LGPD produzindo efeitos !
Por que se adequar?
23/09/2020
A LGPD - Lei Geral de Proteção de Dados finalmente começou a produzir efeitos no dia 18 de setembro de 2020 (confusão legislativa sobre a qual tratei no artigo "Afinal a LGPD está valendo?") e apesar das sanções administrativas previstas nos artigos 52 e seguintes só valerem a partir de agosto de 2021, existem razões e risco de sobra para garantir a adequação imediatamente.
Como já antecipei no parágrafo anterior, as temidas sanções administrativas previstas na LGPD em seu art.52, continuam com a eficácia suspensa até 01 de agosto de 2021, por disposição contida na Lei 14.010/2020, artigo 20, que alterou o art.65 da LGPD.
Em que pese neste momento não contarmos com a ANPD - Autoridade Nacional de Proteção de Dados e nem as sanções administrativas, todos os demais dispositivos da LGPD já estão produzindo efeitos e a não adequação já traz consequências importantes.
A primeira questão que se coloca é o controle da não conformidade, que nesse momento inicial será realizado pelo judiciário. A grande divulgação do tema pela mídia nos últimos dias e a necessidade de se discutir publicamente vários aspectos da lei, são o fertilizante que faz crescer a conscientização das pessoas sobre importância dos seus dados pessoais e a necessidade de se protegê-los.
Pela primeira vez as pessoas compreendem sua condição de "titular de dados" e percebem que há uma lei que define com clareza os direitos que lhes assistem.
Temos, portanto, um cenário propício à diversos questionamentos judiciais ou administrativos, que sem dúvida trarão para as empresas grandes desafios. A falta de atendimento à solicitação do titular de dados, ou a falta de um plano de resposta e incidentes em caso de violação de privacidade poderão resultar em graves danos à imagem ou à continuidade da atividade empresarial, independentemente da aplicação de multas, administrativas ou judiciais.
De outro lado, há uma exigência global de mercado para que empresas se adequem.
Esta exigência não nova e já constava do art.25º da Diretiva 95/46/CE, que deu origem à GDPR - General Data Protection Regulation, vejamos:
Diretiva 95/46/CE
CAPÍTULO IV
Transferência de Dados Pessoais para Países Terceiros
Art.25º
Princípios
1. Os Estados-membros estabelecerão que a transferência para um país terceiro de dados pessoais objeto de tratamento, ou que se destinem a ser objeto de tratamento após a sua transferência, só pode realizar-se se, sob reserva da observância das disposições nacionais adaptadas nos termos das outras disposições da presente diretiva, o país terceiro em questão assegurar um nível de proteção adequado.
A GDPR por sua vez reproduz o disposto no antigo artigo 25 em seu artigo 44 :
Art.44
Princípio Geral para Transferências
Qualquer transferência de dados pessoais em tratamento ou destinados a tratamento após transferência para um país terceiro ou para uma organização internacional só terá lugar se, sob reserva das outras disposições do presente regulamento, forem cumpridas as condições estabelecidas no presente capítulo pelo controlador e processador, incluindo para transferências subsequentes de dados pessoais do país terceiro ou de uma organização internacional para outro país terceiro ou para outra organização internacional. Todas as disposições do presente capítulo devem ser aplicadas para assegurar que o nível de proteção das pessoas singulares garantido pelo presente regulamento não seja prejudicado.
Há um mapa de adequação produzido pela DLA Piper (https://www.dlapiperdataprotection.com/), que dá uma visão geral do grau de adequação pelo mundo.
Nossa LGPD também dispõe de forma semelhante sobre a questão, no artigo 33 :
CAPÍTULO V
DA TRANSFERÊNCIA INTERNACIONAL DE DADOS
Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
Diversos são os relatos de empresas dos mais diversos ramos de atuação, as quais foram interpeladas por parceiros comerciais brasileiros e estrangeiros sobre a sua adequação, exigindo-lhes demonstração de conformidade para manutenção dos contratos existentes e para novas contratações.
Vê-se que a conformidade não deriva apenas da nossa LGPD ou em razão procedimentos fiscalizatórios e de sanções que em futuro próximo virão a ocorrer, mas também, e principalmente pela exigência do mercado de práticas cada vez mais alinhadas à boa fé, ao respeito e proteção para com o titular de dados.
O conceito de governança corporativa foi atualizado e seus requisitos passam agora a exigir medidas também no campo da segurança da informação. Se a informação é a mais nova comoditie de nossa sociedade informacional, a transparência é o mais importante certificado de qualidade que se pode apresentar.
É necessário avaliar o negócio, criar a conscientização da equipe, identificar os pontos de ajuste, criar políticas e regras claras para os procedimentos inerentes à atividade empresarial e estabelecer, de forma inquestionável, o comprometimento com os valores que definem esse novo momento da sociedade.
A implementação de um programa de conformidade por equipe multidisciplinar, que reúna advogados especializados e equipe de TI, é essencial para garantir uma posição segura no mercado e estar preparado para as demandas que surgirão.
Por vezes observamos que após implementado o programa a empresa passa a dispor de um instrumento fundamental à tomada de decisões, qual seja, as informações que trata/possui, mas agora estruturadas, organizadas, de forma que proporcionam maior conhecimento da operação.
Por fim, é preciso compreender que a adequação não é um custo. É um investimento que cria oportunidades de negócio, seja por colocar a empresa em destaque em um cenário em que poucos (ao menos no Brasil) ainda a possuem; seja por viabilizar a atividade da empresa com mais segurança, evitando os riscos e sanções decorrentes da aplicação da lei ou ainda; por viabilizar novos negócios ou a reestruturação do próprio negócio, o que acaba sendo possível após se conhecer todos os dados tratados.
A AWD Advogados Associados possui uma equipe de advogados e parceiros da área de tecnologia para implementação de programas de conformidade com a LGPD e GDPR, elaborando Sistemas de Gestão de Proteção de Dados para pequenas, médias e grandes empresas, bem como para profissionais da área médica.
Nossa equipe é composta por advogados e profissionais de TI com certificação em:
LGPD - Lei Geral de Proteção de Dados;
Opice Blum Academy
GDPR - General Data Protection Regulation do EEE (Espaço Econômico Europeu);
Exin Privacy & Data Protection Practitioner
Exin Privacy & Data Protection Foundation
ISO 27.001 (Sistema de Gestão da Segurança da Informação)
Exin Information Security Management Foundation ISO/IEC 270001
Autor :
Walter B. Duque - Advogado, sócio na AWD (www.awdconsultoria.com.br), com formação multidisciplicar pela EMERJ - Escola da Magistartura do Estado do Rio de Janeiro, especialista em direito digital, com certificação pela Opice Blum Academy em LGPD, Exin Privacy & Data Protection Practitioner, Exin Privacy & Data Protection Foundation, Exin Information Security Management Foundation ISO/IEC 270001 pela AdaptNow.
linkedin.com/in/walter-duque-010061b7