Já em vigor no Brasil, a Lei Geral de Proteção de Dados (LGPD) regula a coleta, o tratamento, o uso e o armazenamento de dados pessoais no país.
Apesar de já estar aprovada desde 2018, lei passou a vigorar apenas em setembro com a sanção do presidente Jair Bolsonaro do Projeto de Lei de Conversão nº 34/2020, ainda que com pendências importantes.
Já falamos sobre a LGPD aqui mesmo no blog da Jump Label, falando sobre a importância da proteção de dados e em como podemos ajudar os clientes na implantação assertiva de um processo de Governança e Privacidade. Agora, com a LGPD em vigor, conversamos com um especialista no assunto, para levar informações de alto nível aos clientes da Jump Label.
O Adriano Mendes é sócio fundador do Assis e Mendes Advogados, escritório especializado em Direito Digital e Proteção de Dados. Ele nos contou um pouco sobre quais os impactos da lei e o que as empresas podem fazer para se adequar sem traumas, de forma rápida e simples.
Adriano, em primeiro lugar: a LGPD está mesmo em vigor? O que ainda falta no processo?
Depois de uma série de idas e vidas no Congresso em relação à data de vigência, a LGPD já está em vigor sim. A lei já estava prevista para entrar em vigor em agosto de 2020, mas tentaram adiar esse prazo, que até foi aceito pela Câmara, mas não pelo Senado. Com a sanção do Presidente, ela já passa a ser considerada como válida pela Justiça brasileira desde o dia 18 de setembro.
Só falta mesmo a estruturação completa da ANPD, a Autoridade Nacional de Proteção de Dados. A criação dessa entidade já foi formalizada em agosto e 5 diretores foram nomeados pelo presidente, passando pela sabatina do Senado. Mas é preciso ainda preencher os outros cargos e criar as diretrizes da Política Nacional de Dados Pessoais e da Privacidade (lembrando que será a ANPD quem irá fiscalizar e aplicar as multas, que já haviam sido prorrogadas para agosto de 2021).
Então quer dizer que sem a ANPD e o prazo das multas prorrogado, as empresas podem ficar tranquilas com os dados que manipulam?
Não, de maneira alguma! Com a vigência da lei, já temos visto diversos casos na Justiça utilizando a LGPD como argumento legal para mover ações, o que inclui desde pessoas físicas – como no caso de um estudante que questionou a proteção de dados da empresa de bilhete único de Pernambuco – até grandes empresas, que têm sido condenadas a pagar indenizações por infringir a LGPD.
Costumo dizer que “a LGPD é como se fosse um filho há muito esperado, mas que nasceu prematuramente”. Ou seja, o processo de aprovação e vigência da LGPD foi um tanto tumultuado e desorganizado, infelizmente, e agora, temos uma lei vigente, mas ainda sem uma Autoridade que determine sua aplicação. O resultado pode ser uma enxurrada de ações na Justiça contra as empresas, uma judicialização desnecessária.
Mas então o que as empresas devem fazer então para se adequar?
Em primeiro lugar, é preciso deixar claro que não existe “bala de prata”, algo único que consiga solucionar todos os pontos trazidos pela LGPD, em todos os segmentos ou para todas as empresas. Cada uma deve olhar para as suas necessidades de adequação e conscientização e decidir o que implementar, diretamente ou através de seus Trusted Advisors e um ecossistema próprio.
É preciso lembrar que a adequação é uma jornada e envolve o trabalho conjunto de diversas áreas, demandando desde um mapeamento de dados rigoroso até equipamentos para segurança, acesso e backup e o desenvolvimento e adaptação de aplicações e ferramentas. Especificamente na governança dos dados, é sempre recomendável a adoção de plataformas que gerenciem a privacidade e os riscos de terceiros, em conformidade com a LGPD.
E no caso de empresas que prestam serviços ou utilizam grande quantidade de dados?
Bom, essas empresa têm de correr! Considerando que apenas o processo de assessment – o mapeamento dos dados pessoais dentro de uma empresa – leva em torno de 2 meses, essa empresas deve iniciar o processo de adequação o quanto antes. Além disso, os serviços ou produtos em desenvolvimento já deverão nascer com a preocupação de atender às regras da LGPD e proteção de dados, para atendimento do princípio do privacy by design.
Isso sem contar o processo de adequação jurídica em si, que deve passar pela garantia do atendimento a direitos dos titulares, a revisão de contratos/termos de uso e política de privacidade, a negociação de contratos e condições , e a capacitação e a nomeação do DPO, que é o responsável legal pela aplicação da LGPD na empresa. De qualquer forma, é sempre recomendável o apoio de uma consultoria especializada, que suporte tanto a TI (ou a área de desenvolvimento) quanto o próprio departamento jurídico da empresa.
E como é esse suporte? Como um escritório como o seu pode ajudar as empresas?
Nós ajudamos tanto empresas que não têm um departamento jurídico estruturado, quanto aquelas que o têm, mas que não contam com especialistas em proteção de dados. No primeiro caso, nós cuidamos de todo o processo, da adequação ao relacionamento com os órgãos de controle (a ANPD). No segundo, prestamos consultoria especializada.
Especificamente sobre o DPO, algo que temos visto bastante procura é a contratação de um profissional especializo de fora mesmo, como prestador de serviço. Esse modelo de “DPO as a service” tem várias vantagens, como o custo mais acessível (se comparado com um profissional de mesma qualificação), a atualização constante e ausência de conflito de interesses com outros cargos. Além disso, a disponibilidade é constante, já que o DPOaaS não tira férias (isso é algo que oferecemos também).
E então, por onde os clientes da Jump Label devem começar?
Bom, eu recomendo ao responsável da empresa que baixe já nosso Checklist LGPD, com um passo a passo detalhado para sua empresa se adequar a LGPD. Para um apoio especializado na adequação, entre com contato direto conosco. Temos ajudado na conformidade de produtos e serviços de empresas de diversos mercados e com certeza poderemos auxiliar também. E é claro: contar com os especialistas da Jump Label para acompanhá-lo em todo o processo.