Faltam exatamente 12 (doze) meses para a Lei Geral de Proteção de Dados (“LGPD”) entrar em vigor. A partir do dia 16 de agosto de 2020, tanto as pessoas jurídicas de direito público quanto privado, salvo raras exceções, terão que estar em compliance com referida norma.
Mas, em termos práticos, o que isso significa? Significa que, no prazo de 12 meses, a empresa terá que realizar o mapeamento de todos os seus dados pessoais; adequar a documentação hoje existente; realizar o descarte seguro de dados pessoais; promover a portabilidade dos dados em alguns casos; indicar o encarregado; elaborar o relatório de impacto e o plano de crise; bem como realizar inúmeros treinamentos de todas as pessoas envolvidas com o tratamento dos dados pessoais em uma empresa.
Importante observar, ainda, que a LGPD traz inovações mas, parte do seu conteúdo, é mera compilação de, aproximadamente, 30 normas que já estão em vigor, como o Marco Civil da Internet, o Código de Defesa do Consumidor, a Lei do Cadastro Positivo, etc. Deste modo, enquanto alguns aguardam passivamente o início da vigência da LGPD, órgãos de defesa do consumidor ou o Ministério Público do Distrito Federal e Territórios (“MPDFT”) têm ajuizado diversos procedimentos e ações civis públicas com fundamento, inclusive nas regras e princípios constantes da LGPD. Além dos recentes vazamentos de dados ocorridos no Brasil, discutem-se, principalmente, questões relacionadas ao desvio de finalidade na utilização dos dados pessoais, a coleta de dados biométricos, reconhecimento facial, bem como de geolocalização sem o devido consentimento do titular do direito.
- Quais os dados protegidos pela LGPD?
- Qual a sanção pelo descumprimento da LGPD?
- O que seria o “encarregado” para a LGPD? Preciso contratar um “encarregado”?
A LGPD trouxe a figura do encarregado, que poderá ser pessoa natural ou jurídica, com ou sem vínculo de emprego com a pessoa jurídica sujeita à LGPD, e que será o responsável por aceitar reclamações e comunicações dos titulares dos dados, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional de proteção de dados (ANPD); bem como orientar todos os membros de uma empresa acerca das práticas a serem adotadas em relação à proteção de dados pessoais. A dispensa de contratação do encarregado está prevista na LGPD mas esta depende, ainda, de regulamentação pela recém criada ANPD.
- A revisão e adequação da documentação hoje existente na minha empresa será suficiente para o compliance com a LGPD?
- A empresa brasileira estará em compliance com a LGPD se adotar a documentação sobre a GDPR elaborada pela matriz europeia?
Não basta estar em compliance com o sistema da GDPR mas não observar e adotar os processos para a sua implementação efetiva no Brasil, isto é, a simples tradução da documentação elaborada pela empresa matriz ou parceira europeia não é medida eficaz para configurar o cumprimento da norma. Há a necessidade de análise específica dos sistemas e processos adotados no Brasil e a adequação da documentação em conformidade com as orientações de uma equipe multidisciplinar composta, no mínimo, pelos departamentos jurídico, de marketing, recursos humanos e de tecnologia da informação da empresa. A melhor forma de se questionar se uma empresa está ou não em compliance com a LGPD é lhe perguntar quais os tratamentos de dados pessoais realizados no Brasil (inclusive como foi realizado o descarte dos dados), as medidas que foram implementadas para evitar um vazamento de dados pessoais e, na sua ocorrência, quais os passos e procedimentos que serão adotados. Portanto, se houver dificuldade para responder qualquer uma destas perguntas, provavelmente, a empresa não estará em compliance com a LGPD. Toda e qualquer empresa que não tenha realizado a adequação da sua documentação à LGPD nem tenha dado qualquer tipo de treinamento ao seu pessoal interno, por certo não será capaz de comunicar um vazamento de dado pessoal por meio do seu encarregado, muito menos poderá comprovar que tomou todas as medidas possíveis para evitar o vazamento do dado pessoal conforme requerido pela legislação brasileira.
Trata-se, portanto, de um longo processo de adaptação das empresas brasileiras que poderá demandar mais do que 12 meses para a sua conclusão.
O Schmidt, Valois, Miranda, Ferreira & Agel possui equipe especializada na área de tecnologia e inovação e poderá auxiliar no compliance com a as normas de proteção de dados pessoais.