Desde o último dia 18 de setembro está em vigor no Brasil a Lei Geral de Proteção de Dados (LGPD). Aprovada em 2018, a lei regula a coleta, o tratamento, o uso e o armazenamento de dados pessoais no país. A lei passou a vigorar no mês passado com a sanção do presidente Jair Bolsonaro do Projeto de Lei de Conversão nº 34/2020, ainda que com pendências importantes.
Já falamos bastante sobre a LGPD aqui mesmo no blog da Eletronet, contando desde a história da proteção de dados até a forma como nós estamos nos adequando à lei. Agora, com a LGPD em vigor, conversamos com um especialista no assunto, para levar informações de alto nível aos clientes provedores de serviço da Eletronet e nossos parceiros.
O Adriano Mendes é sócio fundador do Assis e Mendes Advogados, escritório especializado em Direito Digital e Proteção de Dados, e nos contou um pouco quais os impactos da lei e o que o provedor pode fazer para se adequar sem traumas, de forma rápida e simples.
Adriano, em primeiro lugar: a lei está mesmo em vigor? O que ainda falta no processo?
A lei já está em vigor sim, depois de um longo imbróglio no Congresso em relação à data de vigência. A LGPD já estava prevista para entrar em vigor em agosto de 2020, mas tentaram adiar esse prazo, que até foi aceito pela Câmara, mas não pelo Senado. Com a sanção do Presidente, ela já passa a ser considerada como válida pela Justiça brasileira desde o dia 18 de setembro.
O que ainda falta é a estruturação de fato da ANPD, a Autoridade Nacional de Proteção de Dados. A criação dessa entidade já foi formalizada em agosto, mas ainda falta a nomeação dos diretores e sua sabatina no Senado. Será a ANPD que irá fiscalizar e aplicar as multas, que já haviam sido prorrogadas para agosto de 2021.
Então quer dizer que sem a ANPD e o prazo das multas prorrogado, o provedor pode ficar tranquilo?
Muito pelo contrário! Com a lei em vigor, já temos visto diversos casos na Justiça utilizando a LGPD como argumento legal para mover ações. E isso inclui desde pessoas físicas – como no caso de um estudante que questionou a proteção de dados da empresa de bilhete único de Pernambuco – até grandes empresas, que têm sido condenadas a pagar indenizações por infringir a LGPD.
Infelizmente, o processo de aprovação e vigência da LGPD foi um tanto tumultuado e desorganizado, e agora, temos uma lei vigente, mas ainda sem uma Autoridade que determine sua aplicação. O resultado pode ser uma judicialização desnecessária de assuntos ligados à Proteção de Dados, uma enxurrada de ações na Justiça contra as empresas.
OK, e o que o provedor de serviço deve fazer então?
No caso específico do mercado de Telecom, é preciso considerar que os provedores costumam lidar com uma base muito maior de dados pessoais, às vezes até maior que as empresas de varejo. E considerando que apenas o processo de assessment – o mapeamento dos dados pessoais dentro de uma empresa – leva em torno de 2 meses, o provedor deve correr!
Além disso, os novos serviços ou produtos que forem prestados já deverão nascer com a preocupação de atender às regras da LGPD e proteção de dados, para atendimento do princípio do privacy by design.
Isso sem contar o processo de adequação jurídica em si, que deve passar pela garantia do atendimento a direitos dos titulares, a revisão de contratos/termos de uso e política de privacidade, negociação de contratos e condições com clientes e fornecedores estratégicos, e a capacitação e a nomeação do DPO, que é o responsável legal pela aplicação da LGPD na empresa.
De qualquer forma, é sempre recomendável o apoio de uma consultoria especializada, que suporte tanto a TI (ou a área de desenvolvimento) quanto o próprio departamento jurídico da empresa.
E como esse suporte é feito? Como um escritório como o seu pode ajudar o provedor?
Podemos ajudar tanto no caso de empresas que não têm um departamento jurídico estruturado, quanto no caso daquelas que o têm, mas que não contam com especialistas em proteção de dados. No primeiro caso, cuidamos de todo o processo, da adequação ao relacionamento com os órgãos de controle. No segundo, prestamos consultoria especializada.
Especificamente sobre o DPO, é possível que o profissional seja alguém da própria empresa ou mesmo alguém de fora, que pode ser contratado como prestador de serviço (algo que provemos também). Esse modelo de “DPO as a service” tem várias vantagens, como o custo mais acessível (se comparado com um profissional de mesma qualificação), a atualização constante e ausência de conflito de interesses com outros cargos. Além disso, a disponibilidade é constante, o DPOaaS não tira férias.
E agora, por onde começar?
Bom, eu recomendo ao provedor que baixe já nosso Checklist LGPD, com um passo a passo detalhado para sua empresa se adequar a LGPD. E para um apoio especializado na adequação, entre com contato direto conosco. Temos ajudado na conformidade de produtos e serviços de empresas de diversos mercados e com certeza poderemos lhe auxiliar também.
