A Lei Geral de Proteção de Dados (LGPD) entrou em vigor hoje. E o que isso tem a ver com você?

Por mais que a LGPD ainda seja novidade para a grande maioria da população, o assunto, não é tão recente assim, já que a consulta ao Ministério da Justiça ocorreu em 2010. Então, lá se vão cerca de 10 anos! A LGPD entrou em vigor, e agora?

De lá para cá, muitos instrumentos tentaram roubar a cena, sendo os mais relevantes, citados aqui:

1. Projeto de Lei nº 4.060, de 13.06.2012;
2. Projeto de Lei de Conversão nº 53, de 14.08.2018;
3. Lei nº 13.709 (LGPD), de 14.08.2018;
4. Medida Provisória nº 869, de 28.12.2018;
5. Projeto de Emenda Constitucional nº 17, de 03.07.2018;
6. Lei nº 13.853, de 08.07.2019;
7. Projeto de Lei nº 1.179, de 13.04.2020;
8. Medida Provisória nº 959, de 29.04.2020;
9. Lei nº 14.010, de 10.06.2020;
10. Projeto de Lei de Conversão nº 34, de 26.08.2020;
11. Decreto nº 10.474, de 26.08.2020;
12. Lei nº 14.058, de 18.09.2020.

Em meio a todos eles, hoje foi um divisor de águas para o país, já que a LGPD entrou em vigor (18.09.20), após o presidente Jair Bolsonaro sancionar o Projeto de Lei de Conversão nº 34/2020, originado na Medida Provisória (MPV) nº 959/2020.

E, o que isso tem a ver com você?

Se você for pessoa jurídica de direito público ou privado, e seus processos lidam com dados pessoais ou dados pessoais sensíveis, sejam de seus funcionários, terceirizados ou clientes, saiba que a LGPD busca proteger os direitos fundamentais de liberdade e de privacidade, além do livre desenvolvimento da personalidade dessas pessoas. Sendo assim, esta lei prevê hipóteses que lhe permitem tratar esses dados. Caso tenha dados de crianças e/ou adolescentes, os tratamentos destes dados só poderão ocorrer mediante ao consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

Cabe ressaltar que os dados passam a ter um ciclo de vida, e não devem ser tratados por tempo indeterminado. Esse tempo varia diretamente com o contexto da organização em questão, e outras leis devem ser consideradas, a fim do cumprimento de obrigações legais.

Apesar da Lei nº 14.010/2020 ter postergado as sanções previstas pela Autoridade Nacional de Proteção de Dados (ANPD), criada pela Lei nº 13.853, de 08.07.2019, não significa que a sua organização não possa ser processada por titulares de dados pessoais, na esfera comum, a partir de hoje.

Algumas empresas acreditam que como a ANPD ainda não está constituída, e como suas sanções só poderão ocorrer a partir de 01.08.2021, mesmo com a LGPD em vigor, elas não tem com o que se preocupar. E, é aí que se enganam. Antes da preocupação efetiva com a ANPD, as organizações precisam pensar em como elas se organizarão internamente com relação aos seus processos e fluxos que tratam dados pessoais. Pois, com a entrada em vigor da LGPD, qualquer titular de dado pessoal lesado, ou que se sinta lesado, poderá mover ação na esfera da justiça comum. Principalmente se os contatos dessas organizações com os titulares tiverem relações de consumo. Neste caso, elas estarão sujeitas às sanções de outros órgãos como: PROCON, SENACON, ligado ao Ministério da Justiça (MJ), ou o próprio Ministério Público (MP).

Um indicativo do que espera as organizações pode ser constatado em rápida busca pelo termo LGPD, no site ReclameAQUI, há pouco, que retornou mais de 85 páginas de reclamações recentes, com base na referida Lei.

A LGPD fala de Segurança e do Sigilo de Dados, além das Boas Práticas e da Governança. Sendo assim, os desafios das organizações são imensos! Contudo, uma ação imediata pode ser a capacitação de seus colaboradores. Já que, para que uma organização esteja compliant com a LGPD e seus arcabouços jurídico-regulatório e normativo-técnico, podemos traçar um roadmap, que pode ser dividido nas seguintes etapas: capacitação, mapeamento de riscos, adequação e auditoria de conformidade. Convém que estas etapas tomem como base a Lei e seu arcabouço jurídico-regulatório e como fundamentos, as boas práticas internacionais das normas técnicas, com destaque para as seguintes:

• ABNT NBR ISO/IEC 29100:2020 – Estrutura de Privacidade;
• ABNT NBR ISO/IEC 27701:2019 – Extensão das normas NBR ISO/IEC 27001 (Requisitos) e NBR ISO/IEC 27002 (Diretrizes);
• ABNT NBR ISO/IEC 27001:2013 – Sistemas de gestão da segurança da informação — Requisitos; e
• ABNT NBR ISO/IEC 27002:2013 – Código de prática para controles de segurança da informação.

Inúmeras outras normas técnicas podem auxiliar as organizações, e o aprofundamento destas possibilidades é indicado.

Se você for uma pessoa física, saiba que esta lei lhe garante alguns direitos, com destaque para:

1. confirmação da existência de tratamento;
2. acesso aos dados;
3. correção de dados incompletos, inexatos ou desatualizados;
4. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
5. portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
6. eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
7. informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
8. informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
9. revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

Precisando iniciar essa jornada, entre em contato conosco!