Vigência integral da LGPD: primeiros passos para quem ainda não se adaptou

Parte 1: observações preliminares sobre vigência da LGPD e seus impactos
A Lei Geral de Proteção de Dados Pessoais (LGPD) é o marco legal que regulamenta o uso, a proteção e a transferência de dados pessoais no Brasil. A legislação é essencial porque fixa regras do que se chamou de tratamento de dados pessoais, assim envolvendo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

É natural que a própria LGPD traga uma discussão sobre o uso ético dos dados, não só em sua obtenção, mas também em sua análise e armazenamento.

A grande contribuição da LGPD é a regulamentação do uso de dados dentro de alguns critérios de transparência, finalidade informada, com um exercício de direitos que permita ao titular, em algumas hipóteses, anonimizar ou eliminar suas informações de uma determinada base de dados.

Os dados pessoais somente poderão ser "tratados" respeitando os princípios da: 1) finalidade — realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular; 2) adequação — relação de coerência entre o tratamento e as finalidades informadas ao titular; 3) necessidade — tratamento limitado ao mínimo necessário, dentre outros elementos. Existem mais outros sete princípios de observância necessária, mas que gravitam esses três em destaque.

A lei prevê ainda que o "tratamento" somente possa ocorrer em hipóteses restritas, tais como: 1) cumprimento de obrigação legal ou regulatória do controlador; 2) execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular; 3) para o exercício regular de direitos em processo; 4) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; 5) para atender o legítimo interesse; e 6) através de consentimento do titular. É oportuno observar que os temas do legítimo interesse e do consentimento são, sem sombra de dúvidas, aqueles que mais causam debates aos operadores e que, em razão do escopo limitado no presente texto, serão analisados em outra oportunidade.

Após algumas incertezas e debates acalorados, a LGPD finalmente entrou em vigência integral no último dia 1º. Isso significa que as sanções administrativas previstas pela LGPD finalmente entraram em vigência integral nesse dia, de forma que a Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar as sanções administrativas a partir desta data.

A ANPD foi criada como órgão da Administração Pública federal ligada à presidência da República. Tudo indica que com o passar do tempo a ANPD seja transformada em entidade da administração pública indireta, em regime de autarquia especial. Seu âmbito de atuação está disposto no artigo 55-J, e destaca-se:

1) Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo;

2) Apreciar petições de titular contra controlador;

3) Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais;

4) Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais;

5) Editar normas, que poderão ser setoriais; e

6) Função sancionatória.

Dentro da função fiscalizatória e sancionatória, a LGPD trouxe as sanções administrativas que poderão ser aplicadas pela ANPD, a saber:

1) Advertência, com indicação de prazo para adoção de medidas corretiva;

2) Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração;

3) Multa diária, observado o limite total a que se refere o inciso II;

4) Publicização da infração após devidamente apurada e confirmada a sua ocorrência;

5) Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

6) Eliminação dos dados pessoais a que se refere a infração;

7) Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

8) Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período; e

9) Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Parte 2: primeiras medidas para quem ainda não se adaptou à LGPD
O legislador dispõe sobre o regime jurídico a ser respeitado, mas ao contrário de outros diplomas legais, não dispõe sobre "como" se adequar.

Nesse primeiro momento, convém fazer algumas observações preliminares:

1) Engana-se quem pensa que há um roteiro pronto de implantação: a empresa deverá considerar as particularidades do negócio, do mercado, nível de sofisticação da empresa, atores envolvidos, dentre outros temas;

2) Comece o quanto antes: trata-se de legislação multidisciplinar, com enfoque técnico — na segurança da informação —, jurídico e procedimental — ou, governança;

3) Em razão dos vários aspectos acima mencionados e a depender do negócio da companhia, a sua adaptação poderá não ser tão simples ou ágil como se espera;

4) É possível realizar uma implantação remota, utilizando as ferramentas de comunicação online, útil em momentos como o que estamos vivendo;

5) Busque a implantação através de um time multidisciplinar, que permita uma análise sistêmica da legislação e das práticas procedimentais da companhia. É muito comum que empresas busquem times apenas compostos majoritariamente por analistas de sistemas ou técnicos de informática. Não recomendo a adoção dessa medida.

A prática envolve, como primeiro passo, a criação de um grupo de trabalho multidisciplinar que conheça a particularidade da empresa. É comum a participação do responsável de: 1) recursos humanos; 2) técnico de informática; 3) departamento jurídico; 4) departamento comercial (se o negócio envolve transações com consumidores); 5) departamento financeiro. Esse grupo será responsável pela organização dos demais envolvidos da companhia, multiplicação do conhecimento e treinamentos de equipe.

O próximo passo seria a definição de um cronograma que permita às várias áreas da empresa o planejamento de providências a tomar e um cenário das etapas futuras que deverão ser percorridas.

Ainda na primeira etapa, haveria a necessidade de realizar o mapeamento das políticas — ou procedimentos — relacionados a proteção de dados e informações.

Pondo fim à primeira etapa, surge a necessidade de nomeação do encarregado (ou DPO).