de 2020 que, além de dispor de outros assuntos, também adiou a entrada em vigor da LGPD para 03/05/2021, conforme a redação do artigo 4º.
Ocorre que quando a Medida Provisória foi encaminhada para votação no Congresso Nacional, o Senado Federal (na qualidade de casa revisora do texto depois de feita a votação na Câmara) retirou o artigo que dispunha sobre a vigência da LGPD, visto que a matéria já tinha sido anteriormente apreciada durante a votação do RJET e sua reapreciação seria contrária ao Regimento Interno da casa. Assim sendo, a LGPD entrou em vigor no dia 18/09/2020, através da Lei n° 14.058/2020, após a apreciação do Projeto de Lei de Conversão n° 34/2020 pelo Presidente da República, uma vez que a redação aprovada não continha o controverso artigo 4º da MP 959.
Para que serve a LGPD?
De toda sorte, o objetivo da LGPD é ser um regime jurídico de proteção geral, que obriga o Estado e entes privados a fornecer proteção aos dados físicos e eletrônicos de pessoas naturais, bem como fornecer segurança jurídica àqueles que trabalham com os dados. É importante lembrar que, depois da decisão do Supremo Tribunal Federal (STF) no julgamento sobre o uso de dados pessoais pelo Instituto Brasileiro de Geografia e Estatística (IBGE), a proteção de dados ganhou relevância e se equipara aos direitos constitucionais. Inclusive, já há Proposta de Emenda à Constituição (PEC) para incluir a proteção de dados pessoais no rol dos direitos fundamentais enumerados no art. 5º.
O consentimento do indivíduo é o ponto chave da LGPD. A partir de agora, toda coleta e tratamento de dados deverá ocorrer mediante consentimento livre, informado e inequívoco. Dessa forma, o coletor e tratador dos dados deverá explicar ao titular dos dados o porquê e para quê da coleta, de forma objetiva, simples e acessível, a fim de obter o consentimento do titular dos dados nos moldes devidos.
Inclusive, quando se tratar de dados sensíveis, isto é, aqueles que possibilitam a individualização do titular dos dados (como os referentes à raça ou etnia, convicção religiosa ou política, biometria, genética, etc), é necessário que, além das características descritas acima, o consentimento seja específico e destacado.
Quais são as garantias trazidas pela LGPD?
O capítulo terceiro da Lei Geral de Proteção de Dados Pessoais dispõe dos direitos de que gozam as pessoas naturais com relação aos seus dados. São assegurados a titularidade, intimidade e privacidade dos dados; o acesso aos dados; correção de dados; anonimização (aplicação de métodos que evitem a identificação do titular dos dados a partir dos dados cedidos); bloqueio ou eliminação de dados desnecessários; portabilidade de dados; eliminação de dados tratados; revogação do consentimento, dentre outros. O exercício destes direitos se dá mediante simples petição contra o controlador perante a Autoridade Nacional de Proteção de Dados (ANDP), conforme redação do art. 17, §1º.
A ANPD é o órgão administrativo, subordinado à Presidência da República, destinado à orientação das entidades, fiscalização e aplicação das normas da LGPD, bem como a garantir a proteção aos direitos dos titulares dos dados. Foi estruturada pelo Decreto n° 10.474/2020 (nota: foi publicada no dia seguinte em que houve o veto ao artigo que pretendia adiar a vigência da lei) e goza de autonomia técnica.
Assim sendo, mediante seu caráter majoritariamente educativo, a LGPD busca incentivar a accountability (ou seja, a responsabilidade ética para a realização de um trabalho com transparência e prestação de contas às instâncias controladoras e/ou àqueles a quem o trabalho é destinado) e compliance (isto é, o dever, estimulado no interior de uma entidade, de desempenhar o trabalho de forma a estar em conformidade com as normas éticas e legais) no tratamento de dados, ou seja, que todos aqueles que trabalham com os dados pessoais demonstrem que realizam a boa coleta e o tratamento destes dados, conforme os princípios trazidos pela lei.
Como se adequar às normas da LGPD?
Baseado no artigo produzido pelo Centro de Liderança em Políticas de Informação (CLPI) e o Centro de Direito, Internet e Sociedade (CEDIS) do Instituto Brasiliense de Direito Público (IDP), seguem abaixo alguns passos para as empresas e entidades seguirem no momento da implantação da LGPD:
- Entender o impacto da LGPD na organização e obter a adesão da pessoa no topo da cadeia de comando: aqui é importante que seja demonstrada a importância da política de privacidade de dados e os benefícios da transparência na gestão desses dados;
- Designar alguém responsável pela proteção dos dados: a LGPD traz a figura do encarregado pelo tratamento de dados pessoais (Data Protection Officer), que, em termos gerais, é quem assegurará a implantação da cultura de proteção de dados na organização. Nesse processo, ele/ela poderá identificar setores-chave dentro da organização para auxiliar na implantação dessa cultura (por exemplo, uma atuação conjunta entre o setor jurídico e de TI);
- Identificar as atividades de processamento e os tipos de dados que a organização maneja: recomenda-se que a entidade realize o mapeamento das atividades de processamento e quais dados são usados, considerando a implementação da anonimização e/ou redução dos dados solicitados, bem como avaliando o ciclo de vida desses dados;
- Determinar os papéis e obrigações da organização enquanto controladora e/ou operadora de dados pessoais: neste momento, a entidade deve entender se, conforme as definições em lei, é uma controladora de dados, operadora de dados ou se atua de ambas as formas. Consequentemente, deve entender quais são suas obrigações em cada caso. Também, neste ponto, é válido que a organização considere atualizar seus contratos padrões, mencionando quais dados serão usados e solicitando o consentimento do titular;
- Avaliar os riscos de privacidade associados com o manejo de dados pela entidade: é importante que a organização implemente um processo de avaliação de riscos de privacidade que inclua também os riscos aos titulares dos dados. A partir disso, poderá elaborar um plano de controle de danos no caso de furto de dados, bem como priorizar medidas de compliance relacionados com o seu manejo;
- Criar e implementar um programa abrangendo as determinações da LGPD: a partir do reconhecimento dos riscos, é necessária a criação de um programa de gerenciamento de privacidade de dados e a implantação deste programa com a maior brevidade possível;
- Definir um fundamento legal para as atividades de processamento de dados da entidade: nessa etapa, faz-se necessária a indicação de uma pessoa ou equipe que será responsável por definir qual será o fundamento legal, dentre aqueles dispostos no art. 7º da LGPD, que norteará o processamento de dados realizado;
- Definir medidas técnicas e organizacionais para segurança de dados efetiva: além da atuação jurídica, a atuação de uma equipe técnica se faz precisa a partir do momento em que é necessário definir as mudanças essenciais para que se obtenha uma efetiva e apropriada segurança de dados. Além disso, é preciso também estabelecer um processo interno de gerenciamento de incidentes de segurança e de notificação da ANPD em alguns casos;
- Identificar terceiros com quem a organização compartilha os dados pessoais coletados e estabelecer um processo de gerenciamento: esta etapa é importante para saber se os dados tratados por uma entidade em nome da organização que coletou os dados inicialmente está compartilhando-os com outrem (uso compartilhado de dados) e, em todo caso, definir mecanismos e acordos de processamento de dados com terceiros, a fim de garantir a segurança destes dados em todo o ecossistema de compartilhamento;
- Identificar os fluxos de tráfego de dados e definir mecanismos e salvaguardas de transferência de dados apropriados: esta etapa é específica para os casos em que a organização pratica a transação transfronteiriça de dados, seja como operadora ou como controladora, devendo avaliar mecanismos de transferência mais seguros e apropriados para a atividade desenvolvida;
- Construir processos efetivos para transparência e para os titulares dos dados: o art. 9º da LGPD dispõe que é direito do titular dos dados o acesso facilitado às informações acerca do tratamento destes. Assim, cabe à organização cumprir o mandamento legal de forma clara e acessível, buscando ser o mais transparente possível sobre os seus processos. Deve também avaliar quais os direitos dos titulares relacionados com o processamento realizado pela organização e desenvolver processos para responder eventuais solicitações dos titulares;
- Treinar empregados para lidar com as determinações da LGPD: cabe, por fim, implementar programas contínuos de treinamento e adequação à LGPD com foco nos empregados, novos e antigos, e prestadores de serviço, de forma a manter a organização sempre de acordo com a cultura de proteção de dados criada e baseada na LGPD.
A adequação de qualquer organização à LGPD é um processo que, embora complexo e que envolva profissionais multissetoriais, é extremamente necessário – principalmente no atual cenário em que “os dados são o novo petróleo”, (ainda que as sanções administrativas para violações à lei só entrem em vigor em 2021).
Ademais, a cultura da proteção de dados é o que vai garantir que a organização permaneça relevante no futuro e será um ativo importante nos próximos anos, sendo o que muitas empresas procuram quando buscam investir ou firmar um contrato, principalmente aquelas multinacionais ou estrangeiras que desejem aportar seus recursos financeiros no território brasileiro. Para tanto, é importante contar com uma equipe preparada e experiente no estudo e avaliação de riscos no manejo de dados, a fim de desenvolver o plano mais adequado para a realidade da organização.