Privacidade e proteção de dados e a adaptação das empresas detentoras de dados até o início da vigência da lei 13.709/2018

Por Ana Carolina de Souza, Controladora Jurídica.

Em virtude da constante e indevida manipulação de dados pessoais, em 14 de agosto de 2018, foi editada a Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018, a qual determina como os dados dos cidadãos podem e devem ser coletados e tratados, e que prevê severas punições em caso de eventuais transgressões.

A edição do dispositivo legal em questão, colocou o Brasil no mesmo patamar de mais de 100 países, que podem ser considerados aptos a protegerem a privacidade e o uso de dados. O modelo de proteção adotado pelo Brasil é muito similar à legislação europeia (GDPR – General Data Protection Regulation), até mesmo superior a esta em alguns aspectos.

Inicialmente, importantes mencionar que a Lei Geral de Proteção de Dados entraria em vigor em fevereiro de 2020, depois de um período de transição (vacatio legis) de 18 meses. Ocorre que, quando a redação da lei foi aprovada pelo Senado, esta previa a criação de uma Agência Nacional Reguladora de Proteção de Dados como autarquia responsável por zelar a aplicabilidade da referida lei, fiscalizar e aplicar as sanções pertinentes em caso de descumprimento e fornecer parâmetros de interpretação da lei, a qual foi vetada pelo então Presidente em exercício, Michel Temer, sob alegação de vício de iniciativa, por ser um ato privativo do Presidente da República a criação de leis que criam órgãos da administração pública.

Porém, em 27 de dezembro de 2018, Michel Temer editou a Medida Provisória de nº 869, a qual trouxe significativas alterações à Lei 13.709/2018.

A primeira alteração foi o aumento do prazo para entrada em vigor da lei, de 18 (dezoito) para 24 (vinte e quatro) meses, contados da publicação da LGPD, ou seja, para agosto de 2020. Em suma, o adiamento da entrada em vigor da LGPD representa um prazo adicional importante para que as empresas se adequem à legislação, tendo em vista que o prazo anteriormente estabelecido de dezoito meses era visivelmente curto.

Outra importante novidade trazida com a edição da MP 869/2018, foi a criação da Autoridade Nacional de Proteção de Dados, que era o elo faltante para a sistemática de proteção de dados trazida pela LGPD. Porém, ainda não foi instituída pelo atual Governo Bolsonaro esta Autoridade Nacional e, pode ser que a Medida sofra novas alterações até sua efetiva implementação.

Assim, a MP deveria ser apreciada pelo Congresso Nacional para que seja convertida em lei no prazo de 60 (sessenta) dias, o que não ocorreu até o presente momento. Diante de tal fato, pode ser que uma nova Medida Provisória seja editada até se tornar definitiva, vez que ainda não regulamentada pelo Governo para controlar os dados a partir do poder público.

Assim sendo, ainda discutível o período de entrada em vigor da LGDP mas, como se trata de um procedimento complexo, importante que todas as empresas que tenham interesse em se manter competitivas, iniciem o quanto antes a criação de procedimentos para garantir a segurança da informação e criem regras claras para o adequado uso de dados de seus usuários. Frisemos que todas as atividades desenvolvidas com o escopo das empresas detentoras de dados se adaptarem à Lei em questão não devem ser vislumbradas como custo, mas sim como um investimento, vez que trarão benefícios a todos os envolvidos.

Importante mencionar, ainda, que a LGDP estabelece como pressuposto o consentimento do titular dos dados, ou seja, o antecedente aval do indivíduo, de forma a possibilitar que este o revogue ou o modifique a qualquer tempo, bem como solicite a exclusão ou portabilidade de determinados itens. Em suma, o consentimento foi elevado como sendo “a regra de ouro” da referida lei.

Desta feita, as informações sobre tratamento de dados devem ser de fácil acesso aos seus titulares, de igual forma que os procedimentos para retirada ou revogação do consentimento, e a mudança de finalidade, devem ser gratuitos e facilitados aos mesmos.

Os agentes de tratamento de dados devem adotar medidas de segurança para de adequarem à nova norma legal, com a confecção de projetos de compliance digital, ou seja, com a adoção de ações voltadas para a análise e minimização de riscos de sua atividade, bem como investirem em cibersegurança, vez que a utilização de meios efetivos para a prevenção, detecção e remediação de eventuais violação de dados pessoais, serão considerados como critérios atenuantes na aplicação das penas previstas na Lei de Proteção de Dados.

Para a efetiva implementação de mecanismos de segurança, importante que as empresas trabalhem em conjunto com o setor jurídico e empresas de TI especializadas, vez que será necessário o estabelecimento da governança de dados e fazer uso de certificados, certidões e mecanismos seguros para utilização dos dados, a fim de minimizar riscos.

Será necessária uma avaliação minuciosa do impacto que o tratamento dos dados vai gerar nos direitos do seu titular, a verificação da natureza dos dados coletados e tratados e da forma como os dados são tratados e uma avaliação de qual é a expectativa do titular de dados, não podendo ser utilizados os mesmos para finalidades distintas da esperada pelo usuário.

Assim sendo, o principal ponto é a mitigação de riscos: conhecer o dia-a-dia da empresa, conhecer seus riscos e classificá-los para então vir a preveni-los.