Após dois anos desde a sua promulgação, seguidos de intensos debates legislativos sobre a data de vigência, a Lei Geral de Proteção de Dados (“LGPD”) entrará em vigor nas próximas semanas.
Em sessão deliberativa realizada ontem, o Plenário do Senado Federal considerou prejudicado o art. 4º da Medida Provisória nº 959/2020, que estendia o prazo para entrada em vigor da LGPD. Dessa forma, o entendimento da casa legislativa é de que, por força do art. 62, §12, da Constituição Federal, a LGPD entrará em vigor após sanção ou veto, pelo Presidente da República, dos demais dispositivos do projeto de lei de conversão da Medida Provisória nº 959/2020, o que deve ocorrer em até 15 dias úteis.
Na data de hoje, também foi publicado no Diário Oficial da União o Decreto nº 10.474, de 26.8.2020, que aprova a estrutura regimental e o quadro de cargos e funções da Autoridade Nacional de Proteção de Dados (“ANPD”). De acordo com o seu art. 6º, o Decreto entrará em vigor na data de publicação da nomeação do Diretor-Presidente da ANPD no Diário Oficial da União.
Trata-se de iniciativas claras dos Poderes Legislativo e Executivo de que a implementação e aplicação da LGPD deverá ocorrer muito em breve, não devendo ser mais postergadas a sua entrada em vigor e a estruturação da ANPD.
O que é a LGPD?
A LGPD tem como objetivo principal regulamentar o tratamento de dados pessoais e trazer maior segurança aos direitos fundamentais de liberdade, privacidade e do livre desenvolvimento da personalidade no âmbito digital.
A LGPD estabelece regras detalhadas e específicas sobre como pessoas jurídicas devem coletar, utilizar, processar e armazenar dados pessoais, assim como os fundamentos legais que deverão adotar, sempre em momento anterior ao tratamento, para que estes sejam considerados legais.
Os dados pessoais são, conforme art. 5º, I, da LGPD, todas as informações relacionadas a pessoa natural identificada ou, ainda, identificável.
Histórico
A LGPD surgiu como resultado inevitável de um movimento mundial que exige o mais alto nível de proteção de dados pessoais. A LGPD foi inspirada, em grande parte, pelo regulamento sobre proteção de dados da União Europeia, a General Data Protection Regulation (GDPR). No Brasil, o tema vem se desenvolvendo desde 2018 com a aprovação da LGPD, que, originalmente, previa um período de vacância de 24 meses, o qual foi alterado e, agora, reestabelecido.
Aplicação geral
A LGPD é aplicável a todas operações de tratamento (coleta, uso, arquivamento, etc) realizadas por pessoas jurídicas, independentemente de onde estejam localizados os dados, desde que: (i) o tratamento seja realizado no Brasil; (ii) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços no território nacional; ou (iii) os dados pessoais tenham sido coletados no Brasil.
Qualquer pessoa jurídica encontra-se sujeita à LGPD, incluindo-se empresas, organizações, associações, órgãos públicos ou privados, independentemente do porte, abrangência e setor ou indústria de atuação.
Adequações necessárias
O processo de adequação de uma empresa à LGPD inclui diversas etapas, tanto de preparação, organização e implementação da governança de dados.
São necessários diversos procedimentos para a conclusão de cada etapa, incluindo, entre eles, por exemplo: (i) a realização de um data mapping (identificação de todos os dados e o fluxo destes interna e externamente na corporação); (ii) indicação de medidas práticas necessárias para adequar os tratamentos internos à LGPD; (iii) criação ou adequação de políticas e processos relacionados à privacidade e proteção de dados; (iv) realização de treinamentos sobre o tema; (v) elaboração e revisão de contratos; e (v) implementação de um programa de governança de dados.
Para tanto, é necessário que todos as áreas e departamentos da companhia estejam envolvidos, incluindo seus colaboradores e executivos, de modo que a cultura da proteção de dados fique enraizada internamente e seja continuadamente respeitada.
Penalidades
Além das regras de conformidade com a proteção de dados, a LGPD também traz, em seu Capítulo VIII, as sanções administrativas que serão aplicáveis às empresas em caso de descumprimento das normas da LGPD.
Entre as sanções possíveis, encontram-se as seguintes: (i) advertência; (ii) multa, simples ou diária, de até 2% do faturamento da pessoa jurídica ou grupo econômico no Brasil, limitada ao valor máximo de R$ 50 milhões por infração; (iii) publicização da infração; (iv) bloqueio ou eliminação dos dados pessoais a que se refere a infração; (v) suspensão parcial ou total da atividade de tratamento de dados pessoais pelo prazo de 6 meses a um 1 ano; e (vi) proibição parcial ou total das atividades de tratamento de dados.
Por força da Lei nº 14.010/2020, que alterou dispositivos da LGPD, as penalidades entrarão em vigor em 1º.8.2021.
ANPD e aplicação
A ANPD é um órgão da administração pública federal, parte integrante da Presidência da República, e dotado de autonomia técnica, porém não orçamentária, que ficará responsável por aplicar a LGPD e, em particular, terá competência exclusiva na esfera administrativa para a imposição das sanções previstas na LGPD por violação às suas disposições.
A ANPD será composta por dois órgãos principais: (i) o Conselho Diretor (órgão máximo de direção) e (ii) o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, além de uma corregedoria, uma ouvidoria, um órgão de assessoramento jurídico próprio e unidades administrativas e especializadas voltadas à aplicação da LGPD.
O Decreto nº 10.474/2020, publicado hoje no Diário Oficial da União (DOU), aprova a estrutura regimental e o quadro de cargos e funções da ANPD. Espera-se que, com essa medida, a estrutura funcional da ANPD comece a ganhar forma e possa contribuir com regulamentações e orientações mais específicas sobre a implementação dos dispositivos da LGPD, conferindo maior clareza e segurança jurídica aos administrados.
Além da ANPD, e com a entrada em vigor iminente da LGPD, é de se esperar também que outras instituições de defesa de interesses difusos e coletivos, tais como entidades de defesa do consumidor, PROCONs, Ministérios Públicos Estaduais e Federal, entre outros, também procurem fazer valer as disposições da LGPD junto a tais órgãos e ao Poder Judiciário.
Sobre a nossa prática de proteção de dados
O Mello Torres possui prática específica voltada aos temas de privacidade e proteção de dados, tendo atuado desde a promulgação da LGPD em diversos assuntos relacionados a esses temas, incluindo consultoria em geral, implementação de programas de compliance e governança de dados em adequação à LGPD, elaboração e revisão de políticas e procedimentos, gestão de crise em casos de data breach ou vazamento de dados e informações, defesa e representação de clientes junto a diversos órgãos em matéria de proteção de dados.
Conheça o nosso time
Fabricio A. Cardim de Almeida é sócio do Mello Torres Advogados e responsável pelas áreas concorrencial, compliance e de proteção de dados do escritório. Foi consultor internacional da Federal Trade Commission (FTC), em Washington, DC, EUA, tendo participado de diversas discussões e projetos da agência referentes a data privacy e big data. Possui certificação como Data Protection Officer (DPO) – ou “encarregado em proteção de dados” – pelo European Centre on Privacy and Cybersecurity (ECPC) da Universidade de Maastricht, Holanda.
Alan Bittar é especialista em direito concorrencial, compliance, e proteção de dados, incluindo assessoria em programas de compliance e governança de dados. Possui certificação como Data Protection Officer (DPO) – ou “encarregado em proteção de dados” – pelo European Centre on Privacy and Cybersecurity (ECPC) da Universidade de Maastricht, Holanda.
Mayara Lins Ogea é especialista em direito concorrencial, regulatório, e proteção de dados, incluindo assessoria em programas de compliance e governança de dados.
* * *
