28/01/2020 - 13:55
A Lei Geral de Proteção de Dados (LGPD) entrará em vigor em agosto de 2020. Contudo, grande parte das empresas brasileiras ainda não adaptou suas operações, tendo sido proposto um projeto de lei para prorrogar a data de entrada em vigor da LGPD. De qualquer forma, persiste a dúvida: quais medidas concretas posso adotar neste momento?
O primeiro passo é compreender que os dados pessoais são uma extensão da pessoa humana. Inicialmente, a garantia dos direitos do titular era realizada de forma não autônoma nos tribunais, normalmente, por meio do exercício de direitos constitucionais ou como proteção ao consumidor.
Após a entrada em vigor do Regulamento Geral de Proteção de Dados da União Europeia (2018), ficou evidente a necessidade de adoção de uma lei brasileira para garantir a entrada do mercado nacional no capitalismo informacional. Principalmente porque o regulamento europeu autoriza o compartilhamento internacional de dados pessoais apenas com país com nível de segurança adequado.
Inspirada no regulamento europeu, a LGPD buscou garantir os direitos do titular de dados e simplificar o ambiente regulatório para as empresas. Considerando que o tratamento de dados costuma sofrer forte influência dos avanços tecnológicos, a LGPD é marcada por normas que dependem de regulamentação posterior.
À Autoridade Nacional de Proteção de Dados (ANPD) caberá regular matérias específicas, como por exemplo, qual procedimento adotar para elaboração do relatório de risco, como tornar os dados anônimos ou como obter o consentimento para uso.
Portanto, até que a ANPD exerça suas funções, conforme entendimento do Tribunal de Justiça do Distrito Federal (TJDF), o cumprimento de algumas obrigações da LGPD não poderá ser exigido. Contudo, nem todas as normas da LGPD dependem de regulamentação e, ainda que não seja o esperado, a ANPD poderá fiscalizar as empresas tão logo inicie suas atividades.
Nesse sentido, destacam-se as obrigações das empresas de garantir que o titular tenha acesso aos seus dados, de fornecer informações sobre entidades com as quais compartilhou os dados, bem como informações sobre a possibilidade de não fornecer consentimento e as consequências. Também caberá à empresa confirmar a existência de tratamento de dados e informar os dados do encarregado pelo tratamento.
A partir da entrada em vigor da LGPD, essas obrigações menos complexas já serão exigíveis. Assim, buscando garantir um mínimo de adequação, já é possível realizar o mapeamento do fluxo de dados, atualizar políticas de privacidade, promover treinamento interno e reforçar a proteção dos sistemas utilizados contra vazamento de dados.
Pequenas mudanças podem ser essenciais para evitar dores de cabeça. Especialmente quando se leva em conta que, em Londres, uma farmácia foi multada em 275 mil libras por não trancar os containers em que armazenava os documentos de clientes ou que, em Berlim, uma imobiliária foi multada em 14,5 milhões de euros por manter um sistema de armazenamento de dados que não permitia a remoção de dados desnecessários para a prestação de serviços.
Milena Maltese Zuffo é advogada e mestranda em Direito Internacional pela Universidade de São Paulo