A partir de 1 de agosto de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar as sanções administrativas previstas na LGPD
Por Mônica Villani
A LGPD (Lei Geral de Proteção de Dados Pessoais), que tem como objetivo proteger a liberdade e a privacidade de todos os indivíduos e teve sua vigência iniciada de forma granulada desde dezembro de 2018, terá seus últimos dispositivos (até então vacantes) plenamente em vigor a partir de 01 de agosto de 2021 – quando a Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar as sanções administrativas previstas na lei.
As sanções administrativas previstas na LGPD abrangem desde a advertência às organizações até a efetiva eliminação dos dados sob tratamento, sendo impossível deixar de mencionar a aplicação de multa de até 2% do faturamento da empresa (limitada a R$ 50 milhões). É importante destacar que as empresas, desde setembro de 2020, já estão sujeitas às fiscalizações dos Ministérios Públicos e dos Órgãos de Defesa do Consumidor, bem como às demandas individuais, coletivas e difusas em benefício dos titulares dos dados pessoais, inclusive judicialmente.
A LGPD determina que as empresas e órgãos públicos mudem a forma de coletar, armazenar e usar os dados das pessoas, ou seja, tem um impacto transversal e multidisciplinar na rotina das empresas, afetando não somente as áreas jurídicas, administrativas e de segurança da informação, mas também as áreas comerciais e de relacionamento com clientes, fornecedores e parceiros das organizações.
Não há dúvidas de que a LGPD trará muitos benefícios tanto aos indivíduos como ao mercado, ao propor uma nova cultura de privacidade e proteção de dados pessoais. Todas essas mudanças fazem com que a LGPD agregue valor às empresas que demonstrarem respeito à privacidade e à proteção dos dados dos indivíduos, tornando-se um diferencial competitivo no mercado.
Como começar a se adequar? Por onde começar?
Para aqueles que sequer iniciaram seus processos de conformidade, primeiramente, deve-se assumir e aceitar a situação de risco que se encontra por não ter dado início à implementação das medidas de conformidade à LGPD durante seu período de vacância (a lei foi publicada em meados de 2018).
Segundo, é importante ter consciência de que não há soluções únicas, rápidas e mágicas que garantirão o cumprimento da lei (muito menos em horas ou dias). Apesar de estarmos falando de cumprimento de uma legislação, a LGPD exige um olhar holístico das organizações, que envolve desde atividades puramente jurídicas até questões relacionadas à segurança da informação e aos processos organizacionais adotados.
Ao adotar recursos milagrosos, o compliance será aparente e não efetivo. Além de possivelmente ter de arcar com sanções, penalidades e indenizações, a empresa ainda terá o ônus de custear futuramente pela implementação de medidas verdadeiramente eficazes – o famoso “quem paga mal, paga duas vezes” (ou até mais, nesse caso).
Em decorrência do parágrafo anterior, o terceiro passo é aceitar que a mudança de cultura é fundamental para estar em conformidade com a LGPD e buscar adaptar toda a organização as novas regras – um dos caminhos é disponibilizar treinamentos de conscientização.
Como passos seguintes, sugere-se disponibilizar um canal de atendimento aos titulares dos dados pessoais e buscar medidas contingenciais para evitar a violação dos direitos desses titulares – tanto para as empresas com forte presença digital como para àquelas que possuem forte estratégia comercial através de outros canais.
A nomeação do encarregado de dados (também conhecido no mercado como “DPO”) pode não parecer urgente (por conta da ausência momentânea da ANPD) mas é importante em função do seu papel de atuar como canal de comunicação entre o controlador e os titulares dos dados (e, futuramente, com a própria ANPD), assim como de disseminação das práticas a serem tomadas em relação à proteção de dados pessoais.
Enquanto essas medidas iniciais são tomadas, as organizações deverão imediatamente dar início aos seus planos de adequação à LGPD, sendo altamente recomendável a busca de profissionais qualificados e preparados para atuar na área. Um processo de conformidade envolve desde a auditoria dos fluxos de tratamento de dados da empresa até a organização do programa de governança de dados e a conscientização dos funcionários e demais envolvidos.
Mônica Villani (www.monicavillani.adv.br) é advogada e sócia do escritório Mônica Villani Advogados, com atuação especializada em direito empresarial e das startups, compliance de proteção de dados, com certificações internacionais EXIN PDPE®, PDPF® e ISFS®.
Membro da Comissão de Direito Digital e Compliance da OAB de São Bernardo do Campo/SP.
Assistente do LAB de Inovação da Faculdade de Direito de São Bernardo do Campo.
Instrutora da Privacy Academy.