A apenas 1 mês das sanções administrativas da Lei Geral de Proteção de Dados (LGPD) entrarem em vigor, grande parte das empresas ainda não se adequaram.
Há alguns meses, o assunto foi debatido em artigo anterior CLIQUE PARA LER, onde foram apresentados os objetivos e os principais pontos da Lei Geral de Proteção de Dados (LGPD). Agora, a apenas 1 (mês) do início da vigência das sanções previstas na referida lei, o presente artigo reforça a necessidade de adequação por parte das empresas e o que Agência Nacional de Proteção de Dados (ANPD) tem feito, desde sua criação (em março de 2021).
A maior preocupação da LGPD é a proteção à privacidade dos dados pessoais em relação ao uso indevido e indiscriminado por parte das empresas, bem como a proteção a ataques cibernéticos, a fim de evitar o vazamento de dados.
É certo que as grandes organizações e as empresas que atuam com mais intensidade no mercado online foram o foco da lei. Contudo, devido ao rigor e a abrangência da legislação, o tratamento de dados pessoais passou a ser obrigação de pessoas físicas e jurídicas, tanto públicas quanto privadas.
Assim sendo, a lei define como responsáveis pelo tratamento dos dados pessoais o controlador e o operador. O primeiro é a pessoa física ou jurídica (de direito público ou privado) que toma as decisões referentes ao tratamento de dados pessoais; e o segundo é a pessoa que realiza o tratamento de dados pessoais em nome do controlador.
Ambos são juridicamente responsáveis pela segurança e pela privacidade dos dados pessoais, bem como por indicar o encarregado, também conhecido por DPO (Data Protection Officer). Este, por sua vez, é o canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), sendo essencial para a devida regularização do tratamento de dados.
O DPO ou encarregado pode ser um funcionário da empresa ou uma pessoa jurídica especializada contratada para atingir as finalidades legais e, segunda a redação da LGPD, trata-se de figura obrigatória para consultoria e auxílio na regulamentação da empresa, bem como na representação da pessoa jurídica perante a ANPD,
Acontece que, a apenas 1 (um) mês da vigência das normas que preveem sanções administrativas da LGPD, tem-se notícias de que aproximadamente 80% das empresas não se regularizaram e, muitas delas, sequer buscaram saber acerca da obrigatoriedade da regularização sobre os dados pessoais de seus clientes, fornecedores e colaboradores.
Diante da real situação, fora proposto o Projeto de Lei nº 500/2021 na Câmara dos Deputados, a fim prorrogar a vigência das multas dispostas na LGPD para janeiro de 2022. A exatos 1 (um) mês da vigência anteriormente prevista na lei, não se pode ao certo precisar se a data será mantida ou mais uma vez postergada. Contudo, a ANPD tem demonstrado conveniente atuação com os órgãos públicos e com os interessados a opinarem ou participarem dos procedimentos de fiscalização da LGPD.
A título de exemplo, a ANPD já abriu Consulta Pública para definição da Norma de Fiscalização; assinou Acordo de Cooperação Técnica com o CADE (Conselho Administrativo de Defesa Econômica) e, recentemente, designou Audiência Pública para o dia 08/07/2021, a fim de debater a norma que regulamentará o mecanismo de fiscalização a ser adotado pela ANPD, a qual já prevê monitoramento, orientação e atuação preventiva – como princípios básicos – antes de iniciar o procedimento repressivo de aplicação de multas.
Acontece que, mesmo diante da tendência de aconselhamento da ANPD, a aplicação das regras dispostas pela LGPD é um grande desafio, principalmente para micro e pequenas empresas que, em regra, nunca tiveram uma cultura organizacional de tratamento de dados pessoais, mas que agora também precisam investir para se adequarem.
Reitera-se que, apesar de aparentar ser algo estritamente tecnológico, voltado para a circulação e o tratamento de dados pessoais na internet, a legislação também dispõe que todos devem observar as regras, sejam os estabelecimentos físicos que tenha arquivos físicos, seja até mesmo a pessoa natural no tratamento dos dados pessoais de uma funcionária doméstica, por exemplo.
Pois bem, nesta etapa final, antes do efetivo início de fiscalização e aplicação de multas, a indicação é buscar o máximo de informações, com profissionais especializados da área Jurídica e de Tecnologia da Informação, e fazer o diagnóstico da empresa, identificar os processos de tratamentos de dados pessoais a serem implantados, bem como adequar a conduta dos sócios e dos colaboradores, revisar contratos, abrir portais de comunicação com os clientes e nomear – se for necessário – profissionais habilitados para promoverem o tratamento, controle e operação dos dados.
Reprise-se, finalmente, que o percurso para acompanhar todas as exigências da LGPD é complexo e demanda tempo. Não se aconselha aguardar ser notificado pela ANPD para depois buscar regularizar-se, haja vista que, se isso acontecer, o prazo será curto e insuficiente para começar do zero.
Reforça-se, finalmente, que as medidas repressivas dispostas na LGPD são gravíssimas e, em caso de descumprimento, a multa pode chegar a R$ 50.000.000,00 (cinquenta milhões de reais), sendo possível também que proibição de realizar o tratamento de dados pessoais ou, ainda, suspender-se temporariamente as atividades da empresa.