Faltam exatamente 12 (doze) meses para a Lei Geral de Proteção de Dados (“LGPD”) entrar em vigor. A partir do dia 16 de agosto de 2020, tanto as pessoas jurídicas de direito público quanto privado, salvo raras exceções, terão que estar em compliance com referida norma.

Mas, em termos práticos, o que isso significa? Significa que, no prazo de 12 meses, a empresa terá que realizar o mapeamento de todos os seus dados pessoais; adequar a documentação hoje existente; realizar o descarte seguro de dados pessoais; promover a portabilidade dos dados em alguns casos; indicar o encarregado; elaborar o relatório de impacto e o plano de crise; bem como realizar inúmeros treinamentos de todas as pessoas envolvidas com o tratamento dos dados pessoais em uma empresa.

Importante observar, ainda, que a LGPD traz inovações mas, parte do seu conteúdo, é mera compilação de, aproximadamente, 30 normas que já estão em vigor, como o Marco Civil da Internet, o Código de Defesa do Consumidor, a Lei do Cadastro Positivo, etc. Deste modo, enquanto alguns aguardam passivamente o início da vigência da LGPD, órgãos de defesa do consumidor ou o Ministério Público do Distrito Federal e Territórios (“MPDFT”) têm ajuizado diversos procedimentos e ações civis públicas com fundamento, inclusive nas regras e princípios constantes da LGPD. Além dos recentes vazamentos de dados ocorridos no Brasil, discutem-se, principalmente, questões relacionadas ao desvio de finalidade na utilização dos dados pessoais, a coleta de dados biométricos, reconhecimento facial, bem como de geolocalização sem o devido consentimento do titular do direito.

A LGPD protege tanto os dados físicos quanto os digitais que identifiquem ou tornem identificável a pessoa natural, tais como o nome, endereço de IP, dados biométricos, de saúde, etc. Portanto, todos os dados pessoais constantes dos documentos físicos e dos arquivos digitais deverão observar as regras da LGPD.

A LGPD prevê sanções pelo seu descumprimento que vão desde a aplicação de simples advertência com prazo para a adoção de medidas corretivas até a aplicação de multa simples de até 2% do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada a R$50 milhões por infração. Observe-se, neste ponto, que a legislação brasileira não esclareceu o que considera o termo “por infração”. Necessário salientar, ainda, que o risco reputacional e de perda de concorrência para outras empresas poderão representar prejuízos de maior impacto do que as sanções pecuniárias a serem aplicadas. Neste ponto, importante observar que, os entes públicos poderão solicitar que todos aqueles que lhes prestem serviços ou que com eles mantenham relação estejam em compliance com a LGPD. Afinal, o órgão público poderá ser  considerado responsável por eventuais vazamentos de dados ou violações à norma de proteção de dados pessoais ocorridas nos entes privados com quem mantenha relações.

• O que seria o “encarregado” para a LGPD? Preciso contratar um “encarregado”?

A LGPD trouxe a figura do encarregado, que poderá ser pessoa natural ou jurídica, com ou sem vínculo de emprego com a pessoa jurídica sujeita à LGPD, e que será o responsável por aceitar reclamações e comunicações dos titulares dos dados, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional de proteção de dados (ANPD); bem como orientar todos os membros de uma empresa acerca das práticas a serem adotadas em relação à proteção de dados pessoais. A dispensa de contratação do encarregado está prevista na LGPD mas esta depende, ainda, de regulamentação pela recém criada ANPD.

A revisão e elaboração de documentos acerca da proteção de dados pessoais é, apenas, uma das fases a serem implementadas para a empresa estar em compliance com as normas de proteção de dados pessoais e, dentre elas, a LGPD. Em verdade, trata-se de uma verdadeira mudança de cultura a ser adotada dentro das empresas, que deverão, necessariamente, incluir equipes multidisciplinares responsáveis pela obtenção do engajamento de todos os empregados, colaboradores e terceiros que possuam relação direta com os negócios realizados. Afinal, todos os elos da cadeia poderão, de alguma forma, violar as normas de proteção de dados pessoais acarretando responsabilidade para a empresa.

Não basta estar em compliance com o sistema da GDPR mas não observar e adotar os processos para a sua implementação efetiva no Brasil, isto é, a simples tradução da documentação elaborada pela empresa matriz ou parceira europeia não é medida eficaz para configurar o cumprimento da norma. Há a necessidade de análise específica dos sistemas e processos adotados no Brasil e a adequação da documentação em conformidade com as orientações de uma equipe multidisciplinar composta, no mínimo, pelos departamentos jurídico, de marketing, recursos humanos e de tecnologia da informação da empresa. A melhor forma de se questionar se uma empresa está ou não em compliance com a LGPD é lhe perguntar quais os tratamentos de dados pessoais realizados no Brasil (inclusive como foi realizado o descarte dos dados), as medidas que foram implementadas para evitar um vazamento de dados pessoais e, na sua ocorrência, quais os passos e procedimentos que serão adotados. Portanto, se houver dificuldade para responder qualquer uma destas perguntas, provavelmente, a empresa não estará em compliance com a LGPD. Toda e qualquer empresa que não tenha realizado a adequação da sua documentação à LGPD nem tenha dado qualquer tipo de treinamento ao seu pessoal interno, por certo não será capaz de comunicar um vazamento de dado pessoal por meio do seu encarregado, muito menos poderá comprovar que tomou todas as medidas possíveis para evitar o vazamento do dado pessoal conforme requerido pela legislação brasileira.

Trata-se, portanto, de um longo processo de adaptação das empresas brasileiras que poderá demandar mais do que 12 meses para a sua conclusão.

O Schmidt, Valois, Miranda, Ferreira & Agel possui equipe especializada na área de tecnologia e inovação e poderá auxiliar no compliance com a as normas de proteção de dados pessoais.