LGPD vigente: e agora?

André Lipp Pinto Basto Lupi, Letícia Mulinari Gnoatton, Luiz Magno Pinto Bastos Junior

A LGPD teve sua vigência dividida em três partes.

Já vigora a seção relativa à criação da Agência Nacional de Proteção de Dados e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – ANPD, embora ainda não tenham sido empossados seus respectivos diretores e conselheiros.

Entrará em vigor em 1º de agosto de 2021 a parte da Lei que contém a previsão das sanções administrativas. As sanções são pesadas, desde as pecuniárias (multa diária, multa simples de até 2% do faturamento da empresa/grupo, limitado a 50 milhões de reais por infração) até as que podem inviabilizar operações (eliminação, bloqueio e proibição do exercício de atividades relacionadas ao tratamento de dados). Mas não poderão ser aplicadas antes de 1º de agosto de 2021.

A parte substancial da nova Lei, que contém as obrigações de quem trata dados e direitos dos titulares dos dados, entretanto, deve ter sua vigência iniciada nos próximos dias, tão logo o Presidente da República sancione o projeto de lei de conversão que contém essa definição.

Isso dito, o que acontece na prática? Quid juris?

Empresas e órgãos públicos que tratam dados pessoais têm de obedecer às regras da Lei, ainda que as sanções administrativas específicas não estejam em vigor. Nada impede que os titulares dos dados, órgãos de proteção do consumidor, associações e Ministério Público acionem empresas e a administração pública com base na LGPD, que, repita-se, entra em vigor nos próximos dias (ainda que ainda não saibamos quando, exatamente).

A Lei Geral de Proteção de Dados se aplica a quem?

A todas as pessoas físicas ou jurídicas que tratem dados pessoais de clientes, de prospects, de colaboradores ou dados de terceiros por intermédio de parceiros e fornecedores.
As obrigações da LGPD se estendem às pessoas físicas ou jurídicas que recebem dados pessoais de terceiros por intermédio de seus clientes para a execução de suas atividades (Ex.: Plataforma de CRM onde são inseridos dados pessoais de terceiros).
Tratar dados pessoais significa dizer coletar, classificar, utilizar, reproduzir, processar ou armazenar independentemente do suporte em que eles estejam (tanto em sistemas ou mídias digitais, quanto em meio físico).

O que não pode mais ser feito a partir de agora?

Considerar os dados pessoais como um ativo da empresa.
Realizar o tratamento dos dados pessoais sem observar o cumprimento dos requisitos que o autorizam (consentimento, cumprimento legal ou regulatório, legítimo interesse e obtenção em base de dados pública), com atenção aos dados que a lei concede tutela específica, sendo estes dados sensíveis e dados de crianças.
Prospectar clientes sem atentar para a origem dos dados pessoais utilizados no primeiro contato.

O que tem que se fazer a partir de agora?

Realizar o mapeamento dos dados pessoais tratados pela empresa e indicar um encarregado para tratamento de dados pessoais (Data Protection Officer – DPO).
Anonimizar, bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
Criar canais de comunicação para viabilizar que os titulares possam exercer os seus direitos sobre os tratamentos de seus dados pessoais feitos pela empresa (inventário, portabilidade, correção e exclusão).
Identificar os fundamentos legais a justificar o tratamento de dados e, quando imprescindível, buscar meios de obter o consentimento dos titulares dos dados.
Elaborar e revisar os seus instrumentos jurídicos, incluindo os internos, para adequá-los à LGPD e às políticas adotadas pela empresa ou entidade pública.
Adotar medidas de segurança, técnicas e administrativas, para prevenir divulgações acidentais.
Conscientizar os colaboradores com relação às previsões da LGPD, ensejando uma mudança de cultura empresarial para com os dados pessoais.

Por