Restam pouco mais de seis meses para início das sanções administrativas pela ANPD
Toda pessoa jurídica de direito público ou direito privado que colete, trate e use informações de pessoas físicas, deverá atender à Lei Geral de Proteção de Dados Pessoais, cuja vigência se iniciou em 18 de setembro de 2020. Faltam, portanto, cerca de seis meses para que as empresas privadas e os órgãos da administração pública em todos os níveis (federal, estadual, distrital e municipal) elaborem o planejamento e executem as tarefas e atividades necessárias para que estejam em compliance com a LGPDP antes que as sanções administrativas passem a aplicadas.
Esse é o âmbito de aplicação da lei em termos de instituições envolvidas. É, entretanto, essencial indicarmos a abrangência sobre quais dados são abordados pela LGPDP.
Preliminarmente, porém, destaca-se que a lei tem como seus principais objetivos, além do desenvolvimento econômico e tecnológico (empresas com sede em países que possuam leis semelhantes ou que garantam a proteção de dados pessoais estarão praticamente impedidas de realizar negócios com empresas de países que não possuam esse tipo de lei), o respeito aos direitos fundamentais das pessoas, protegendo a privacidade, a intimidade e a liberdade de expressão.
O conhecimento sobre a lei e seus efeitos é, ainda, pouco no Brasil, principalmente junto às empresas de pequeno e médio porte, independentemente de se localizarem em áreas metropolitanas ou cidades do interior. Há pesquisas que indicam que apenas cerca de 30% das empresas brasileiras se prepararam para o cumprimento da lei e, repete-se, estão em compliance com ela. E a adequação à LGPDP não é tarefa difícil ou que traga custos elevados para as empresas, até porque, deixando de se adequar, a empresa pode sofrer sanções de valores vultosos ou, no extremo, ser obrigada a fechar as portas.
Então, vamos à abrangência do que a lei considera dados pessoais (informação relacionada a pessoa natural/física identificada ou identificável, como nome, CPF, RG, endereço, telefone, sexo, etc.); dados pessoais sensíveis (origem racial ou étnica, convicção religiosa, opinião política, filiação a organizações religiosas, filosóficas ou políticas, imagem, biometria, IP de computador, informações sobre saúde, vida sexual, dado genético, entre tantos outros). Os dados referentes a crianças e adolescentes exigem atenção redobrada: devem ser de fácil entendimento e compreensão pelo titular e só podem ser autorizadas para coleta e tratamento por pelo menos um dos pais ou por responsável legal.
Para se adequar à lei, a empresa deve fazer um planejamento que inclui a designação de um Encarregado (DPO), implante boas práticas de governança, defina os dados de que estritamente necessite, integre os novos processos aos processos já existentes, identifique o fluxo interno dos dados (acessos), realize treinamento de seus colaboradores, entre outras ações.
Como última informação, as instituições que integrarão o Conselho Nacional de Proteção de Dados já começaram a designar seus representantes, cujo exemplo é Senado Federal e a Câmara Federal. A Autoridade Nacional de Proteção de Dados já teve sua diretoria constituída e vários cargos preenchidos, e como entidade responsável pela fiscalização do cumprimento da LGPD, normatizar procedimentos, relatórios, emitir resoluções, decidir sobre interpretação da lei (especialmente casos omissos), além de aplicar as sanções previstas na Lei Geral de Proteção de Dados, está em condições de cumprir as tarefas para as quais foi constituída.
Prof. MSc. Cláudio Luiz de Carvalho
