Agora é pra valer. Entra em vigor a regulamentação que dispõe normas e regras acerca do tratamento de informações dos usuários nos meios digitais, com o objetivo de proteger seus direitos fundamentais de liberdade e de privacidade.
A partir de 18 de setembro de 2020, passa a vigorar a Lei 13.709/2018. O que mais uma vez acende o alerta para empresas e instituições investirem na atualização e adequação da gestão e dos procedimentos em tudo que envolve o uso dos dados, na construção de um modelo de equilíbrio para prevenir riscos e também abusos. São mudanças que envolvem aspectos tecnológicos (aplicação de soluções), de governança (revisão de contratos e políticas) e educacionais (conscientização e treinamento de equipes).
Mesmo com a LGPD vigente, a aplicação das multas do art. 52 só começa no dia 1º de agosto 2021, conforme alteração da Lei 14.010/20. Mas mesmo que pareça distante, é fundamental seguir as adequações necessárias em relação ao armazenamento dos dados e, principalmente, estar em dia para atender às solicitações dos titulares. Isso porque a lei permite que sejam feitas reclamações também pelos órgãos defesa consumidor, conforme o artigo 18, § 8.
Assim, muito antes de haver uma definição dos integrantes da Autoridade Nacional de Proteção de Dados (ANPD), designada para orientar, promover e fiscalizar o cumprimento da LGPD, é grande a chance de haver casos envolvendo o tratamento dos dados pessoais em Procons, Juizados Especiais, além da fiscalização do Ministério Público. Nada mais é do ficar em conformidade com a Lei que visa pela proteção do indivíduo num contexto de sociedade mais tecnológica.
Exige um planejamento direcionado e orientado por profissionais que entendem como funcionam as questões técnicas e jurídicas envolvidas. Inclui ações como o inventário dos dados pessoais e do mapeamento do seu fluxo de vida dentro da instituição, o percurso que ele realiza desde a entrada até a saída. É uma verdadeira jornada de modificações em prol de proteção e privacidade no tratamento dos dados pessoais, em mudanças que interferem em diversas áreas das empresas, desde a gestão até a rotina dos colaboradores.
Veja os sete passos de como iniciar as adequações necessárias:
- Disponibilizar a Política de Privacidade e Proteção de Dados atualizada nos canais digitais da organização;
- Rever contratos de trabalho, com terceirizados, procedimentos de back-up e de descarte seguro;
- Atualizar a tabela de temporalidade, implementação de soluções técnicas para aumento do nível de controle e segurança da informação;
- Indicar (nomear) o Encarregado (DPO) e divulgar publicamente o contato (art. 41, § 1º);
- Atualizar a Política do RH (para cumprir princípio da transparência e ciência e informar sobre compartilhamento);
- Iniciar gestão de consentimentos (ideal com uso de uma ferramenta) e iniciar atendimento de requisição de titulares (atender os direitos previstos artigo 18);
- Estar preparado para respostas a incidentes (cumprir dever de report do art. 48).
O maior desafio das empresas é entender o diagnóstico atual, com um panorama real e consistente de Gap Analysis para focar na priorização da execução do Plano de Ação. Com isso, é possível saber quais as medidas mais urgentes que precisam ser realizadas o quanto antes. Esta é uma Lei de partida e não de chegada, vai precisar haver manutenção da conformidade sempre. É investir em inovação, com os novos projetos dentro do princípio do privacy by design.
São dispositivos para facilitar a atração de investimentos e contribuir com o crescimento econômico do país e as empresas que souberem tomar proveito da conformidade à LGPD podem se diferenciar do ponto de vista reputacional junto aos usuários e isso se tornar inclusive uma vantagem competitiva.
Vale lembrar que uma premissa essencial para conformidade à proteção de dados é ter regras de fácil compreensão. E o princípio fundamental a ser aplicado é o da transparência. Essas lições serão aprendidas pelas empresas na sua jornada de aprendizado conforme precisam se adequar às regulamentações (seja o GDPR, a LGPD, o CCPA, ou outros que venham a surgir).
Não adianta apenas atualizar a política e os termos de uso, a linguagem precisa ser acessível, conforme os artigos 8 e 9 da Lei 14.058/20. As regras precisam estar ao alcance de todos, para ajudar na sua aderência e cumprimento.
Mas a regulamentação ainda pode mudar, por isso, importante continuar acompanhando o tema, e vamos continuar a aguardar a ANPD visto que há artigos ainda a serem regulamentados pela autoridade, são eles:
O que falta regulamentar na LGPD: |
art 4, III (segurança pública) por lei art 12, § 3º (anonimização) art. 18, IV (portabilidade)) art 19, § 4º (prazo direito titulares) art 20, § 2º (auditoria de algoritmos) art 26, V, § 2º (comunicar contrato e convênio ) art 27 (comunicação de compartilhamento dados Adm. Pública e ente Privado) arts 29 e 32 (requisição de relatório impacto) art 30 (normas complementares para comunicação e uso compartilhado dados pessoais) art 31 (penalidades administrativas aplicadas a órgão públicos) arts 33, 34, 35 e 36 (transferência internacional) art 40 (padrões de interoperabilidade) art 41, § 1º (atribuições do encarregado DPO) art 48 (dever de report) art 50 (protocolo guia de conduta) art. 55, j, VIII (critérios específicos para pequenas empresas) art 61 (extraterritorialidade) art 62 (acesso dados sistema educação) art 63 (tratamento base legada) |