Os desafios da LGPD: da insegurança jurídica à limitação de recursos

A Lei nº 13.709, de 14.8.2018, denominada “Lei Geral de Proteção de Dados” (“LGPD”) determina as regras para operação de tratamento de dados das pessoas físicas ou jurídicas sob os cuidados de entidades públicas ou privadas.

A LGPD foi instituída com o objetivo de garantir a privacidade das informações e inviolabilidade da intimidade e honra do titular e sua dignidade, preservando-se a livre iniciativa, o desenvolvimento econômico e tecnológico e a livre concorrência.

Na prática, significa dizer que a LGPD visa a proteção dos dados pessoais e a preservação dos direitos individuais, bem como impedir que empresas utilizem indevidamente base de dados para ofertar serviços e produtos ou, ainda pior, comercializar base de dados sem a autorização do titular, obrigando-as a possuir formas de proteção de dados para evitar invasões e roubo de dados.

A definição da data de vigência da LGPD ainda aguarda definição pelo Congresso Nacional e pelo Presidente da República, Jair Bolsonaro. Inicialmente, a LGPD entraria em vigor em maio de 2020 e, diante da pandemia do COVID 19 foi adiada para maio de 2021. Contudo, o artigo da Medida Provisória que adiou a data da vigência, não foi aprovado pelo Senado Federal, iniciando-se a vigência a partir de 1º de janeiro de 2021, sendo que eventuais punições somente poderão ser aplicadas a partir de agosto de 2021.

É importante entender que os dados pessoais obtidos somente poderão ser tratados mediante o consentimento do titular e, exclusivamente, para o cumprimento do acordado entre as partes, sendo expressamente vedado a comunicação e/ou compartilhamento de tais dados, sem a expressa concordância específica do titular, ainda que entre empresas do mesmo grupo.

Os titulares dos dados pessoais deverão ter acesso sobre o tratamento de seus dados, bem como poderão revogar o consentimento para tanto.

As empresas que possuírem bases de dados pessoais deverão identificar um encarregado pelo tratamento de dados pessoais, cujos dados deverão ser divulgados publicamente, o qual será responsabilidade por aceitar reclamações e comunicações dos titulares, receber comunicações de autoridades públicas, orientar funcionários e contratados acerca dos procedimentos de proteção de dados, dentre outras responsabilidades.

Além disso, a empresa deverá adotar medidas de proteção e segurança de dados para garantir o sigilo dos dados pessoais em caso de acessos não autorizados, estabelecendo regras de boas práticas e governança para os procedimentos de tratamento de dados, o que certamente implica em custos e na alocação de recursos.

O encarregado será, solidariamente, com a pessoa física ou jurídica responsável pela observância da LGPD e pelos ressarcimentos em caso de infração. As penalidades serão aplicadas de acordo com o caso prático e com o histórico do controlador dos dados pessoais, de multas à suspensão ou proibição do exercício das atividades da empresa.

A regulamentação da LGPD ainda depende da Autoridade Nacional de Proteção de Dados e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, os quais foram criados apenas em 26.8.2020, por meio do Decreto nº 10.474/2020, o qual aprovou a estrutura regimental e o quadro de funcionários da Autoridade Nacional de Proteção de Dados. Trata-se de ato essencial para a implementação plena da LGPD, já que esta delega à ANPD futuras regulamentações, como mecanismos de transferência de proteção de dados, padrões de interoperabilidade para fins de portabilidade, normas complementares sobre as atribuições do encarregado, modulação da aplicação da LGPD a micro e média empresas, entre outros.

Ainda se aguarda a nomeação do Diretor da ANPD.

A ausência de regulamentação é um obstáculo à implementação da LGPD, uma vez que esta não diferencia as pequenas das grandes empresas, tampouco prevê a possibilidade de terceirização dos serviços de tratamento de dados, fato este que prejudica sobremaneira todos aqueles que tem recursos limitados.

É certo que medidas deverão ser adotadas e adequações feitas para se adequar à LGPD, em suma:

– Facilitação do exercício dos direitos pelos titulares;

– Obrigatoriedade de consentimento para o tratamento de informações;

– Nomeação de encarregado de dados;

– Elaboração de relatório de impacto à proteção de dados;

– Obrigação de responder à solicitação de titulares sobre o tratamento e acesso de dados em 15 dias, fornecendo relatório completo das medidas adotadas;

– Criação de novos canais de contato entre titulares e a empresas;

– Dever de informar os titulares em caso de transferência das informações para o exterior.

Isto posto, recomendamos que se aguarde a efetivação da ANPD e a regulamentação da LGPD, antes de se alocar recursos que na atual conjuntura econômica são escassos e devem ser utilizados com parcimônia.