Por William Faria
Quando todos esperavam que o acordo costurado na Câmara dos Deputados para adiar a entrada em vigor da LGPD para o dia 31/12/2020 fosse confirmado, o Senado Federal, usando de uma manobra de regimento, fez uma mudança brusca e colocou a entrada em vigor da LGPD para este mês. Independente da sanção ou veto presidencial, o que irá prevalecer é a data original da LGPD que estabelecia a vigência no dia 14 de agosto de 2020.
O que as empresas devem fazer agora?
As companhias precisam se adequar imediatamente, logo que correm o forte risco de exposição a inúmeros processos jurídicos. Embora as sanções da ANPD só possam ocorrer em agosto de 2021, nada impede que outros órgãos o façam, tais como Procon ou Ministério Público Estadual e Federal.
Um titular de dados que entenda que seu direito esteja sendo agredido pode, amparado pelo Código de Defesa do Consumidor, entrar com um processo na esfera cível. O próprio STF já considera em seus julgamentos a existência e realidade da LGPD.
É sabido de todos os embates entre o Executivo e Legislativo e da existência de um acerto entre os parlamentares para que a MP 959/2020 venha a caducar. Com isso, a LGPD entraria em vigor em 14 de Agosto de 2020 e as suas sanções via ANPD (Autoridade Nacional de Proteção de Dados) somente em 1º de agosto de 2021.
Resumidamente, em até 18 de setembro as empresas poderão sofrer uma enxurrada de processos e fiscalizações por não cumprirem com as normas da LGPD, o que, em termos financeiros e de imagem, são muito mais gravosos que as sanções da ANPD que ficarão para agosto de 2021
O que fazer então:
As empresas que não iniciaram seus preparativos devem nomear imediatamente um Encarregado de Proteção de Dados(DPO) para começar o programa de adequação à LGPD. O Encarregado de Proteção de dados deve estar apto para receber e responder todas as solicitações dos titulares de dados e das entidades fiscalizadoras;
Disponibilizar um canal de atendimento às demanda dos titulares de dados, seja por um e-mail , telefone , whatsApp ou página da Web;
Criar, mesmo que de forma manual, procedimentos para atender os direitos dos titulares;
E, por fim, disponibilizar de maneira clara na internet a política de privacidade.
Após essas medidas emergenciais, as companhias têm que iniciar as etapas de implantação de um programa de adequação à LGPD, com foco no término até agosto de 2021, quando começaram a ser aplicadas as sanções da ANPD.
Listei abaixo as principais atividades a serem executadas dentro deste período e que devem começar imediatamente.
- Realização de um assessment para entender quais processos tratam dados pessoais e quais estão mais expostos para eventuais demandas judiciais
2. Mapeamento de dados e inventários para que se possa identificar onde estão as informações pessoais na empresa e como podem, mediante à solicitação do titular de dados, prestarem acessos aos dados e direitos
3. Implantar um portal de direitos dos titulares tais como: confirmação da existência dos dados da pessoa física na instituição; relatório detalhado dos dados da pessoa física na instituição; coleta e gestão das autorizações para uso dos dados (Consentimento); eliminação dos dados identificáveis; não autorização para tratamentos de legítimo interesse; portabilidade completa de dados; atualização dos dados e pedido de revisão das decisões tomadas por processos automatizados
4. Treinamento com os colaboradores
5. Políticas de Privacidade detalhadas
6. Análise de impacto de Privacidade (DPIA)
7. Tratamento de Dados para segurança e privacidade: controles da ISSO 27001; mascaramento; criptografia; monitoramento nonimização; portabilidade; processo de Gestão de Privacidade.
William Faria, DPO (Data Protection Officer) e especialista em segurança da informação da GFT Brasil.