LGPD – VOCÊ ESTÁ PREPARADO(A)?
Em Artigos
*Dra. Kátia Schenato Valandro
Você já deve ter ouvido falar na LGPD – lei geral de proteção de dados!
A Lei 13.709, de 14 de agosto de 2018, trata da proteção de dados pessoais.
Inicialmente a norma tinha previsão para entrar em vigor 18 (dezoito) meses após a sua publicação.
Contudo, ainda no ano de 2018, este prazo foi alterado por meio de medida provisória, para 24 (vinte e quatro) meses, ou seja, a expectativa era de que a norma em comento entrasse em vigor em agosto deste ano (2020).
Entretanto, em razão da pandemia, novas modificações quanto à sua vigência ocorreram.
Assim, as sanções administrativas, previstas nos artigos 52, 53 e 54 da Lei, entrarão em vigor em 1º de agosto de 2021.
Quanto aos demais artigos, ou seja, àqueles que preveem o dever de autodeterminação informativa do titular de dados e demais obrigações impostas às pessoas, físicas ou jurídicas, que tratam estes, a data ainda não está definida.
Explica-se.
Em vigor até final deste mês (agosto), a Medida Provisória nº 959 alterou a data de entrada da Lei (com exceção dos artigos já citados) para o dia 03 de maio de 2021.
Ocorre que, para valer, a medida provisória precisa ser convertida em lei.
E, conforme você acompanhou em nossas redes sociais na semana passada, parecer preliminar do deputado Damião Feliciano (PDT/PB) sobre a MP 959 votou pela supressão do dispositivo sobre o adiamento da Lei Geral de Proteção de Dados; o que significa que a lei entrará em vigor em agosto de 2020, ao que tudo indica.
Mas, e aí?
Você sabe do que trata a lei? E, mais ainda, você está preparado para ela?
O artigo não pretende esgotar o tema (tarefa inviável em tão poucas linhas). Busca, isso sim, chamar a atenção para todo aquele que trata dados pessoais de terceiro e a importância de se adequar a Lei.
De cara, chamamos a atenção que um projeto de adequação da lei leva em torno de 6 (seis) a 24 (vinte e quatro) meses (!) dependendo do tamanho de sua empresa.
Então, dois cenários: se a lei entrar em vigor em agosto deste ano, você é fortemente sugerido a iniciar o processo de adequação agora; se a lei entrar em vigor em maio de 2021, você terá o prazo adequado para o processo de implantação, se iniciar logo.
A Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa física ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, entre outros.
Mas o que é esse tão falado tratamento de dados?
Pela lei, tratamento de dados é toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Já dado pessoal é toda informação relacionada à pessoa natural identificada ou identificável.
Ou seja, a empresa (ou pessoa física) que coleta dados de seus funcionários está tratando dados pessoais e precisa se adequar a lei; a clínica médica ou de exames clínicos e de imagem (ou médico pessoa física) que possui dados de seus pacientes/ usuários tem o dever de adequação à nova lei; o escritório de contabilidade que processa a folha de pagamento das empresas que atende, tem a obrigação de se adequar a nova lei.
Estes são alguns dos tantos exemplos que poderiam ser mencionados nesse artigo, quanto à necessidade de se implementar um programa de adequação a LGPD.
Durante o processo de implementação, que se constitui de algumas etapas, se verá, inicialmente, qual é a fotografia atual da empresa ou pessoa física, através de questionários e entrevistas. Após, se fará o mapeamento de dados (‘data maping’), onde se verá que dados são coletados e de que forma são armazenados. Posteriormente, se analisará e se categorizará o tratamento dentro das bases legais que a norma permite. Feito isso, o próximo passo possui como objeto os ‘gaps’ ou lacunas, onde serão ratificados instrumentos jurídicos já existentes ou, caso inexistentes, serão coletados os termos de consentimentos necessários, feitos os aditivos aos contratos de prestação de serviços e aos contratos de trabalho, confeccionados os termos de uso e de política de privacidade, entre outros, cuja necessidade será verificada a caso a caso.
Posteriormente, é realizado o fechamento do trabalho, que não se encerra, tendo em vista que, sempre que for coletado novo dado ou realizada nova forma de tratamento de dados, o data maping e os instrumentos jurídicos precisarão ser revistos.
Tal processo permitirá à empresa ou pessoa física responder de forma imediata aos questionamentos dos titulares de dados, uma vez que a lei dá a estes direito de saber que dados seus estão sendo coletados, para que são utilizados, bem como com quem são compartilhados.
Todas essas informações devem estar acessíveis ao titular de forma clara, rápida e objetiva.
Dessa forma, tendo em vista a complexidade do programa de implementação da LGPD, sugere-se que as partes atingidas pela legislação procurem profissional de sua confiança para auxilia-las nesse processo, esclarecendo dúvidas e solucionando eventuais discussões e problemas.
*Advogada. Especialista em Direito Previdenciário e em Direito dos Negócios. Sócia da Bianchi Advocacia.