Três anos após sua sanção, em agosto de 2018, a Lei Geral de Proteção de Dados (LGPD) está, finalmente, próxima a entrar totalmente em vigor. A partir de 1º de agosto, as sanções administrativas passam a ser aplicáveis pela Autoridade Nacional de Proteção de Dados (ANPD).
Este fato tem gerado grande preocupação nas empresas. Afinal, tais sanções podem variar desde a simples advertência até a aplicação de multas de até 2% do faturamento da pessoa jurídica no seu último exercício (até um limite de R$ 50 milhões de reais) e até mesmo a proibição parcial ou total das atividades relacionadas ao tratamento de dados. Deste modo, não é de se espantar que conforme nos aproximamos dessa data, observa-se uma crescente movimentação do mercado para se adequar e implementar as mudanças necessárias, que podem ser bastante desafiadoras na prática.
Até certo ponto, tais preocupações precisam ser ponderadas. O próprio presidente da ANPD, Waldemar Gonçalves, ressalvou em evento no final de junho que não haverá uma “indústria de multas”, mas que o foco da autoridade, ao menos num período inicial, será a orientação de titulares e empresas, com ênfase no uso de advertências com tempo para que as empresas possam se adequar.
Feita essa ressalva, as empresas precisam tomar imediatamente medidas de modo a se adequarem a nova legislação (se ainda não o fizeram). Primeiro, porque como descrito com maiores detalhes abaixo, a adequação à LGPD não é um processo que possa ser feito do dia para a noite ou de forma “genérica”.
Segundo, porque a aplicação de penalidades com base na LGPD não é mera suposição teórica: desde que a maior parte da lei entrou em vigor, em setembro de 2020, já foram tomadas decisões judiciais baseadas na lei (e também em legislação anterior como o Marco Civil da Internet e o Código de Defesa do Consumidor) penalizando empresas que faziam mau uso de dados pessoais. Órgãos fiscalizadores além da ANPD, como o Procon e o Ministério Público e entidades civis com atuação na área de proteção de dados já se mobilizaram em torno da lei. O início da vigência das sanções administrativas, bem como a cultura de judicialização de relações no Brasil deve levar a um aumento constante nos casos envolvendo questões de tratamento de dados pessoais, bem como a tomada de decisões baseadas nos princípios e disposições da LGPD.
Terceiro, por mais tranquilizadoras que sejam as palavras do diretor-presidente da ANPD, a verdade é que a autoridade tem atuado com rapidez ímpar. Após mais de dois anos de atraso em sua criação, desde o começo do ano a ANPD tem emitido orientações (como o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”), realizado audiências públicas e tomadas de subsídios com vias a regulamentar a LGPD. Assim, no médio prazo, é natural que ocorra um aumento na fiscalização e aplicação de sanções pela autoridade, tornando-se indispensável a um plano de adequação à LGPD e de implementação das mudanças e políticas necessárias. Vale reiterar: todas as empresas terão, em maior ou menor grau, que se adaptar à LGPD.
O caminho para adequar sua empresa às novas regras da LGPD pode ser bem complexo. É importante compreender que a adequação à LGPD requer uma abordagem multissetorial, envolvendo questões jurídicas, de governança de dados e de segurança da informação. Porém, com a alocação de recursos, estabelecimento de metas, e a orientação correta, é possível estar em compliance com a lei.
A primeira etapa para qualquer projeto bem-sucedido de LGPD é o chamado data-mapping, mapeamento de quais dados pessoais sua empresa possui. Sem saber de que modo sua organização coleta, armazena, trata, compartilha e elimina dados pessoais, toda atividade de adequação à lei ficará comprometida.
A partir deste mapeamento, é recomendado que as empresas passem a registrar todas as suas atividades de tratamento de dados. As empresas precisarão sempre identificar qual a hipótese legal (ou base legal) mais adequada para cada tratamento de dados que realizarem (e tomarem as medidas necessárias de acordo com tal hipótese legal, como, por exemplo, elaborarem termos de consentimento quando a hipótese legal mais adequada for o Consentimento). As empresas também precisarão se atentar ao requisito de transparência que a lei passa a exigir, disponibilizando me modo ostensivo informação sobre os tratamentos de dados que realizem e sobre quais são os direitos que a lei garante aos titulares.
Somente após este entendimento do fluxo de dados dentro da empresa é que se recomenda que seja feita uma revisão de documentos, políticas internas e contratos que tenham relação com o tratamento de dados pessoais. A criação de manuais e guias de boas práticas é outra medida que ganhará importância dentro de empresas. Em contratos, será necessário incluir novas cláusulas – ou mesmo estabelecer contratos específicos – deixando claro quais são as responsabilidades de cada parte quanto ao tratamento de dados pessoais, bem como garantias mínimas de que ambas as partes estão em compliance com a lei. A responsabilidade civil prevista na LGPD é objetiva (independente de culpa ou negligência) e solidária, de modo que todo cuidado com o compartilhamento de dados será pouco.
Não esqueça que a LGPD também se aplica ao chamado público interno, isto é, os dados pessoais de seus empregados também se encontram protegidos sob a nova lei. Alguns dados pessoais, como origem racial ou étnica, filiação a sindicato, dados de saúde e biometria (incluindo o uso da digital para acesso ao local de trabalho) são considerados dados pessoais sensíveis, ficando sujeitos a restrições ainda mais rígidas. Além disso, mesmo dados pessoais de pessoas alheias a relação de trabalho, como é o caso de currículos recebidos, passam a ser afetados pela nova lei.
Lembre-se: embora as sanções previstas pela LGPD assustem, a pior punição possível para sua empresa poderá ser a perda de reputação. Ser vista como uma organização que não fornece proteção adequada a dados pessoais passará a ser uma violação cada vez mais grave conforme estes ganhem cada vez mais relevância econômica.
Para se adequar à lei, as empresas devem buscar o entendimento do fluxo de dados dentro de sua organização; identificar hipóteses legais adequadas para tratamentos de dados; avaliar políticas e normas internas relevantes ao tema da privacidade e proteção de dados; aditar ou elaborar contratos de modo a mitigar riscos e garantir que terceiros estejam operando em conformidade com a LGPD; e, onde necessário, adotar soluções jurídicas especializadas para situações complexas, como normas corporativas globais (binding corporate rules) e data processing agreements (DPAs).
Por Marcelo Cárgano e Amanda Costa
