A tropicalização da LGPD e a estrada menos percorrida

A nova legislação da LGPD (Lei nº 13.709/18) se refere ao tratamento de dados (de meios digitais, por pessoa natural ou jurídica, de Direito público ou privado) e visa à proteção dos direitos fundamentais do indivíduo, bem como o livre desenvolvimento da personalidade da pessoa natural. Com efeito, a lei estabelece medidas a serem adotadas em toda operação que envolva o tratamento de dados pessoais da pessoa física.

Assim, o objetivo é evidenciar os riscos e os ajustes que deverão ser adotados pelas empresas para que possa aprimorar o controle e o tratamento dos dados que estão sob sua responsabilidade. Em seguida, os mitigadores poderão ser implementados pelas empresas para que a busca da conformidade aos parâmetros estabelecidos pela LGPD reduza o risco das penalidades cabíveis.

"Vivemos na era da incerteza" [1] e a LGPD pretende mudar muita coisa da cultura brasileira no que se refere ao respeito à privacidade e aos dados de um cidadão. Sancionada em 2018 pelo ex-presidente Michel Temer, a LGPD tem penalidades/sanções que somente entrarão em vigor em agosto de 2021. Essa legislação possui como cerne a garantia dos dados pessoais e o maior controle sobre eles. A lei cria regras claras a respeito do processo de coleta, compartilhamento e armazenamento dessas informações, ajudando, inclusive, a promoção do desenvolvimento tecnológico na sociedade e na defesa do consumidor.

Vale a pena consignar que a LGPD é aplicável a todos os setores da economia, devendo se adequar a ela toda empresa que tiver "negócios" no Brasil, em razão de sua aplicação extraterritorial. Outrossim, diversos pontos importantes foram trazidos pela lei, quais sejam: a necessidade do consentimento do usuário para coletar informações pessoais; a possibilidade de retificação dos dados dos titulares; a possibilidade de cancelamento e de exclusão dos dados; a exigência de notificação obrigatória de qualquer incidente; e a criação da Autoridade Nacional de Proteção aos Dados (ANPD).

Destarte, a nova lei assegura também severas sanções para quem descumprir suas regulamentações, cabendo, conforme o caso, advertências ou multas (simples ou diárias) que podem variar de 2% do faturamento bruto até R$ 50 milhões por infração cometida.

Dessa forma, parafraseando a poesia criada por Robert Frost [2] sobre a estrada menos percorrida, existem dois caminhos para a sociedade brasileira no que se refere ao tratamento de dados perante a nova LGPD: o caminho comumente trilhado (tentar a sorte e não fazer nada), que poderá trazer amargas penalidades, ou uma via mais árdua (e ainda pouco trilhada), que poderá trazer segurança, eficiência e menos problemas com os entes fiscalizadores.

Importa salientar que a ANPD será responsável pela fiscalização do uso, edição de normas e procedimentos, interpretação da legislação e poderá, inclusive, solicitar relatórios de impacto às pessoas (físicas e jurídicas) responsáveis pela proteção dos dados e a manutenção do registro das operações realizadas com os mesmos.

Nesse sentido, a pessoa física e jurídica, privada ou pública, que operar dados pessoais deverá atender aos mecanismos de segurança instituídos por essa lei, com a formulação de regras de boa prática e governança, visando a garantir a proteção das informações relacionadas à pessoa natural.

Outro ponto inovador dessa lei é que o responsável pelo vazamento de dados, obrigatoriamente, deverá noticiar o fato à sociedade e à autoridade nacional, publicando sua ocorrência e o potencial dano relevante.

Nesse contexto, a ferramenta DPO One veio de Portugal e se tropicalizou no Brasil para funcionar como um relevante aliado nessa nova obrigatoriedade legal. Oriunda da aplicação da General Data Protection Regulation (GPDR) na Europa, a DPO One chegou ao Brasil para auxiliar as empresas com o diagnóstico célere, efetivo e adequado para a LGPD nacional.

Por fim, é válido esclarecer, contudo, que apenas uma pequena parcela das instituições brasileiras iniciou o processo de adequação ao novo cenário jurídico. Assim, é recomendável que as empresas se atentem para a seriedade que devem dar à LGPD, a complexidade que as adequações provavelmente exigirão das organizações e a proximidade das severas penalidades que serão aplicadas em 2021.